게임과 보안 #11 온라인 게임 회사를 노리는 해킹 그룹

국내 대형 온라인 게임 회사들의 보안 수준은 상당한 수준에 도달해 있고, 10년 전부터 우수한 보안 인재들이 끊임없이 지원을 하고 있는 산업입니다.

온라인 게임 회사들이 게임 개발을 하기에도 바쁜데 그 와중에 시스템 네트워크 보안, 그리고 내부 보안에도 투자를 지속적으로 하는 이유는 무엇일까요?

그것은 바로 해커들이 끊임없이, 그리고 악착같이 온라인 게임 회사들을 해킹하려고 시도하고 있기 때문입니다.

이번 연재에서는 과거 많은 해킹 시도들 중에서 전세계 많은 온라인 게임 회사들을 공포에 떨게 만들었던 Winnti 해킹 그룹의 사례를 들어보겠습니다.


#해킹이란?

게임 유저들 사이에서는 보통 게임 봇이나 매크로, 헬퍼와 같은 프로그램을 이용해서 치팅 플레이를 하는 것을 “해킹”이라고 표현하곤 한다.

그래서 각 해킹의 특징별로 “핵” 이라는 단어로 변경되어 스피드핵, 월핵, 에임핵, 뚫어핵과 같은 파생어들이 나오게 되었다.

이 핵은 아닙니다…

하지만 일반적으로는 해킹이라 함은 외부의 해커 (공격자)가 네트워크를 통해 회사의 웹페이지나 응용프로그램에 존재하는 취약점을 이용하여 내부로 침입해서 정보를 탈취하거나 시스템을 파괴하는 행위를 말한다. 이번 편에서는 이러한 일반적인 의미에서 쓰이는 해킹을 다룰 것이다.

 

#온라인 게임 회사를 해킹하는 이유는 무엇인가?

90년대 해커들은 그저 본인의 해킹 실력을 과시하기 위해 장난 스러운 해킹을 하는 경우가  많았다면, 최근에는 금전적인 이익을 얻기 위해 해킹을 하는 경우가 대부분이라 할 수 있다.

또는 직접적인 금전적인 이익을 위한 것이 아니라도, 웹사이트를 해킹한 뒤 메시지를 남겨두어 자신의 정치적 메시지를 남기려는 경우도 있을 것이다.

(이렇게 해킹 당한 웹사이트들은 zone-h 와 같은 사이트에서 찾아볼 수 있다. 잘 찾아보면 우리나라 사이트들도 종종 해킹당하여 종종 올라오는 것을 알 수 있다. http://www.zone-h.org/archive)

 정치적 메시지를 위한 해킹?

그렇다면, 해커가 온라인게임 회사를 해킹할 경우 얻을 수 있는 이익은 어떤 것이 있을까?

간단히 말하면, “이루 말할 수 없을 정도로 막대한 이익”을 얻게 된다.

  • 일단 게임회사에게는 가장 최악의 경우이고, 해커에게는 가장 최대의 이익이 될 수 있는 케이스가 될 텐데, 회사 내부망 개발 서버까지 해킹을 해서 소스코드를 탈취해 오는 것이다. 훔쳐온 소스코드로 직접 사설 서버를 만들어서 운영할 수도 있고, 아예 경쟁사에 은밀히 팔 수 있다. (거의 뭐든지 할 수 있다고 볼 수 있다.) 실제로, 국내 온라인 게임 회사의 소스코드를 중국 해커들이 훔쳐낸 뒤 해외 게임 회사에 넘기려 했던 사례가 있다.
  • 회사 내부 개발망까지 침입하여 소스 코드까지 확보는 못했다 하더라도 게임이 서비스 중인 IDC까지 침입하는데 성공해서 게임 서버 프로그램 을 훔쳐냈다고 한다면, 마찬가지로 최소한 사설 서버를 돌리는데 이용할 수 있다.
  • 하지만 이왕 IDC까지 침입을 했다면 더 무서운 일을 할 수 있는데, 바로 고객 개인 정보 데이터베이스를 훔쳐내는 것이다. 국내에서 엄청나게 성공한 게임들의 경우 가입자만 해도 100만명 이상 되는 경우들이 많기 때문에 개인 정보를 유통시켜 상당한 금전적 이익을 얻을 수 있다.
  • 개인정보를 유통시키지 않더라도, 유명한 게임이라면 아이템의 가치가 높기 때문에, 해커가 소유한 게임 계정의 아이템이나 머니 보유량을 게임 회사 Database를 조작하여 엄청나게 늘릴 수 있다.

역시 Money

우리는 지금까지 작업장이나 게임봇 정도만 게임 회사의 위협이 될거라 생각했었는데, 게임 회사에 대한 공격 시도는 실제로 상상을 초월한다.

그렇다면 실제로 온라인 게임 회사를 조직적으로 노린 공격 사례 중 심각했던 사건은 어떤 것이 있을까?

집요한 공격!

# Winnti 해킹 그룹의 전세계 게임 회사들에 대한 집요한 해킹

달리 집요하다는 말 밖에는 쓸 수 없는 사건인데, 2013년에 “사이버 범죄 조직 ‘Winnti’ 전세계 게임사 공격” 이라는 신문기사가 났던 적이 있다. (참고문헌 1)

사실 국내에서도 많은 온라인 게임 회사들이 2013년 즈음에 해킹을 당해서 대응을 하느라 많은 노력을 기울였는데, 회사로 들어오는 공격 정보는 사실 동종 업계 내에서도 공유할 수가 없기 때문에 각각의 회사들에서는 많은 회사들이 공통적으로 겪은 공격이라는 것을 인지하기는 어려웠다.

다만 여러 게임 회사에 동시에 출입하는 보안 회사들이나, 그나마 정보 교류를 하고 있는 일부 게임 회사에서 막연히 “여러 회사들이 동시에 공격 받았을 수 있겠구나” 정도로만 추정했을 뿐이었다.

We are under attack!

사실, “우리 회사로 이런 해킹이 들어왔는데 혹시 거기도 비슷한 공격 들어왔나요? 라고 묻는 순간 우리 회사가 마치 해킹을 심각하게 당해서 개인 정보 유출이나 게임 아이템 조작 등 온갖 문제가 다 발생한 것으로 오해 받기 쉽기 때문에 정보 공유나 공동 대응이 쉽지 않다.

각설하고, 전세계적으로 많은 해킹 그룹들이 활동하고 있는데 그 중에서 Winnti로 불리는 (본인들이 직접 그 이름으로 스스로를 부르는 것은 알 수 없고, 보안 분석가들이 그렇게 명명해 준 것으로 추정됨) 중국 해킹 그룹이 조직적으로 온라인 게임 회사들에 대해 몇 년 간에 걸쳐 해킹을 했는데, 이러한 공격 증후를 카스퍼스키라는 러시아 백신 회사에서 이를 추적하여 보고서로 (참고문헌2) 공개를 한 바 있다.

보고서는 2013년에 나왔지만, 실제로 보고서를 살펴보면 2009년 이전부터 얼마나 Winnti 그룹이 집요하게 전세계의 온라인 게임 회사들을 상대로 해킹을 했는지 설명되어 있다.

보고서에 따르면, 모 인기 온라인게임의 이용자 PC에서 Winnti 관련 악성 코드가 발견 되었는데, 이를 분석해 보니 이미 게임 회사 내부까지 해킹을 당한 상태였고, 악성 코드들이 회사의 업데이트 서버를 통해 배포되고 있는 것으로 분석이 되었다. 그리고 심지어 공격에 이용된 악성 프로그램이 게임 개발사의 정식 디지털 인증서를 이용하여 서명까지 되어 있었다. (서명을 하는 이유는 실행파일이 제작사에 의해 디지털 서명이 된 경우 아무래도 신뢰감을 더 주기도 하고, 서명이 안되어 있는 파일을 실행시키려 할 경우 최근 Windows 에서는 차단을 하거나 경고를 띄우기 때문에 이를 피하기 위한 것이다.) 즉 이 게임회사의 경우 게임 개발자의 사내망 PC까지 해킹하여 디지털 인증서로 서명까지 완벽하게 할 정도로 이 회사는 소위 탈탈 털린 상태였다.

털렸습니다…OTL

이 회사의 경우, 어느 정도 보안 수준이 갖춰져 있는 중견급 게임 회사였는데도  불구하고 해킹을 당한 것이었는데, 이 점도 놀랍지만 두가지 더 놀라운 점들이 발견되었다.

  1. 추적을 하다 보니 이 회사 뿐 아니라 동일범 (Winnti 중국 해킹 그룹)에 의해 한국과 중국, 일본에 진출한 국내 온라인 게임 회사들이 많이 희생이 되었다는 점
  2. 해킹한 회사에서 탈취한 디지털 서명을 이용하여 다른 해킹을 할 때 이용을 했다는 점. 2011년 싸*월드를 공격할 때에도 일련의 공격과정에서 탈취한 인증서를 활용했고, 2013년 3월 티베트와 위구르 행동주의자들에 대해 사이버 공격을 진행할 때에도 게임사로부터 탈취한 인증서를 활용하여 악성코드를 유포시킨 점.

이런 점들로 볼 때 혹시 특정 국가의 후원을 받는 해킹그룹에서 대대적으로 게임사들을 노려서 부당이익을 얻기 위해 해킹을 벌인 것이 아니냐는 추정도 가능하지만, 확증은 없다.

의심스럽지만 확증은…

참고로 Winnti 그룹에 의해 해킹을 당한 게임 사들의 분포는 다음 그림과 같다. 정말로 엄청나게 많은 게임 회사들이 피해를 입은 것을 알 수 있을 것이다.

2009년부터 확인된 것만 최소한 35개 회사가 해킹을 당했는데, 온라인게임은 대부분 전세계에 진출하여 서비스가 되고 있기 때문에 퍼블리셔, 지사들을 통해 이 공격이 손쉽게 확산될 수 있었다고 판단된다.

Winnti 그룹에 의해 해킹을 당한 게임사들의 분포

Winnti 해킹 그룹이 한번 본진을 공격하는데 성공한 뒤에 워낙 집요하게 공격 프로그램을 숨겨두고, 계속 서버를 옮겨다니면서 공격을 시도했기 때문에, 이 공격 피해를 완전히 복구하고 해커가 심어둔 백도어 파일들을 제거하는데 1년이 넘게 걸린 게임 회사들도 비일비재하다.

 

# XYZ 주식 회사에서 볼 수 있었던 흥미로운 발견 사항들 – 공격 진원지

Winnti에 해킹을 당한 가명의 XYZ 주식회사에서는 2012년 9월 21일, 보안 담당자가 게임 서버에 이상한 폴더와 파일이 생성되어 있고, 이 서버가 그간 전혀 통신할 일이 없는 한국의 모 IP address 와 대만의 모 IP address 로 통신을 하고 있는 것을 발견하여 신고를 하였다.

그리고 그 IP address 로 윈도우 원격 터미널 접속을 해보니 “중국어 간체”로 설치되어 운영 중인 서버임을 발견할 수 있었다.  (참고 – 중국어 간체는 대만에서는 쓰이지 않고 중국 본토에서 쓰임)

 

 

공격에 이용된 악성코드들은 나름 상당히 정성을 들여서 만들었는데, 소위 Fileless 공격 기법으로 불린다.

지금은 많은 해커들이 이러한 공격 기법을 이용하지만, 2009년 당시에는 상당히 앞선 공격 기법을 활용을 한 것이다. (Fileless 공격 기법이란 말 그대로 File 이 less (없는) 악성코드로, Winnti 사례에서는 PC가 공격 받을 경우 최초로 내려받는 DLL 파일 1개를 빼고는 공격에 사용된 파일들이 디스크에 저장되지 않기 때문에 흔적이 남지 않아 추적 및 분석이 무척 어렵다.)

공격에 감염된 PC들은 자신들에게 명령을 지시할 C&C (커멘드 & 컨트롤) 서버로 연락을 하여 명령을 전달 받고 수행하게 되는데, 이렇게 감염되어 원격의 조종을 받는 PC를 “좀비PC” 라 한다.

헉, 내 PC가 좀비PC가 됐다고?

네트워크 통신 내역 (즉, 좀비 PC와 C&C 서버간의 대화 내용)을 꼼꼼히 분석하면 감염된 PC들을 탐지할 수 있을 텐데, 매 시간마다 좀비 PC가 C&C 서버로 통신하는데 쓰이는 암호키가 변경이 되어서 탐지를 어렵게 하였다.

즉, 비유를 하자면 매시간마다 암구어가 화랑/담배 에서 다른 암구어로 바뀌기 때문에 알아내기 어려운 것과 비슷하다고 할 수 있다.

그리고 악성코드 감염에 이용된 “XYZ주식회사 직원 급여조정 명세서 Ebook.exe” 라는 파일에도 내부에 중국어로 된 문자열들이 발견되는 등 여러 정황들이 중국으로부터의 공격인 것을 추정할 수 있게 해 주었다.

다운로드 받은 플러그인 파일들에서 발견된 중국어 그림 예

 

#맺음말

비단 세간에 알려진 Winnti 그룹에 의한 APT 공격(Advanced Persistent Threat의 약자로, 목표 타겟을 매우 지능적으로 집요하게 공격하는 방식) 외에도, 온라인 게임 회사를 해킹할 경우 해커가 얻는 이익은 참으로 막대하기 때문에, 게임 회사들은 수많은 공격을 탐지하고 차단하기 위해 노력하고 있다.

어쩌면 해킹 최전방은 게임 회사일지도 모른다는 보안 업계의 평가가 과언이 아닐 거라 생각된다.

온라인 게임 회사들에서 OTP, PC 등록 서비스, 2차 비밀번호 등 고객보호 서비스들을 능동적으로 제공하는 것 역시 해킹을 막기 위한 다양한 방편들 중 하나이기도 하다.

다음 호에서는 데이터 마이닝을 통해 게임 봇과 게임 유저들의 행동을 분석했을 때 살펴 볼 수 있었던 재미있는 행동패턴을 소개하도록 한다.

 

참고문헌

  1. Kaspersky 보고서: “Winnti” More than just a game, 2013, https://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/winnti-more-than-just-a-game-130410.pdf
  2. 보안뉴스, “사이버 범죄조직 ‘Winnti’ 전세계 게임사 공격”, http://www.boannews.com/media/view.asp?idx=35681&kind=1

원형프로필_김휘강교수님김휘강 고려대학교 정보보호대학원 부교수. KAIST 산업경영학과를 마치고 산업공학과에서 석사, 박사학위를 받았으며, 게임봇 탐지 및 작업장 탐지, 계정도용 및 결제부정 탐지와 관련하여 지속적인 연구를 수행 중에 있으며, 고려대학교 해킹대응기술 연구실은 온라인게임보안 분야에서 전세계적으로 가장 많은 연구 성과를 내고 있다.

 

 

게임과 보안 #1 게임봇의 두 얼굴

게임과 보안 #2 게임봇이 나쁜 이유

게임과 보안 #3 게임봇과 작업장을 바라보는 다양한 시선

게임과 보안 #4 게임봇을 탐지하는 기법

게임과 보안 #5 게임봇과의 채팅엔 뭔가 특별한게 있다 

게임과 보안#6 찾아라! 게임봇의 행동 패턴

게임과 보안#7 계정 도용을 막는 방법

게임과 보안 #8 시퀀스 분석으로 계정 도용을 막아라

게임과 보안 #9 모티베이션 (동기) 분석을 통한 봇 탐지

게임과 보안 #10 사설 서버