1. 온라인 게임 계정탈취 어떻게 이뤄질까?

2. 대한민국 홈페이지 보안 위험하다!

3. 악성코드 증가 ‘제로데이’가 한 몫 한다. 

4. 악성코드 차단을 위한 대책은?

인기 온라인게임 유저 A씨(학생, 21)는 2년간 꾸준히 게임을 해온 골수 게이머다. 대학생인 그는 대학교에 입학한 이후로 2년 동안 연애도 안하고 학교수업이 끝나면 바로 PC방으로 달려가 열심히 온라인게임에 매진한 결과 고랩(높은 레벨) 유저가 되었고, 절약정신이 투철한 성격 탓에 게임 내에서 부자라고 불릴 만큼 많은 게임머니(게임 상에서 통용되는 돈)를 모았다.

애써 모은 재물이기 때문에, 그는 행여나 해킹 당할까 두려워 게임회사에서 제공하는 보안솔루션까지 이용하는 비교적 모범적인 게이머였다. 그런데 어느 날, 그에게 불행이 찾아왔다. 평소처럼 열심히 게임머니를 모으려고 게임에 접속한 순간, 계정 내에 모든 돈과 아이템이 사라져 버렸기 때문이다. 남은 것은 교환이 되지 않는 일부 아이템뿐이었다.

게임계정 해킹 누가 잘못한 것일까?  

최근 온라인게임 이용자들을 대상으로 한 해킹사고가 급증하고 있다. 대부분 계정 정보가 유출돼 나타난 해킹사고로, 게임계정 정보를 탈취하는 악성코드로 인한 피해로 파악되고 있다. 이 같은 계정 유출 사고의 원인은 과연 누구에게 있을까? 관리를 못한 사용자에게 있을까? 아니면 게임제공업체에게 있을까? 그게 아니라면?

한국인터넷진흥원에 따르면, 최근 게임계정 유출 악성코드가 ARP스푸핑 공격을 통해 빠르게 전파되고 있는 것으로 알려졌다. ARP스푸핑 공격은 랜(LAN)과 같은 로컬 네트워크 내에 침입해 감염된 PC가 게이트웨이인 것처럼 인식시켜, 로컬 네트워크 전체의 정보를 엿보거나 다른 데이터를 전송할 수 있게 하는 공격이다. 따라서 PC방과 같이 내부 PC가 로컬네트워크에 연결돼 있는 환경에서는 하나의 PC만 ARP스푸핑 악성코드에 감염돼도 그 PC방의 모든 PC가 악용될 수 있게 된다.

그렇다면 이런 ARP스푸핑 공격과 게임계정탈취 기능을 갖춘 악성코드들은 어떻게 감염되는 걸까? 최근 나타나는 ARP스푸핑 악성코드의 유포지는 대부분 보안이 취약한 홈페이지이다. 따라서 이런 악성코드는 사용자가 웹서핑하면서 보안에 취약한 홈페이지 방문할 때 감염된다고 볼 수 있다.

변종은 계속 나오는데 유포지도 계속 바뀐다

“ARP스푸핑 악성코드 변종이 계속 나오고 있어서 나온 샘플만 가지고 백신에 반영하는 데도 힘이 벅찹니다.” 국내 유명 안티바이러스 백신업체 담당자의 이야기다. 한국인터넷측은 “지난 8월에 비해 9월동안 수집된 악성코드는 2배 이상 증가했으며, 그 이유는 해당 악성코드들이 자기변형 기법을 사용하여 유포되고 있기 때문”이라고 설명했다.

이 같은 이야기는 지속되는 변종의 출현을 백신으로만 막는 데는 한계가 있다는 이야기다. 백신으로 치료하는 것은 물론 중요한 역할이다. 그러나 치료에 앞서 악성코드에 감염되지 않도록 하는 것이 중요하다. 백신업체의 한 담당자는 “악성코드 분석할 때 발견된 유포지를 찾아 KISA에 전달하고 있지만 계속 유포지가 바뀌고 있어서 전부 차단하는 것은 매우 어려운 일”이라고 말한다.

KISA 인터넷침해대응센터에서는 홈페이지를 악성코드 전파의 매개지로 악용하여 방문자에게 악성코드를 감염시키는 사례가 발생함에 따라 현재 약 100만개의 국내 주요 홈페이지를 대상으로 악성코드 은닉여부 탐지 및 차단 등 감염피해 예방활동을 수행하고 있다. 이에 따라 유포지가 8월보다 절반이 감소했다고 밝혔다.

“그러나 한번 취약한 사이트는 다시 또 감염된다는 사실입니다.”

KISA 측은 각 기관(기업)의 웹 서버 관리자는 근본적인 원인파악 및 조치 없이 단순히 악성코드만 삭제하는 것은 임시조치일 뿐 언제든지 재 악용될 수 있음을 인지하고, 해커들이 해킹에 이용하는 취약점 차단이나 홈페이지 보안성 강화 도구를 통해 반드시 사전점검과 재발 방지 대책을 마련해야 할 것이라고 말한다.

현재 보안이 잘 되지 않는 홈페이지에서 주로 발견되는 취약점은 ‘SQL인젝션(SQL-Injection)’이나 ‘파일 업로드(File Upload)’ 취약점 등과 같은 웹 취약점이 직접적인 원인으로 분석되고 있다. 이런 취약점은 홈페이지를 제작할 때 보안에 문제가 있는지 검토하지 않고 홈페이지를 개방해서 나타나는 문제다.

이런 악성코드는 누가 만들어서 배포할까?

서울경찰청 사이버범죄수사대는 28일 국내 PC방에 악성코드를 유포해 2만대의 좀비PC를 만들어 감염시키고 이를 제어할 수 있는 프로그램을 판매한 B씨(38)를 정보통신망이용촉진 및 정보보호등에관한 법률 위반 혐의로 불구속 입건했다. B씨는 지난해 중국 해커로부터 도입한 악성프로그램을 유포해 국내 PC방 500여 곳의 PC 2만대를 좀비PC로 감염시킨 뒤 이를 제어할 수 있는 프로그램을 개당 300만원에서 2000만원에 판매해 모두 1억5000여만 원을 챙긴 혐의를 받고 있다.

최근 나타나는 악성코드 유포는 중국 해커가 개발하고 국내 범죄자들이 악용하는 형태를 보이고 있다. 이들은 게임머니를 취득해 아이템 거래사이트에서 되팔거나 도박게임을 조작해 이익을 얻는 등 방법으로 수익을 챙기고 있다. 그러나 이들을 적발해 잡는 것은 쉽지 않은 상황. 이들은 연락방법으로 위치 추적이 어려운 외국의 메신저를 이용하고 있기 때문이다.

최근 들어 이런 조직이 급증하고 피해자도 속출하고 있다. 이들은 내부적으로 에코시스템을 구축하고 있다. 즉, 개발팀과 판매팀, 유포팀 등 역할이 조직화 돼, 마치 하나의 생태계처럼 순환구조를 가지고 있는 것. 글로벌 보안업체 시만텍에 따르면, 이미 미국에서는 이런 조직적인 사이버범죄행위가 나타나고 있으며 이를 ‘지하경제’라고 부르기도 한다고 전한다.

조직적인 범죄와 홈페이지 보안, 그리고 사용자 보안

결국 게임계정 해킹은 범죄조직들의 조직적인 해킹행위와 국내 홈페이지 보안이 가장 큰 원인으로 나타나고 있다. 그러나 이보다 더 중요한 원인은 바로 사용자 스스로 보안을 지키려는 행위에 소홀하다는 것이다.

게임업체의 한 담당자는 “현재 게임내 보안을 위해 OTP나 보안카드 등 다양한 보안 시스템을 제공하고 있다”면서 “그러나 사용자들은 불편하다는 이유로 사용하지 않고, 사용자의 대부분은 해킹피해자들이다”고 말한다. KISA의 한 담당자는 “게임계정유출 악성코드의 피해를 막으려면, 비밀번호를 주기적으로 바꾸고, PC에서 이용하고 있는 OS의 보안업데이트를 철저히 함과 동시에  안티바이러스백신으로 악성코드 검사를 주기적으로 해야한다”고 조언했다.

[오병민 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>