.gif)
크리덴셜 취득하기 너무나 간편...게임 관련 플랫폼 거의 다 허술
게이머 크리덴셜 하나에 40달러씩 거래돼...보호 조치는 아무 데도 없어
[보안뉴스 문가용 기자] 게이머들이 크리덴셜 탈취를 노리는 공격자들에게 가장 ‘손쉬운’ 먹잇감인 것으로 나타났다. 보안 업체 엔조익(Enzoic)의 CTO인 마이크 윌슨(Mike Wilson)은 “공격자들에게 있어 게이머들은 어리고, 순진하며, 성질도 급한 부류”라고 설명한다. “실제로 이런 게이머들은 다음 판을 시작하는 게 세상에서 제일 중요합니다. 보안은 생각도 못할 때가 많죠.”
[이미지 = iclickart]
“그런데 이렇게 어리고 순진하고 성질이 급한 14살짜리 게이머의 크리덴셜일지라도, 생각보다 가치가 높습니다. 포트나이트(Fortnite), 마인크래프트(Minecraft), 런스케이프(RunScape) 등과 같이 어린 친구들의 유입률이 높고 인기가 많은 게임의 크리덴셜은 더더욱 그러합니다. 실존하는 사용자 이름과 비밀번호는 한 쌍에 40달러까지 가격이 나갑니다.”
보안 업체 아카마이(Akamai)가 지난 3월 발표한 바에 따르면 “정보 유출 사고 및 각종 해킹 사고에 있어서 게임 산업은 항상 상위권”이다. 실제로 해커들은 2017년 11월부터 3월까지 120억 번의 크리덴셜 스터핑 공격을 시도해왔을 정도라는 내용도 보고서에 있었다.
엔조익에 따르면 “다크웹에서 거래되는 크리덴셜들의 출처를 분석하면 게임 산업이 가장 많은 것으로 나타난다”고 한다. “그 어느 산업보다 크리덴셜 훔치기가 쉽기 때문”이다. “게임사들의 보안이 허술한 면도 작용을 하지만, 이 산업에 참여하고 있는 사용자들이 전체적으로 보안에 대해 신경을 쓰지 않는 것도 문제입니다. 게임마다 같은 비밀번호와 ID를 사용하는 건 정말 흔한 일이고, 심지어 비밀번호도 엄청나게 쉽게 설정하죠. 왜? 사용자들에게 있어 설치 과정을 빨리 끝내고 게임을 한 판 해보는 게 가장 중요한 일이기 때문입니다.”
그러나 윌슨은 “게이머들을 흉보는 게 아니”라고 설명을 이어간다. “게임과 관련된 거의 모든 플랫폼이 허술합니다. 게임 회사들의 웹사이트, 게임 팬 포럼, 각종 개인별 팬 사이트 등 생태계 자체가 취약해요. 심지어 게임 플레이 자체에서도 해킹이 판을 치죠. 에임 핵이라든가 맵핵이라든가 하는 문제는 아직도 해결되지 않는 요소들입니다.”
윌슨에 따르면 DIY 플랫폼인 브이불레틴(vBulletin), 아이피보드(IPBoard), 마이비비(MyBB), PHPBB, 펀비비(PunBB)로 만들어진 게임 커뮤니티들은 거의 전부가 SQL 인젝션 공격에 속수무책으로 노출된 상태라고 한다. “이런 플랫폼을 기반으로 만들어진 사이트들은 거의 전부 업데이트되지 않은 소프트웨어를 사용하고 있고, 유지보수 상태가 엉망입니다. 최신 패치라고는 찾아볼 수가 없어요. 또, ArmorGames.com, SurviveTheARK.com, HBGames.com이라는 세 가지 게임 커뮤니티에서만 최근 1140만 개 크리덴셜이 유출되기도 했습니다.”
또한 엔조익이 찾아낸 바에 의하면 “침해되어 거래되고 있는 게임 산업 내 크리덴셜들 대부분(83%) 암호화 되지 않은 비밀번호를 포함하고 있다”고 한다. 즉 비밀번호를 암호화 해서 보관하는 기본기조차 잘 지켜지지 않고 있다는 것이다. 그나마 암호화 되어 있는 것도 깨지기 쉬운 알고리즘들이 사용되어 있다.
엔조익은 게임 회사들이 어느 정도 책임감을 가지고 이 사태를 해결하기 위해 노력해야 한다는 입장이다. “현재 게임사들은 사용자를 늘리는 데에만 온통 힘을 쏟느라 조금의 불편함이라도 허용하지 않고 있습니다. 보안이 강화되면 어느 정도 편리함이 감소될 수밖에 없는데, 이걸 너무나 두려워하고 있습니다. 심지어 제가 알기로 큰 회사들은 게이머들을 대상으로 한 사이버 공격이 만연함을 알고도 아무런 조치를 취하지 않고 있습니다. 비밀번호만 주기적으로 바꾸게 해도 될 텐데 말이죠.”
윌슨은 “자신의 고객들이 당하는 걸 알면서도 아무런 조치를 취하지 않는 건 다른 산업에서는 생각할 수 없는 일”이라고 말한다. “어린 사용자들이라도 끌어만 모으면 된다는 게임 개발사들의 마인드는 비판을 받아 마땅합니다. 그러니 ‘중독 산업’이라고 손가락질을 받지요. 어린 세대들이 그렇게나 몰리는 산업인데 일말의 책임감도 없어요. 그게 무슨 산업입니까. 돈만 벌면 된다는 생각은 도둑들도 똑같이 하는 것이죠.”
3줄 요약
1. 게임 산업, 크리덴셜 훔치려는 해커들에게 가장 좋은 기회의 땅.
2. 게임 업체나 게임 사용자나, 보안에 대해서는 눈꼽 만큼도 신경 쓰지 않기 때문.
3. 어린 세대들이 몰리는 산업인 만큼 현재 상황에 대해서 책임감을 갖는 것이 도리.
[국제부 문가용 기자(globoan@boannews.com)]
게이머 크리덴셜 하나에 40달러씩 거래돼...보호 조치는 아무 데도 없어
[보안뉴스 문가용 기자] 게이머들이 크리덴셜 탈취를 노리는 공격자들에게 가장 ‘손쉬운’ 먹잇감인 것으로 나타났다. 보안 업체 엔조익(Enzoic)의 CTO인 마이크 윌슨(Mike Wilson)은 “공격자들에게 있어 게이머들은 어리고, 순진하며, 성질도 급한 부류”라고 설명한다. “실제로 이런 게이머들은 다음 판을 시작하는 게 세상에서 제일 중요합니다. 보안은 생각도 못할 때가 많죠.”
[이미지 = iclickart]
“그런데 이렇게 어리고 순진하고 성질이 급한 14살짜리 게이머의 크리덴셜일지라도, 생각보다 가치가 높습니다. 포트나이트(Fortnite), 마인크래프트(Minecraft), 런스케이프(RunScape) 등과 같이 어린 친구들의 유입률이 높고 인기가 많은 게임의 크리덴셜은 더더욱 그러합니다. 실존하는 사용자 이름과 비밀번호는 한 쌍에 40달러까지 가격이 나갑니다.”
보안 업체 아카마이(Akamai)가 지난 3월 발표한 바에 따르면 “정보 유출 사고 및 각종 해킹 사고에 있어서 게임 산업은 항상 상위권”이다. 실제로 해커들은 2017년 11월부터 3월까지 120억 번의 크리덴셜 스터핑 공격을 시도해왔을 정도라는 내용도 보고서에 있었다.
엔조익에 따르면 “다크웹에서 거래되는 크리덴셜들의 출처를 분석하면 게임 산업이 가장 많은 것으로 나타난다”고 한다. “그 어느 산업보다 크리덴셜 훔치기가 쉽기 때문”이다. “게임사들의 보안이 허술한 면도 작용을 하지만, 이 산업에 참여하고 있는 사용자들이 전체적으로 보안에 대해 신경을 쓰지 않는 것도 문제입니다. 게임마다 같은 비밀번호와 ID를 사용하는 건 정말 흔한 일이고, 심지어 비밀번호도 엄청나게 쉽게 설정하죠. 왜? 사용자들에게 있어 설치 과정을 빨리 끝내고 게임을 한 판 해보는 게 가장 중요한 일이기 때문입니다.”
그러나 윌슨은 “게이머들을 흉보는 게 아니”라고 설명을 이어간다. “게임과 관련된 거의 모든 플랫폼이 허술합니다. 게임 회사들의 웹사이트, 게임 팬 포럼, 각종 개인별 팬 사이트 등 생태계 자체가 취약해요. 심지어 게임 플레이 자체에서도 해킹이 판을 치죠. 에임 핵이라든가 맵핵이라든가 하는 문제는 아직도 해결되지 않는 요소들입니다.”
윌슨에 따르면 DIY 플랫폼인 브이불레틴(vBulletin), 아이피보드(IPBoard), 마이비비(MyBB), PHPBB, 펀비비(PunBB)로 만들어진 게임 커뮤니티들은 거의 전부가 SQL 인젝션 공격에 속수무책으로 노출된 상태라고 한다. “이런 플랫폼을 기반으로 만들어진 사이트들은 거의 전부 업데이트되지 않은 소프트웨어를 사용하고 있고, 유지보수 상태가 엉망입니다. 최신 패치라고는 찾아볼 수가 없어요. 또, ArmorGames.com, SurviveTheARK.com, HBGames.com이라는 세 가지 게임 커뮤니티에서만 최근 1140만 개 크리덴셜이 유출되기도 했습니다.”
또한 엔조익이 찾아낸 바에 의하면 “침해되어 거래되고 있는 게임 산업 내 크리덴셜들 대부분(83%) 암호화 되지 않은 비밀번호를 포함하고 있다”고 한다. 즉 비밀번호를 암호화 해서 보관하는 기본기조차 잘 지켜지지 않고 있다는 것이다. 그나마 암호화 되어 있는 것도 깨지기 쉬운 알고리즘들이 사용되어 있다.
엔조익은 게임 회사들이 어느 정도 책임감을 가지고 이 사태를 해결하기 위해 노력해야 한다는 입장이다. “현재 게임사들은 사용자를 늘리는 데에만 온통 힘을 쏟느라 조금의 불편함이라도 허용하지 않고 있습니다. 보안이 강화되면 어느 정도 편리함이 감소될 수밖에 없는데, 이걸 너무나 두려워하고 있습니다. 심지어 제가 알기로 큰 회사들은 게이머들을 대상으로 한 사이버 공격이 만연함을 알고도 아무런 조치를 취하지 않고 있습니다. 비밀번호만 주기적으로 바꾸게 해도 될 텐데 말이죠.”
윌슨은 “자신의 고객들이 당하는 걸 알면서도 아무런 조치를 취하지 않는 건 다른 산업에서는 생각할 수 없는 일”이라고 말한다. “어린 사용자들이라도 끌어만 모으면 된다는 게임 개발사들의 마인드는 비판을 받아 마땅합니다. 그러니 ‘중독 산업’이라고 손가락질을 받지요. 어린 세대들이 그렇게나 몰리는 산업인데 일말의 책임감도 없어요. 그게 무슨 산업입니까. 돈만 벌면 된다는 생각은 도둑들도 똑같이 하는 것이죠.”
3줄 요약
1. 게임 산업, 크리덴셜 훔치려는 해커들에게 가장 좋은 기회의 땅.
2. 게임 업체나 게임 사용자나, 보안에 대해서는 눈꼽 만큼도 신경 쓰지 않기 때문.
3. 어린 세대들이 몰리는 산업인 만큼 현재 상황에 대해서 책임감을 갖는 것이 도리.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.png){kind=spacer}
.png)
.png)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
