아키에이지 이용자, 로그인 계정 피해 발생...해킹 의혹 제기
아키에이지 게임사 “해킹 아냐, 인증 어플리케이션 버그 문제”

보안전문가 “인증 없이 통과시킨 검수 문제, 개인금고 열어준 꼴”

[보안뉴스 김경애] 인기 온라인게임 아키에이지의 로그인 보안 서버가 해킹당한 것 같다는 의견이 곳곳에서 제기돼 파장이 커지고 있다.

로그인 보안 서버가 뚫렸다고?

지난 3일 이 문제를 본지에 알려온 제보자는 “온라인게임 아키에이지 웹사이트에 올라온 게시글을 보면 지난 3일 오후 10시경 아키에이지 게임 서버에 접속하는 사람들의 로그인 비밀번호 입력이 정상적으로 되지 않았다”며 “비밀번호를 아무 것이나 입력해도 로그인이 됐다”고 밝혔다.

이보다 앞서 지난 2일 한 블로그에도 ‘아키에이지 로그인 보안 서버가 뚫렸다’며 ‘저번 주 부터 해킹 문제가 하나둘씩 일어나더니 2일 사건이 빵 터져버렸다’는 글이 올라왔다.

이에 본지가 9일 아키에이지의 웹사이트를 살펴본 결과 지난 3일 웹사이트 게시판에 사과공지 글이 올라와 있었다. 해당 공지내용에 따르면 ‘지난 2일 시스템 장애로 인해 발생된 일시적인 비정상 접속현상이 있었다’며 ‘서비스 불안정 현상에 대한 문제 해결을 위해 긴급하게 임시점검을 진행하고 조사한 결과 일시적인 시스템 장애 현상이 발생해 나타난 것으로 원인이 파악됐다’고 밝혔다. 또한 ‘2일 오후 10시부터 10시58분까지 비정상 접속현상이 발생된 걸 확인한 이후, 이용자 계정에 추가 피해가 발생되지 않도록 조치를 취했다’고 밝힌 바 있다.

이어 해당 게임사 측은 ‘이러한 현상으로 인해 우려될 수 있는 예상 문제점들과 후속 피해에 대한 근본적인 해결을 위해 해당 문제가 발생되기 이전 시점으로 게임정보를 되돌리기로 결정했다’며 ‘서버 점검을 기준으로 더 이상 동일한 문제가 발생되지 않도록 담당부서의 모든 직원이 원인을 파악하고 시스템을 보완했다’고 밝혔다.

해커가 소스코드 강제 변경 vs 내부적 코딩 실수

이에 대해 보안전문가들은 공통적으로 2가지의 가능성을 제기했다. 첫 번째로는 해커에 의해 로그인 관련 소스코드가 변조됐을 가능성이며, 두 번째는 해당 게임사에서 내부적으로 코딩하다가 실수했을 가능성이다.

외부 해킹 가능성과 관련해 한 보안전문가는 “로그인 관련 소스코드가 해커에 의해 변조됐을 가능성이 있다”며 “로그인 인증처리 루틴이 누군가에 의해 반대로 바뀐 것 같다”고 분석했다. 물론 내부적으로 코딩하다가 실수했을 가능성이 있다고 덧붙였다.

하지만 해킹 가능성이 제기된 만큼 우선 소스코드의 변조 여부, 파일의 최근 수정날짜 확인, 텍스트 에디터 히스토리(history) 확인이 필요하며, 만약 해킹당한 게 맞다면 백도어가 남아 있지는 않은지 세밀하게 조사해야 한다는 게 그의 설명이다.

두 번째로 내부적인 문제점과 관련해 또 다른 보안전문가는 “테스트 하던 웹 서비스를 주석처리 제거 없이 그대로 적용했을 수 있다”며 “서비스 변경시 패스워드가 입력된 것을 비교하는 코드에 주석처리한 코드를 그대로 덮어 쓴 것 같다”고 분석했다.

하지만 외부 공격자에 의한 해킹이 아니어도 명백하게 문제라고 지적한 그는 “패스워드에 대한 비교도 없었다는건 개인금고를 전부 열어둔 것과 마찬가지”라며 “상용 게임 서비스에서 QA 절차로 확인을 하지 않았다는 건 문제가 크다”고 비판했다.

게임사, 인증 어플리케이션 버그 주장

이와 관련 아키에이지 게임사 관계자는 “이번 문제는 인증어플리케이션 버그로 인해 발생한 이슈였다”며 “현재 외부 보안전문업체를 통해 보안관제를 받고 있는데 내부적으로 조사한 결과 외부침입 흔적은 없었다”고 해명했다. 또한, 6월 개편을 통해 새로운 서버에 대한 업데이트 작업을 진행했다고 덧붙였다.

하지만 해킹이 아니라고 하기엔 석연치 않은 부분도 적지 않다. 실제 계정도용 피해사례가 웹상에서 회자되고 있으며, 실제 보상도 진행중인 것으로 알려졌다. 특히, 이번 사건경위에 대해 이용자가 납득할 만큼 공개하지 않고 있다는 게 피해자들의 공통된 의견이다. 

이와 관련 제보자는 “해당 업체는 밤 10시에 서버 점검이나 로그인 로직 변경을 진행했다고 하는데, 이건 말이 되지 않는다”며 “해킹당한 것 같다”고 의구심을 드러냈다.

이에 해당 게임사 관계자는 “인증 어플리케이션 버그 문제는 내부적으로 이미 조치를 완료해 정상적으로 서비스되고 있으며, 당시 발생한 계정도용 피해자들은 확인절차에 따라 현재 보상하고 있다”며, “비밀번호 변경 캠페인을 통해 주기적인 비밀번호 변경을 유도하고 있다”고 밝혔다.

게다가 지난 5월에는 아키에이지 게임의 휴대폰 결제를 사칭한 스미싱 문자가 발견되는 등 잇따른 보안이슈가 발생하고 있어 추가 피해 우려가 쉽사리 가라앉지 않는 분위기다.

이와 관련 보안전문가는 인증 어플리케이션 버그 문제라는 게임사의 주장에 대해 “버그가 맞다면 어떤 작업을 하다가 발생한 어떤 유형의 버그인지 명확히 공개해야 이용자들이 수긍할 수 있을 것”이라고 지적했다.

또 다른 보안전문가는 “누군가 인위적으로 문제를 일으켰을 가능성이 있으며, 만약 게임사가 주장하는 인증 어플리케이션 버그가 맞다면 해당 버그는 취약성보다는 난이도가 낮지만 심각성은 더욱 높은 버그로 QA가 제대로 안되면 발생한다”며 “인증 없이 모두 통과시켰다는 것으로, 검수를 제대로 못해서 개인금고를 열어준 것”이라고 우려했다. 덧붙여 그는 철저한 확인을 통해 다시는 실제 서비스에 영향을 미치지 않도록 해야 한다고 당부했다.

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>