게임업계, 사이버 공격 타깃...2년만에 340% 증가

코로나19 이후 게임업계가 사이버 공격의 타깃이 됐다. 크리덴셜 스터핑(유출된 사용자 계정으로 다른 웹사이트나 애플리케이션을 무작위로 대입해 로그인한 후 추가 정보 유출하는 수법)이나 디도스(DDoS·분산서비스 거부) 공격이 주된 수법이다.

1일 인텔리전트 엣지 플랫폼을 제공하는 아카마이가 발표한 '인터넷 보안 현황 보고서: 코로나19 시대의 게임'에 따르면 2021년 게임 업계에 가해진 웹 애플리케이션 공격은 2019년에 비해 340% 증가한 2억4000만 건에 달한다고 밝혔다. 아카마이는 2022년은 메타버스, NFT, P2E 게임 등 게임업계들의 신사업 확대로 사이버 공격 시도는 더욱 늘어날 것으로 전망한다.

실제로 지난해 과학기술정보통신부와 한국인터넷진흥원은 '2021년 한 해 사이버위협 분석과 2022년 사이버위협 전망'을 통해 메타버스를 비롯한 NFT, 인공지능(AI) 등 신기술의 취약점을 악용한 새로운 유형의 신종 사이버위협을 경계해야 할 대상으로 언급하기도 했다.

아카마이 보고서에 따르면 인앱 결제와 통합된 모바일 게임이 공격의 피해자가 되고 있다는 점을 지적했다.

사이버 공격의 타깃은 대부분 게임 이용자들인 것으로 나타났다. 게임이용자들이 ▲게임 관련 소셜 커뮤니티 가입이 대부분 가입되어 있다는 점과 ▲게임 아이템 구입 등 비용 부분 지출이 자연스럽다는 점을 앞서 이유로 들었다.

특히, 2021년 게임업계는 약 110억 건에 달하는 크리덴셜 스터핑(유출된 사용자 계정으로 다른 웹사이트나 애플리케이션을 무작위로 대입해 로그인한 후 추가 정보 유출하는 수법)공격의 대상이 됐다.

이는 2019년 대비 224% 증가한 수치다. 크리덴셜 스터핑의 경우 2020년 대규모로 탈취된 사용자 이름 및 비밀번호 목록이 불법 사이트에서 겨우 5달러에 판매된 사례도 있다.

2022년 상반기는 더욱 공격 시도가 많았을 거라는 전망도 나왔다.

아카마이는 "사이버 공격 2022년 상반기 기준 수치 결과가 아직까지 도출되지는 않았지만 한국 게임업계가 올해 P2E, 메타버스, NFT 등 신사업을 확대한다는 방침으로 사이버 공격 시도는 지난해 대비 더욱 증가했을 것"이라고 전망했다. 실제 지난 1월 오징어 게임을 테마로 한 마이크래프트 온라인 게임 대회는 디도스 공격 때문에 중단된 바 있다. 트위치 플랫폼에서 가장 인기있는 BJ들 포함 150여 명의 유저가 참여한 대회였고, 우승자 상금은 무려 10만 달러에 달했다. 이는 강력한 디도스 공격으로 중단되는 사태까지 이르렀다.

이에 국내외 IT 및 게임업계들도 정보보호 강화를 위해 다양한 솔루션을 구축하고 있다.

위메이드는 지난 17일 노르웨이 정보보호 관리 인증기관인 DNV로부터 국제표준 정보보호 인증인 'ISO27001(정보보호경영시스템)'와 'ISO27701(개인정보보호 경영시스템)' 인증을 동시에 획득했다. 이번 인증은 위믹스도 함께 획득한 것으로 알려졌다. 위메이드 측은 "글로벌 정보보호 인증 2종 획득으로 정보보호 체계를 한층 더 고도화 할 수 있는 계기를 마련했다"고 말했다..

펄어비스도 국제 표준 개인정보보호 인증 'ISO/IEC 27701'을 획득했다.

이번 인증은 국제표준화기구(ISO)와 국제전기기술위원회(IEC)가 84개 개인정보 통제 항목, 생명 주기 별 보호 활동 적절성 등을 심사해 제정하는 해당 인증은 국제적으로 가장 권위 있는 관리체계로 알려져 있다.

펄어비스보다 앞서 엔씨소프트가 2019년 해당 인증을 취득한 바 있다.

업계들은 자체적으로 차별화된 기술을 확보하거나 안정적인 기술을 보유하고 있는 기업이나 플랫폼 등과 협업하는 것이 예방을 위한 가장 빠른 선택이라고 입모아 얘기한다.

자키 조렌슈타인(Tzachi Zorenshtain) 체크막스 공급망 보안 총괄은 본지 뉴스룸을 통해 "한국 기업들은 사이버 공격으로 많은 피해를 입고 있다. 사이버 공격이 오기 전 미리 공격 시도를 방지할 수 있는 프로그램이나 솔루션을 활용해 보안위협을 예방하는게 가장 중요"라고 강조했다.

이같은 사태에 한국게임협회 관계자는 "국내 게임 기술이 고도화 됨에 따라 사이버 공격의 수준도 높아 질 것으로 전망한다"며 "대부분의 업계가 신기술을 발표 함에 따라 더욱 예의 주시 해야 할 것이다. 이는 국가, 국민까지 피해가 갈 수 있는 중요한 사안. 자체 내 보안 기술을 확보하거나 보안 기업을 통해 협업 하거나 제공 받는 것이 현재로서는 올바른 선택"이라고 말했다.