아카마이, 해커의 표적된 게임..."120억건의 크리덴셜 스터핑 공격 확인"

채혜린 기자 / 기사승인 : 2019-06-20 15:21:27
  • -
  • +
  • 인쇄
-게임업계, 크리덴셜 스터핑 공격에 신음...해커가 단기에 높은 수익 올릴 수 있는 표적 전락

[일요주간=채혜린 기자] 최근 크리덴셜 스터핑(credential stuffing) 공격의 타깃이 게임에 집중되면서 게임 업계에 비상이 걸렸다.

 

크리덴셜 스터핑은 공격이란 공격자가 이미 확보한 크리덴셜을 다른 계정들에 마구 쑤셔 넣는(stuffing) 방식으로 사용자 정보를 논린 공격이다. 종의 무작위 대입 공격으로 사용자들이 같은 비밀번호를 여기 저기 동일하게 사용한다는 걸 노린 공격이다. 

 

클라우드 보안기업 아카마이(Akamai Technologies)는 ‘아카마이 2019 인터넷 현황 보고서: 웹 공격 및 게임 어뷰징’을 20일 발표했다.

 

이 보고서에 따르면 2017년 11월부터 올해 3월까지 총 17개월의 분석 기간 동안 게임 웹사이트를 대상으로 120억건의 크리덴셜 스터핑 공격이 확인됐다.

 

▲ 경찰청 사이버수사과가 중국인 해커의 해킹으로 인한 개인정보 유출과 관련해 브리핑을 하고 있는 모습.

 

게임이 크리덴셜 스터핑 공격의 먹잇감이 된 이유로는 해커가 단기에 빠르게 이익을 취할 수 있는 가장 수익성이 높은 표적 중 하나라는 게 아카마이의 설명이다. 


SQLi 공격은 지난해 연말 쇼핑 시즌에 급증한 이후 지속적인 증가 추세를 보이며 놀라운 속도로 성장했다. 2017년 1분기 SQLi 공격은 전체 애플리케이션 레이어 공격의 44%를 차지했다.

아카마이 관계자는 “SQLi 공격과 크리덴셜 스터핑 공격은 거의 직접적으로 연결돼 있다”며 “다크넷(darknet)과 다양한 포럼에 유포되는 크리덴셜 스터핑 목록의 대부분은 세계 최대 규모의 데이터 침해 사건에서 입수한 데이터를 이용하고 있으며 상당수가 SQLi 공격에 의한 것”이라고 전했다.

실제로 아카마이는 올 초 보안이 취약한 웹사이트에 SQLi 공격을 감행해서 얻은 인증정보를 사용해 인기 있는 온라인 게임을 대상으로 크리덴셜 스터핑 공격 목록을 생성하는 방법을 알려주는 영상을 발견한 바 있다.

마틴 맥키 아카마이 보안 연구원 겸 인터넷 보안 현황 보고서 수석 편집장은 “게임 업계가 해커에게 매력적인 표적인 이유는 손쉽게 인게임(in-game) 아이템을 교환할 수 있기 때문”이라며 “게이머는 게임에 돈을 지불하는 틈새 시장 타깃이고 이러한 특성이 해커들에게 매우 매력적인 목표물이 될 수 있다”고 전했다.

 

[저작권자ⓒ 일요주간. 무단전재-재배포 금지]

오늘의 이슈

뉴스댓글 >

주요기사

+

PHOTO NEWS