코로나19 이후, 게임사 해킹 1년간 167% 성장

게임 소액결제 시장이 해커에게 매력적인 이유

게임 시장이 성장함에 따라 소액결제 시장이 커지자, 게이머 계정의 개인 정보를 노린 사이버 공격이 계속해서 증가하고 있다. 구매력 있는 소비자 집단인 게이머들은 소액결제를 빠르고 쉽게 진행하기 위해 결제 정보를 게임 플랫폼 계정에 저장해 놓는 경우가 많다. 그 때문에 해커들이 계정을 탈취할 수만 있다면 게임 재화, 개인 정보, 결제 정보에 이르기까지 모든 자산과 정보를 다크웹에 팔거나, 탈취 계정에 대한 대가로 막대한 이익을 얻을 수 있다.

게이머들을 대상으로 하는 일별 사이버 공격 수

출처 : Gaming Respawned Cyberattacks on Players and Gaming Companies Rise Again, Akamai (2021.05.01~2022.04.30)

이에 따라 게임 소액결제 시장은 해커들의 매력적인 먹잇감이 되었다. 해킹 방법으로는 외부 사이트에서 유출된 계정을 사용하여, 게임 웹사이트나 앱에 무작위로 대입하여 로그인 후 계정을 탈취하는 크리덴셜 스터핑 공격(Credential Stuffing)이 유행하고 있다.

DDos 공격 타겟 분야 1위는 게임 (36.8%)

DDoS 공격⁶은 2021년에 약 5% 가까이 증가했으며, 게임업계에 대한 DDoS 공격은 모든 업종에서 전체 공격의 37%를 차지하며 기타 업종 대비 압도적인 1위를 차지하였다. DDoS란 공격자가 봇이나 기타 자동화된 기술을 사용하여 트래픽을 폭증시켜 인프라를 완전히 다운시키거나 느리게 만들어 비즈니스 운영과 게임 성능에 영향을 주는 공격이다. 즉, 게임 플레이를 방해하여 고객 지원 비용을 증가시키고 고객 만족도를 떨어뜨린다.

지난 몇 년간 DDoS 공격은 더 조직적이고 정교해졌으며 게임업계를 주요 표적으로 삼았다. 대량 DDoS 공격은 게임을 오프라인 상태로 만들어 단 몇 초 만에 수천 명의 플레이어에게 영향을 미칠 수 있다. 또는 특정 대상에 대한 집중 공격을 통해 지연 시간을 증가시켜 한 플레이어가 다른 플레이어보다 우위를 점할 수 있도록 할 수도 있다.

DDoS 공격 대상 주요 산업 분야

출처 : Gaming Respawned Cyberattacks on Players and Gaming Companies Rise Again, Akamai (2021.05.01~2022.04.30)

글로벌 게임사 대상 사이버 공격 사례

① 라이엇 게임즈, <리그 오브 레전드> 치트 방지 소스 코드 유출

2023년 초 사이버 공격으로 인해 라이엇 게임즈(Riot Games)의 <리그 오브 레전드(League of Legend)>, <팀파이트 택틱스(Teamfight Tactics)>의 소스 코드와 치트 방지 플랫폼의 코드가 해킹당했다. 라이엇 게임즈는 소스 코드를 대가로 한 해커의 금전 요구에 대해 응하지 않았다. 이번 해킹은 기술적 해킹이 아닌 사람의 심리를 이용한 소셜 엔지니어링을 이용한 공격으로, 라이엇 게임즈는 상황 조사 후 내용을 공유할 예정이다. 회사는 이용자 데이터나 개인 정보가 유출되지 않았다고 밝혔지만, 소스 코드의 유출은 새로운 부정행위 프로그램 개발로 이어질 수 있다고 우려했다.

이에 따라 안티 치트(Anti-Cheat) 시스템을 다시 한번 검토하고, 필요한 수정사항을 반영하여 신속히 배포한다고 밝혔다. 라이엇 게임즈는 이번 사건으로 인해 일부 게임 콘텐츠 출시가 지연될 수 있음을 알리고, 공격에 사용된 기법에 대한 보고서를 회사의 보안 실패 원인, 재발 방지 대책 등을 공개할 예정이다.

글로벌 게임사 사이버 공격 사례

출처 : 각 게임사

② 록스타 게임즈, 10년 준비한 <GTA 6> 코드 도난

2022년 10월에는 록스타 게임즈(Rockstar Games)의 인기 게임 <GTA 6>의 초기 빌드와 소스 코드가 사이버 공격으로 인해 유출되었다. 회사는 유출된 영상과 소스 코드는 게임의 초기 단계에 해당하며, 최종 버전에 포함될 콘텐츠는 대부분 없기에 큰 위험은 없다고 밝혔다. 그러나 유출된 코드는 해커가 게임에서 부정행위를 하거나 해킹 프로그램을 만드는데 도움을 줄 수 있으며, 특히 온라인 게임에서 이용자 계정을 탈취하거나 아이템을 훔치는 등의 해킹 코드를 만드는 소스가 될 수 있다며 우려했다.

록스타 게임즈는 유출된 영상과 소스 코드를 삭제하기 위해 저작권 침해 소송을 제기하는 등의 조치를 취하고 있다. 그러나 해커가 침투한 정보의 범위에 대한 자세한 내용은 아직 밝혀지지 않았다. 한 관계자는 해커가 사내 메신저만으로는 소스 코드에 액세스할 수 없었을 것으로 보인다고 전했다. 해커는 일부 코드 스니펫을 게시하여 진실성을 입증했지만, 아직 <GTA 6>에 대한 접근이 가능한지에 대한 확인은 이루어지지 않았다.

③ 엑시 인피니티, 초대형 해킹 사건으로 암호화폐 유출

2022년 3월에는 NFT 기반 모바일 게임 <엑시 인피니티(Axie Infinity)>에서 발생한 초대형 해킹 사건으로 인해 게임 회사의 보안 체계에 대한 비판이 크게 떠올랐다. 특히 회사는 일주일 지난 시점에서야 해킹을 인지하고, 대응에 나서 논란이 되었다. 해커는 로닌(Ronin)이라는 엑시 인피니티 사이드체인을 두 번에 걸쳐 공격하여 약 6억 2,500만 달러(약 8,237억 원) 상당의 암호화폐를 탈취했다. 업계에서는 이번 사건을 계기로 NFT 게임 시장의 폭발적인 성장에 비해 취약한 보안 체계의 체질 개선이 필요하며, 버그 바운티(Bug Bounty)⁷ 등 보다 강화된 보안 체계를 마련해야 한다는 목소리를 냈다.

한편, 해킹 능력과는 별개로 자금 인출 과정에서 해커가 초보적인 실수를 했다고도 밝혀졌다. 보통 해킹 자금은 탈중앙화 거래소(Decentralized Exchange; DEX)를 통해 자금세탁하지만, 이번 해커는 신원확인 및 불법 거래 연루 자금 동결 시스템이 있는 중앙화 거래소(Centralized Exchange; CEX)로 이체하여 현금화가 어려울 것으로 알려졌다.

국내 게임사 대상 사이버 공격 사례

① 넥슨, 이용자 계정에 대한 공격 정황 포착

국내 게임사들도 사이버 공격의 대상이 되고 있다. 넥슨의 아이디를 표적으로 한 해킹 시도가 빈발하고 있어 이용자들의 주의가 요구되고 있다. 넥슨 관계자에 따르면 다른 사이트가 해킹돼 대량의 비밀번호가 유출됐을 때, 로그인 탐지 기능이 작동하는 빈도가 늘어난다고 설명했다. 이를 근거로 유추해 볼 때, 해커들은 타 웹사이트에서 탈취한 계정을 무작위로 넥슨 계정에 대입하여 해킹하는 크리덴셜 스터핑 공격을 이용하는 것으로 추정된다.

해커가 계정을 탈취하여 비밀번호를 변경한 경우, 해당 계정에 등록된 이메일 주소로 '넥슨 비밀번호가 변경됐다'라는 내용의 메일이 자동으로 발송된다. 이용자들은 자신의 계정이 해킹당한 것으로 의심될 경우, ID 보호 잠금 신청 및 해외 로그인 차단 기능, 일회용 비밀번호 생성기(One-time Password; OTP)를 활용하여 보안을 강화해야 한다. 게임산업에 대한 해킹이 더욱 빈번하고 주요 타겟이 되는 만큼, 이용자들은 주기적인 비밀번호 변경과 신뢰할 수 있는 보안 절차를 따르는 것이 중요하다.

② 스마일게이트, 스토브 계정 해킹으로 인한 이용자 피해 발생

스마일게이트의 자체 플랫폼인 스토브(Stove)가 출시한 모바일 헌팅 액션 RPG 게임 <와일드본(Wildborn)>을 대상으로 한 '불특정 유저 대상 대입식 공격'이 발생했다. 해커들의 공격으로 계정이 해킹된 이용자들이 나타났으며, 게임 커뮤니티에는 스토브 로그인 기록을 공개하며 자신이 플레이하지 않은 게임의 흔적이 남아있다는 다수의 사례가 올라왔다. 스마일게이트의 또 다른 인기 게임인 <로스트아크(Lost Ark)>도 함께 해킹이 발생해 이용자들이 금전적 피해를 보기도 했다.

스마일게이트는 해킹 발생일에 스토브의 보안 시스템을 업데이트하고 이용자들에게 보안 설정 강화를 권고하는 공지를 하여 대응하였다. 특히 <로스트아크> 이용자들에 대한 보상은 신속하게 이루어졌다. OTP 또는 지정 PC 가입상태에서 비정상 로그인으로 피해를 본 이용자들에게는 회수 여부와 무관하게 복구를 진행하였다.

PC방 업계까지 확장된 사이버 공격 사례

국내 PC방 업계…연이은 DDoS 공격으로 폐업까지 결정

사이버 해킹으로 피해를 본 건 게임 회사만이 아니다. 여러 피시방들도 DDoS 공격으로 인해 피해를 보고 있다. 일부는 인터넷 제공 업체에 요청하여 공격 대상이 된 IP 주소를 변경하였지만, 새로운 IP 주소도 공격 대상이 되며 속수무책으로 피해를 입었다. 업주들은 경찰 사이버수사대의 도움을 청했으나, IP 역추적과 범인 체포에는 오랜 시간이 걸리는 경우가 많아 여전히 어려움을 겪고 일부 업주들은 폐업까지 결정하였다. 영세 업주가 할 수 있는 DDoS 공격 예방은 한계가 있으므로, 관련된 각계각층의 협조와 노력이 요구된다는 것이 업주들의 입장이다. 특히, 공격자 계정 정지 등의 게임사들의 적극적인 제재가 효과적인 대책이 될 것이라고 주장한다.

DDoS 공격에 영업을 폐업을 결정한 PC방

출처 : 폴리스 TV

글로벌 게임사의 사이버 공격 대응 방안

① 넥슨, 일회용 비밀번호 인증 시스템 '넥슨 OTP' 도입

올해 넥슨은 게임 접속 시 보안 강화를 위해 다양한 조치를 도입하고 있다. 해당 기능 중 하나인 '넥슨 OTP'는 게임 접속 시 이용자가 모바일 앱을 통해 일회용 비밀번호 생성기(OTP)를 통해 접속을 인증해야 하는 방식으로, 계정 보안을 강화하는 역할을 한다. 이외에도, 넥슨은 게임마다 기기를 등록해 원치 않는 접속을 막는 안심 기기 서비스와 게임별로 넥슨 캐시 사용을 제한하는 기능을 지원하며, 게임 클라이언트 실행 시 보안 프로그램이 작동되도록 했다.

② 넷마블, 제로 트러스트 기반 보안 환경 구축

넷마블은 시스템에서 안전한 이용자 또는 영역이 없다는 것을 전제로 철저한 인증 절차와 신원확인을 하고, 접근 권한을 최소화하는 '제로 트러스트(Zero Trust)'⁸ 기반 보안 환경을 구축하기 위해 다양한 조처를 하고 있다. 서버와 인프라 환경에 접근하는 이용자를 더욱 확실하게 식별하고, 통제한다. 또한 실시간으로 이용자 행위를 감시하는 로그 기반 시스템을 통해 침해사고에 대응할 수 있도록 24시간 365일 통합관제센터를 운영한다. 또한 위변조와 핵을 악용한 어뷰징(Abusing)에 대응하기 위해 자체 보안 모듈을 적용하여 탐지와 차단 작업을 수행하고 있다.

③ 멀티팩터 인증 시스템 도입 필요

한국은 게임산업 내 사이버 공격을 받은 상위 8개 국가 중 하나이다. 게임 시장의 성장과 더불어 해커들의 공격 역시 거세지는 상황에서, 이용자들은 번거로울 수 있지만 다중으로 신원을 확인하는 멀티팩터 인증(Multi-Factor Authentication) 기능을 사용하는 것은 필수적이다. 다만 게임사들도 멀티팩터 인증 기능 사용률을 높이기 위해, 해당 기능의 이용자 경험을 개선하는 방안을 마련하는 것도 함께 수반되어야 한다.

버그 바운티 프로그램 시행으로 사전 보안 체계 구축

버그 바운티(Bug Bounty) 프로그램은 기업이나 조직이 자체 시스템과 애플리케이션의 보안을 강화하기 위해 악용될 가능성이 있는 보안 취약점을 발견하는 외부 보안 전문가 또는 단체에 보상을 제공하는 제도이다. 전문가들의 참여를 유도하여 다양한 보안 취약점을 발견하고 해결할 수 있다는 점에서 버그 바운티 프로그램은 사전 보안 체계 구축에 매우 유용하다.

보안 전문가들은 시스템에 대한 취약점을 발견하면 보고서를 작성하고, 기업에서 고시한 현상금을 받을 수 있다. 이를 통해 기업은 빠르게 보안 취약점을 해결하고, 이용자들의 데이터와 시스템을 보호할 수 있게 된다. 또한, 외부 전문가들의 의견과 검증을 받는 것 역시 기업의 시스템을 다각도로 평가하고 보완하는 데 도움이 된다. 그뿐만 아니라, 공식적인 보안 프로그램을 운영함으로써 고객들에게 기업의 이미지와 신뢰도를 향상시키는 데에도 긍정적인 효과가 있다.

라이어 게임즈의 버그 바운티 현상금 표

출처 : 라이엇 게임즈