12월 7일 런칭 엔씨소프트 게임 ‘쓰론 앤 리버티’에서 이용자 계정과 게임머니 탈취 발생
30여명 피해 접수, 해외 IP 접속기록 확인...ID·PW 무작위 대입 공격인 크리덴셜 스터핑 공격
엔씨소프트, 개인정보 마스킹 처리로 개인정보 유출 없어...피해 보상 준비중

[보안뉴스 김경애 기자] 최근 엔씨소프트 게임 ‘쓰론 앤 리버티’(THRONE AND LIBERTY, 이하 TL)에서 일부 이용자 계정과 게임머니 ‘루센트’가 탈취되는 사건이 발생했다. 잇따른 피해 발생에 엔씨소프트 측은 임시 점검, 기기 등록 보안서비스 가입 필수, 보상 등의 조치에 나섰다.


▲TL 계정 도용 피해 복구 안내 화면[이미지=TL홈페이지]

TL 운영진은 8일 “최근 타인의 계정 접속 시도를 통한 피해 사례가 증가하고 있음을 확인했다”며 “최근 외부에서 도용된 계정·PW를 통해 계정 내 아이템이 사용되거나 이동되는 피해 사례가 발생했다”며, “추가 피해 발생을 방지하기 위해서 1월 8일 임시점검을 통해 보안 서비스를 긴급 적용했다”고 밝혔다.

이어 TL 운영진은 ‘기기 등록 보안서비스’ 가입을 필수로 하는 사용자 보안정책 변경, 서버 안정화를 위한 임시 점검, 게임 내 일부 항목 수정을 위한 무점검 패치 진행, 계정 도용 피해 접수 및 피해 복구 등에 대해 공지했다.

TL 운영진은 “게임 이용자는 ‘기기 등록 보안서비스’ 가입을 필수로 해야 게임 이용이 가능하도록 접속 기준이 변경된다”며 “적용 대상은 TL 이용자의 모든 계정이며, 8일 임시점검 종료 이후부터 적용돼 이용자는 적용 시점부터 TL 접속 시 게임 타이틀 화면에서 필수로 가입할 것”을 당부했다.

게임 내 일부 항목에 대해서도 무점검 패치에 들어갔다. TL 운영진은 “‘코스튬’ 무기 외형이 적용된 무기로 납도할 경우 반짝이는 이펙트가 출력되도록 수정됐다”며, “클라이언트 종료 후 업데이트를 하면 패치 내용이 반영된다”고 안내했다.

이처럼 국내 기업과 기관, 그리고 게임을 타깃으로 사용자의 계정정보를 무작위로 대입한 후, 로그인을 시도해 계정정보를 탈취하는 크리덴셜 스터핑 공격이 기승을 부리고 있다.

이번 이슈와 관련해 엔씨소프트 관계자는 “크리덴셜 스터핑 공격으로 운영 중인 다른 게임은 모두 OTP, 기기 등록 보안 서비스를 적용하고 있다”며, “다만 TL은 지난 달 7일 런칭됐기 때문에 이용자 모집 및 게임 이용 활성화 측면에서 보안 서비스 적용을 10일로 계획하고 있었는데 계정도용 사고가 먼저 발생했다”고 설명했다.

이어 그는 “현재 피해 발생 문의는 30여건이 접수됐으며, 이용자의 로그인 기록을 제공 받아 해외 IP 접속기록이 확인되면 내부적으로 보상하는 방안을 준비하고 있다”며 “중국, 러시아, 네덜란드, 유럽 등 주로 해외 IP에서 로그인 기록이 확인됐지만, 이용자의 모든 개인정보는 마스킹 처리돼 개인정보 유출 피해는 없다”고 밝혔다.

과학기술정보통신부(이하 과기정통부)에 따르면 크리덴셜 스터핑 공격을 통해 인터파크 78만 건, 한국고용정보원(워크넷) 23만 건의 개인정보가 유출된 바 있으며, 지마켓의 상품권 번호 도용과 스타벅스의 카드 충전금 도용 등 금전적 손실을 입히는 공격으로 피해가 확산되고 있다.

특히 침해사고 조사결과, 크리덴셜 스터핑 공격 시 로그인 시도 대비 성공률이 약 0.3% 정도에 이르는 것으로 집계된 바 있다. 이에 따라 각 기업 및 기관들은 로그인 시도 횟수 제한, 2차 인증 기능 제공 등 이용자 인증 보안을 더욱 강화해야 한다는 게 과기정통부의 설명이다.

익명을 요청한 게임보안 전문가는 “크리덴셜 스터핑을 이용한 계정 탈취 공격이 증가하고 있어 고객 계정 보호를 위해 크리덴셜 스터핑 방지대책을 세우는 것이 필요하다”며, “특히 환금성이 높은 가상자산을 보유한 가상화폐 거래소 및 온라인게임 기업들은 특히 VPN, Proxy, Tor 등으로 우회 접속해 지속적으로 크리덴셜 스터핑 공격을 하는 시도 행위를 탐지할 수 있어야 한다”고 당부했다.
[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>