• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

CISO 뉴스

보안 제품정보

인기 프랜차이즈 포켓몬으로 게임 만드는 개발사, 대규모 해킹 사고에 연루돼 2024.10.14

지난 8월에 한 게임 개발사에서 해킹 사고가 발생했다. 당시 개인정보만 새나간 것으로 파악됐는데, 갑자기 주말부터 엉뚱한 정보들이 퍼지기 시작했다. 사건의 전말이 궁금해지는 상황이다.

[보안뉴스 문가용 기자] 인기 프랜차이즈인 포켓몬을 가지고 게임을 제작하는 회사 게임프리크(Game Freak)에서 대규모 해킹 사고가 발생했다. 이 규모가 얼마나 큰지 게임 산업 역사상 최악의 사고라는 이야기가 나오고 있다. 테라바이트 단위의 정보가 유출된 것으로 보이는데, 그래서 이 사건을 현재 테라리크(Teraleak)라고 지칭하고 있기도 하다.

[이미지 = gettyimagesbank]


이 사건은 닌텐도 전문 매체인 닌텐도라이프(Nintendo Life) 최초로 보도했다. 여기에 따르면 포켓몬 게임들과 관련된 미공개 아트웍, 각종 디자인 시안, 프로젝트 관련 기밀들이 소셜미디어를 통해 확산되고 있다고 한다. 게임프리크 측도 이러한 상황을 인지하고 “해킹 사고가 있었다”고 인정하긴 했으나, “직원들의 개인정보가 유출됐다”는 식으로만 사건을 축소시키려 하고 있다.

현재 이 사건과 관련이 있는 자는 엑스를 통해 정보를 공개하고 있다. 게임프리크의 정보를 유출시키고 있는 엑스 계정의 이름은 센트로리크스(CentroLeaks)이다. 앞서 밝힌 테라리크라는 이름은 센트로리크스가 최초로 사용한 것으로 보인다. 엑스만이 아니라 인기 커뮤니티인 레딧에서도 자료들이 올라오는 중이다. r/PokeLeaks라는 이름의 서브레딧에서 자료들이 대거 공개되고 있다.

포켓몬이 워낙 인기가 많은 브랜드이고, ‘해킹 사고’나 ‘정보 유출’이라는 사건이 워낙 이목을 끌기 좋아 많은 이들이 여기에 참여하고 있다. 즉, 자기도 게임프리크 자료를 가지고 있다고 주장하며 이 기류에 편승해 가짜 자료를 올리는 것인데, 이 때문에 r/PokeLeaks의 관리자는 “이런 가짜 자료들을 걸러내느라 정신이 없다”고 밝혔을 정도다. 괜히 장난을 치고 싶어서, 혹은 자기도 이목을 끌고 싶어서, 혹은 진짜 정보를 가지고 있어서 레딧에 자료를 올리는 사람이 많아지고 있는 건데, 이 때문에 사건의 정확한 규모를 파악하는 데 큰 어려움이 따르고 있는 게 현재 상황이다.

그럼에도 현재까지 “진짜 게임프리크에서 나온 정보”로 정리되어 가는 것들이 있다. 피씨매거진(PC Magazine)에 따르면 이는 다음과 같다.
1) 3~5세대 포켓몬 게임에 사용될 자료
2) 1997년 오리지널 포켓몬 애니메이션의 초기 콘셉트 아트
3) 포켓몬 세계관의 배경이 설명된 설정 문서
4) 핵심 캐릭터인 지우을 어떻게 마무리 지어야 하는가를 두고 내부적으로 진행했던 회의의 기록
5) ‘명탐정 피카츄’라는 이름의 영화 속편과, 또 다른 영화에 대한 기획 자료
6) 스위치 2 관련 정보(이 프로젝트의 코드네임은 온스(Ounce)인 것으로 보인다)

현재까지 공개된 내용에 따르면 게임프리크에서 해킹 사고가 발생한 건 지난 8월이며, 당시 공격자들은 이 회사의 서버를 침해하는 데 성공했다고 한다. 그러면서 현직 직원만이 아니라 전직 직원, 외부 계약자의 이름과 업무용 이메일 주소 등이 외부로 새나갔다고 게임프리크는 밝혔다. 참고로 게임프리크는 포켓몬이라는 브랜드 자체를 소유하고 있지는 않으나, 포켓몬을 가지고 각종 창작물을 개발하는 활동을 하고 있는 회사다.

게임프리크의 공식 발표가 사실이라면 현재 소셜미디어나 커뮤니티를 통해 퍼지고 있는 게임프리크의 지적재산들은 허위 정보여야 한다. 하지만 보안 전문 매체인 해커뉴스에 따르면 소스코드, 취소된 프로젝트, 콘셉트 아트, 미공개 작품 관련 자료 등이 1 테라바이트 넘게 유출됐는데, 이것이 전부 허위로 만들어진 것일 가능성은 낮아 보인다고 한다. 오히려 앞서 밝힌 것처럼 각종 허위 자료들이 대거 올라오는 바람에 사실 확인이 어렵고, 이 때문에 실제 확인되고 있는 내용만을 추려서 발표했을 것으로 추정되고 있다.

“특히 25년이 넘는 기간 동안 공개되지 않은 콘셉트 아트, 개발 문서, 내부 정보 등은 누군가 허위로 만들고자 해도 어려운 정보 아닐까요? 심지어 향후 출시를 앞둔 작품들과 캐릭터 정보까지 있는데, 이것 역시 허위로 만들기에는 어렵습니다. 심지어 정보의 양도 어마어마한데요, 이것이 전부 가짜라고 할 수는 없을 것입니다. 정확한 분석이 나오지 않은 상황이지만 회사가 발표한 것처럼 단순 개인정보만 유출된 사건은 아닌 것처럼 보이는 상황입니다.” 해커뉴스의 설명이다.

아직은 정확한 해커의 정체와, 해킹 범행의 동기에 대해서는 알려진 바가 없다. 정확한 피해 규모를 확인하는 것부터 마쳐야 할 것으로 보인다. 현재 퍼지고 있는 데이터가 전부 진본들이라면(즉 게임프리크에서 나온 게 확실하다면), 이번 유출은 게임 역사상 최대 규모의 사고 중 하나로 기록될 것이라고 전문가들은 말하고 있다.

3줄 요약
1. 포켓몬 게임 및 2차 창작물 개발 전문 회사에서 해킹 사고 발생.
2. 일단 현재까지 회사 측은 직원 개인정보가 새나갔다고 발표.
3. 하지만 소셜미디어나 커뮤니티를 통해 퍼지는 정보는 개인정보만이 아님.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>