온라인 게임의 역사, 그리고 그뒤에 숨은 ‘피싱(Phising)’의 역사

보안 2012/01/18 09:39

게임 아이템을 무료로 주겠다고 속이고 사용자 계정정보를 탈취하는 피싱 프로그램 등장 이후, 최근에는 셧다운제를 회피할 수 있는 피싱 프로그램이 유포되고 있는 것으로 나타났습니다.

최근에 발견되고 있는 피싱 프로그램은 ‘셧다운제해제’라는 이름으로 둔갑해 배포되고 있었는데, 해당 프로그램은 온라인게임 사용자의 아이디와 비밀번호를 입력하도록 유도해, 사용자의 게임 아이템을 탈취할 수 있도록 개발된 프로그램이었습니다.


이름만 그럴 듯 하게 지어놓은, 결국은 피싱 프로그램이었던 것이죠.

이번 포스팅에서는 온라인게임 피싱 프로그램의 시작과 역사를 짧게나마 써보려고 합니다.

온라인게임 피싱 프로그램의 역사는 매우 길고 깁니다.

 

피싱이라는 용어자체는 2000년 후반부터 쓰이기 시작했으나 그 개념 자체는 온라인 게임의 등장과 그 맥을 같이 하고 있습니다.

다양한 기법이 등장하고 있지만 결론은 같습니다. 해당 사용자의 아이디와 패스워드를 탈취해 금전적인 이득을 얻고자하는 것은 예나 지금이나 동일합니다.

우리나라 최초의 온라인게임 피싱 방법은 프로그램이 아닌 게임운영자 사칭이었습니다. 이는 게임마스터(GM)의 아이디와 유사하게 만든 다음 사용자들에게 접근, 개인정보를 탈취하는 방법이었습니다.

그러나 이 방법은 오래가지 않았는데, 게임업체들의 모니터링이 강화됨과 동시에 게임마스터의 아이디와 유사한 아이디는 생성조차 불가능하게 만들었기 때문입니다.

운영자 사칭 피싱은 향후 지인 사칭 피싱으로도 이어집니다. 지인인척 하고 게임아이템을 탈취하는 방법으로 진화한 것이죠.

이러한 사칭 피싱은 최근에는 ‘사회공학적 해킹’으로 불리고 있죠. 이는 사람과 사람사이에 존재하는 기본적인 신뢰를 바탕으로 공격을 하거나 원하는 정보를 취득하는 행위를 뜻합니다.

운영자 사칭 피싱 이후에 등장한 피싱 기법은 웹메일링 서비스를 이용한 것이었습니다. 이 기법은 ‘게임을 좀 더 편하게 즐기고자 하는 사용자들의 심리’를 교묘하게 이용한 방법으로 지금까지도 이어오고 있습니다.


시작은 블리자드사의 디아블로2 라는 게임이 시장에서 큰 히트를 치면서부터입니다. 당시 디아블로2에는 아이템 복사라는 버그가 존재했는데 이를 틈타 ‘복사를 대행해주겠다’는 게시물이 주요 게임공략사이트 게시판에 올라왔습니다.

사용설명서를 읽어보면 게임시스템을 잘 모르는 사람은 속아넘어갈 정도로 상세하게 설명을 해뒀습니다.

‘복사를 해준다는’ 웹 애플리케이션을 살펴보면 매우 단순합니다. 아이디와 비밀번호를 입력하고 복사를 누르면 끝입니다.


해당 웹 앱의 html 코드를 살펴봅니다. ‘코리아베이스’라는 웹메일 서비스를 이용해 입력된 폼값을 특정 이메일로 전송하도록 짜여져 있습니다.

이런 웹메일 서비스를 이용한 피싱은 2000년대 중반까지 지속적으로 등장했다가 웹메일 서비스 제공업체가 대폭 줄어들면서 자연스레 사라지게 됐습니다.

최근에 등장하는 온라인게임 피싱 프로그램은 웹메일 서비스 피싱과 기법은 동일하지만 더욱 진화된 형태입니다.

MFC프로그래밍으로 네이티브 앱을 직접 제작해 피싱에 활용하는 방법이 쓰입니다. 얼마전에 발견된 셧다운제 회피 프로그램이 바로 그런 것들의 일종입니다.


가장 대표적인 피싱 사고로는 지난 2005년 7월 국내 시중은행의 가짜 사이트로 개인정보를 유출한 사고입니다.

A 은행의 가짜 사이트를 만든 해커는 해당 사이트에 실명인증 프로그램이라고 위장한 피싱 프로그램을 올려뒀습니다. 이후 해커는 게임사용자들이 몰릴만한 커뮤니티에 해당 글을 올리고 피싱 프로그램 설치하도록 유도했고, 개인정보를 대거 유출시켰습니다.

최근에는 매크로를 이용한 아이템 탈취, 이메일을 이용한 계정정보 탈취 등이 최근에 많이 사용되고 있다고 합니다.

‘세상에 공짜는 없다’ 라는 말이 있습니다. 노력하지 않고 얻을 수 있는 것은 없다는 것을 뜻하죠. 피싱에 의한 피해는 ‘이유없는 공짜는 없다’라는 인식만 가지고 있다면 막을 수 있을 것이라고 조심스레 생각해봅니다.
2012/01/18 09:39 2012/01/18 09:39
TAG , , , , , , ,
트랙백 0, 댓글 0개가 달렸습니다

페이스북에서 내 정보가 새고있다…막을 방법은?

보안 2011/12/12 09:34


최근 페이스북의 최고경영자인 마크 저커버그의 사생활이 담긴 사진이 유출되면서 페이스북의 보안 취약점이 또 수면위로 떠오르고 있습니다.
페이스북은 공식블로그를 통해 이번 유출사고는 코드 푸시로 인한 결과이며 특정 시간대에서만 가능했다고 밝혔습니다. 페이스북의 상징적인 존재인 저커버그의 사진이 유출됐을 정도이니 다른 사용자들의 개인정보도 새나갔을 가능성이 매우 높습니다.

페이스북은 최근에 연이은 악재로 인해 보안인프라 투자를 더욱 강화하겠다고 밝히기도 했습니다.

페이스북의 보안투자와는 별개로 개인사용자들도 자신의 정보를 지키기위해 노력해야 합니다.

페이스북의 경우 웹브라우저에 한번 로그인을 하면 쿠키가 브라우저에 남아있어 로그아웃을 하기전까지 계속 로그인 상태가 지속됩니다. 공용피시에서 페이스북을 사용한 다음 로그아웃하지 않으면 자신의 개인정보를 그대로 다른 사람에게 보여주는 격입니다.

특히 최근에는 페이스북 oAuth(오픈 API인증) 방식을 이용한 서비스들이 다수 존재하는 것도 문제입니다. 로그아웃을 하지 않을 경우, 페이스북 아이디와 연동된 다른 서비스의 정보도 탈취당할 수 있다는 것을 인지해야할 것입니다.

너무 많은 개인정보를 ‘전체공개’로 해두는 것도 매우 위험합니다. 자신이 자주 가는 곳, 가족관계, 생일과 같은 정보는 새로운 정보로 재탄생 돼 해커들의 좋은 먹잇감이 될 수 있기 때문입니다.


민감한 정보는 친구, 친구의 친구에게만 공개하는 옵션도 최근 페이스북 업데이트로 사용할 수 있게 됐으니 이를 적극 활용하는 게 좋을 것 같습니다.

또한 페이스북 애플리케이션(앱) 설치, 사용에도 주의를 기울여야합니다.

페이스북 사용자라면 한번쯤은 ‘이번 주 내게 가장 방문 누구’라는 페이스북 앱이 자신의 담벼락에 게시된 것을 보셨을 것입니다.


‘이번 주 내게 가장 방문 누구’는 자신의 담벼락에 가장 많이 방문한 사용자가 누구인지를 알려주는 앱인 것 ‘처럼’ 속이는 앱입니다.

속인다고 표현한 것은 페이스북에서는 사용자 담벽락에 어떤 사람이 많이 접속했는지 카운트하는 API가 존재하지 않기 때문입니다.

즉 ‘이번 주 내게 가장 방문 누가’라는 앱은 단순히 사용자의 친구리스트를 확인하고 랜덤으로 추려서 게시물을 만드는 것으로 볼 수 있습니다.

해당 앱은 사용자의 ▲이름 ▲프로필 사진 ▲성별 ▲네트워크 ▲사용자 ID ▲친구 리스트 ▲내가 전체 공개로 설정한 다른 정보 ▲내 사진에 접근 ▲나를 게시자로 해 담벼락에 게시물 작성 등의 권한을 요구합니다.

앱 개발자가 마음만 먹으면 나쁜 쪽으로 사용할 수도 있습니다. (물론 해당 앱이 그렇다는 것은 아닙니다)

실제로 이 같은 권한을 이용해 악성코드를 확산시킨 사례도 존재한다고 하니 주의를 기울여야겠습니다. 특히나 수천명의 친구를 가진 사용자가 담벼락에 악성코드가 탑재된 게시물을 저도 모르는 사이에 공유될 경우 치명적인 결과를 초래할 수도 있습니다.


제일 좋은 방법은 페이스북에 올라온 앱들을 이용하지 않는 것이지만, 실제로 그렇게 하긴 어려우므로 해당 앱을 실행하기 전 어떠한 권한을 요구하는지 잘 살펴봐야 할 것입니다.

만약 설치한 앱을 더 이상 사용하지 않을 경우에는 계정설정-앱 에서 해당 앱을 삭제하는 것도 좋은 방법입니다.
2011/12/12 09:34 2011/12/12 09:34
TAG , , ,
트랙백 0, 댓글 0개가 달렸습니다