• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

전 세계적인 게임 포트나이트에서 심각한 취약점 발견돼 2019.01.17

“게임 그 이상...하나의 정식 플랫폼”...그래서 취약점 많을 수 있어
사용자가 크리덴셜 입력하지 않아도 빼돌릴 수 있는 공격 가능케 해

[보안뉴스 문가용 기자] 전 세계적인 인기를 누리고 있는 에픽 게임(Epic Games)의 온라인 비디오 게임 포트나이트(Fortnite)에서 취약점이 발견됐다. 보안 업체 체크포인트(Check Point)가 이에 대해 경고하는 차원에서 보고서를 발표했다. 에픽 측에서는 이 문제를 먼저 보고받고 조치를 취한 상태다.

[이미지 = iclickart]


포트나이트는 8천만 명이 넘는 게이머를 보유하고 있는 게임으로, 에픽 게임의 회사 가치(50~80억 달러로 추정된다)의 절반을 차지하고 있는 것으로 알려져 있다. 이번에 새롭게 발견된 취약점은 이렇게 높은 가치의 사용자 계정을 공격자가 탈취할 수 있도록 해주는 것으로, 계정에 입력된 개인정보를 입력하거나 인게임 캐시를 훔치거나 게임 내 채팅 로그 등을 열람하는 게 가능해진다.

포트나이트가 공격자들의 표적이 된 건 이미 과거에도 여러 번 있던 일이다. 그 중 포트나이트 인게임 머니를 준다고 유혹해 가짜 웹사이트에 접속하도록 한 피싱 공격이 대표적이다. 인게임 머니는 포트나이트 게임 안에서만 통용되는 것으로, 현금을 지불하거나 게임을 플레이함으로써 충전이 가능하다. 이 피싱 공격에 속은 사용자들은 로그인 크리덴셜과 개인정보를 빼앗겼다.

“조사를 시작하며 깨달은 게 한 가지 있다면, 포트나이트는 그냥 단순 게임이 아니라는 겁니다. 그 자체로 하나의 생태계이더군요.” 체크포인트의 취약점 조사 책임인 오데드 바누누(Oded Vanunu)의 설명이다. “그냥 사람들이 모여서 게임만 하는 게 아닙니다. 서로 연결해서 이야기도 하고, 물품을 사고팔기도 하지요. 사업이 이뤄지고 있는 로직이 매우 복잡하며, 따라서 잠재적 취약점들이 많이 존재합니다.”

체크포인트가 조사한 바에 의하면 최근에 이 생태계에서 발견된 공격은 과거의 피싱 공격과 달리 꽤나 수준이 올라가서 “사용자가 뭔가를 입력하는 걸 전제로 하지 않는다”고 한다. “에픽 게임의 서브도메인 일부에서 발견된 XSS 취약점을 공략할 경우, 사용자가 해야 할 일은 공격자가 보낸 링크를 클릭하는 것 뿐입니다. 클릭과 동시에 공격자들은 사용자 이름과 비밀번호를 그대로 탈취할 수 있게 됩니다. 사용자가 따로 입력하지 않더라도 말입니다.”

위험한 로그인 페이지
체크포인트의 연구진들은 블로그를 통해 “분석 처음부터 에픽 게임의 싱글사인온(SSO) 메커니즘에 뭔가 문제가 있을 것 같았다”고 설명했다. 그래서 이 부분부터 분석하기 시작했고, 그 결과 에픽 게임이 다양한 로그인 서비스를 지원하기 위해 일반적인 SSO 구현을 사용하고 있다는 걸 발견했다. 그래서 더 분석을 진행했다가 취약점을 발견했다고 한다.

“게이머들이 Sign In 버튼을 눌러서 로그인을 할 때, 포트나이트 플랫폼이 URL을 생성하더군요. 그 때 URL에 redirectedUrl이라는 매개변수가 같이 적용되는 걸 알 수 있었습니다. 이를 조작하면 사용자를 .epicgames.com이라는 도메인 내에 있는 아무 사이트로 우회시킬 수 있게 됩니다. 공격자가 미리 XSS 페이로드가 있는 사이트를 마련하면 피해자가 고스란히 당할 수밖에 없게 되는 것이죠. 이 페이로드는 요청을 아무 SSO 제공 업체에 보낼 수 있습니다. 그런데 포트나이트는 다양한 서비스를 사용 중에 있고요.”

다행히 이 오류는 에픽 게임 측에서 수정을 한 상태다. 하지만 체크포인트는 “포트나이트 생태계가 복잡하기 때문에 취약점이 어디고 있을 수 있다”며 “에픽 게임이 지금처럼 보안 분석 내용을 수월하게 받아들이고, 빠르게 조치를 취할 수 있어야 할 것”이라고 강조했다.

3줄 요약
1. 에픽 게임의 거대 게임 사업인 포트나이트에서 심각한 취약점 발견됨.
2. 이 취약점은 XSS의 일종으로, 사용자가 크리덴셜을 입력하지 않아도 링크 하나만 클릭하도록 하면 정보를 빼갈 수 있게 해줌.
3. 다행히 에픽 게임이 수정한 상태. 앞으로도 이런 발 빠른 조치 있어야 할 듯.
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>