엔씨소프트가 최근 출시한 MMORPG 게임 '쓰론 앤 리버티'(TL)에서 유저의 게임 머니 '루센트'가 도난 당하는 사건이 발생했다.

루센트는 게임 속 거래소에서 유저들 간의 아이템 거래나 특수 상점에서의 구매 등에 사용되는 게임 내 화폐를 말한다.

데일리시큐가 확인한 결과, 이번 공격은 크리덴셜 스터핑 공격으로 발생한 게임 머니 탈취 사건이며 모든 게임사에서는 지속적으로 발생하는 보안사고 이슈다.

크리덴셜 스터핑(Credential stuffing)은 공격자가 여러 루트에서 수집한 사용자들의 로그인 인증 정보를 다른 사이트의 계정 정보에 마구 대입해 공격하는 방식이다.

최근 다크웹이나 블랙마켓에서는 사용자 아이디와 패스워드를 판매하거나 공개하는 사례를 흔히 볼 수 있다.

사이버 범죄자는 여기서 입수한 계정 정보를 엔씨소프트 TL에 무작위 대입한 후, 접속에 성공한 계정에 있는 루센트를 자신이 컨트롤하는 계정으로 전송해서 탈취한 것이다.

상당수 유저들이 다른 사이트 계정을 그대로 게임 계정으로 사용하는 경우가 많기 때문에 이런 공격이 가능해 진다. 그래서 중요 사이트 비밀번호를 정기적으로 교체하고 각각 다른 비밀번호를 사용하라고 권고하는 이유가 여기에 있다.

엔씨소프트는 TL 런칭 초기라 2차인증으로 사용되는 게임 기기 등록을 마무리하려던 차에 사이버 범죄자들이 TL 유저 계정에 접속해 게임 머니를 탈취한 것으로 보고 있다.

엔씨소프트 TL 운영진은 8일 오후에 기기등록 인증체계를 마무리했고 이제 유저들은 자신이 등록한 기기에서만 TL 게임을 할 수 있게 된다. 이렇게 되면, 해커가 계정에 몰래 접속하더라고 기기인증을 할 수 없기 때문에 게임 아이템이나 게임 머니를 탈취해 갈 수 없게 된다.

현재 피해 유저 30여 명이 엔씨소프트에 신고를 한 상태이고 피해를 당했지만 아직 신고 전인 유저도 더 있을 것으로 파악된다. 엔씨소프트는 해당 유저들에게 전액 보상을 할지 내부 논의중인 것으로 보인다.

크리덴셜 스터핑 공격에 피해를 입지 않기 위해서는 주기적인 비밀번호 변경과 사이트별로 다른 비밀번호를 사용하는 것이 중요하다.

또한 기업들은 유저 편의성을 위해 2차인증을 도입하지 않거나 다양한 인증 체계를 갖추지 않는다면 언제든 피해사례가 발생할 수 있기 때문에 각별히 신경을 써야 한다.

한편 엔씨소프트는 8일, 최고사업책임자(CBO) 3명을 중심으로 한 주요 개발 및 사업 조직을 재편하고, 기획 조정 및 법무 등을 담당하는 최고경영자(CEO) 직속 조직을 새롭게 설정하는 조직 개편안을 내부에서 공지했다.

이번 조직 개편에서 CBO로는 '리니지' IP 전반을 담당하는 이성구 부사장, '아이온2' 개발을 총괄하는 백승욱 상무, 그리고 '쓰론 앤 리버티(TL)'를 비롯한 신규 지식재산(IP) 프로젝트를 관리하는 최문영 전무가 임명되었다.

김택진 대표의 배우자인 윤송이 사장과 동생인 김택헌 수석부사장은 최고전략책임자(CSO) 및 최고퍼블리싱책임자(CPO) 직을 내려놓았다.

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★