온라인 게임: 해커 및 악의적 목적을 가진 이들로부터 보안을 확보하는 방법

코로나 19 사태로 인해 집에 머무는 시간이 증가함에 따라 자연스레 온라인 게임 이용 시간도 증가하였습니다. 이에 따라 최근 이를 노린 해킹 범죄가 증가했습니다. 코로나 사태가 기승을 부리던 2020년 3월, 한국소비자원과 한국소비지단체협의회는 모바일 정보 이용 서비스와 모바일 게임 서비스에 대한 소비자 상담이 급증했다고 밝혔습니다. 그 중 상담 증가율이 가장 높은 분야는 모바일 정보 이용 서비스로, 한국소비자원은 사회적 거리두기로 가정에 머무는 시간이 늘면서 해당 분야에 대한 소비자 상담 건수가 증가한 것으로 분석했습니다.

4차 산업 혁명 이후 인터넷은 빠르고 폭넓은 사람들에게 보급되었습니다. 이에 대한 접근성이 높아짐에 따라 이러한 시장을 공략하는 소규모 비즈니스 집단이 산발적으로 조직되었고 이들의 특징은 대부분 서비스 출시 시점 이후 빠르게 수익을 내야하는 구조이기 때문에 보안성이 크게 떨어지는 경우가 많습니다. 이러한 경우, 보안 위험에 노출된 사용자가 해커에 의해 변조된 서비스를 사용 및 다운로드한다면 이는 컴퓨터, 휴대폰 해킹으로 이어져 큰 피해가 발생할 수 있습니다.

또한 보안 업계에 따르면 12세 미만의 아동들을 표적으로 하는 해킹 공격이 많은 만큼 보호자들의 각별한 주의가 필요하다고 말했습니다. 아이들은 특별한 주의없이 대단히 의심스러운 무료 서비스 앱 또는 게임을 다운로드한다는 사례 또한 보고되었습니다.

클릭 한 번으로 최고의 게이밍 환경을 경험해 보세요.

인터넷이 보급되는 초창기 시절에는 인터넷을 통한 개인 정보 보호가 거의 문제가 되지 않았습니다. 사람들은 여러분을 여러분의 아바타 혹은 스크린에 표시된 닉네임으로만 알고 있었고, 누군가가 여러분의 컴퓨터를 해킹하더라도 추가 데이터에 접근할 방법은 없었습니다.

하지만 이제 상황은 완전히 바뀌었습니다. 현재 우리는 게임 내에서 정보를 제공하는 데 매우 주의를 기울이더라도 게임을 플레이하기 위해서는 계정을 생성해야 하며 게임내 아이템을 결제하거나 소액 거래로 무언가를 구매하려면 신용 카드 정보 제공 혹은 인터넷 뱅킹을 통해 결제를 해야 하는 경우가 많아졌습니다.

제공 업체가 요구하는 빈칸에 적은 개인 정보의 이동 경로는 여러분의 IP 주소를 통해 추적될 수 있으며 이는 여러분의 개인 정보 유출로 이어집니다. 대부분의 경우, 특히 인기있는 게임을 자주 접속하는 계정이 있는 경우 그 사용자의 신분 정보는 도용될 수 있습니다. 여러분이 신분 도용의 피해자가 된다면 다시는 마음 편히 게임을 플레이하기엔 무척 어려울 것입니다.

이렇듯, 무료 또는 유료 온라인게임 중 어떠한 종류의 게임을 하든 해커는 여러분의 계정을 탈취해서 많은 유무형의 가치를 얻을 수 있습니다. 또한 컴퓨터 혹은 휴대폰에 보안 서비스 이용은 일반적으로 불편한 과정을 요구하므로 많은 온라인 게임 플레이어들은 기본적인 사이버 보안 예방 조치를 취하지 않은 경우가 많습니다. 그 때문에 대부분의 사용자 계정을 해킹하는 일은 그리 어렵지 않은 것으로 알려져 있습니다. 이러한 해커들은 여러분의 계정을 침입, 탈취하면 다음과 같은 정보를 얻을 수 있습니다.

• 온라인 게임 속 대화를 듣고 채팅 내용을 읽을 수 있습니다.
• 정의 로그인 정보를 재사용하여 다른 계정(예: 소셜 미디어)에 침입할 수 있습니다.
• 피싱 공격을 통해 사용자 계정에 침입하여 더 많은 개인 정보를 얻을 수 있습니다.
• 딥웹, 또는 음지 네트워크에서 사용자의 개인 정보를 판매할 수 있습니다.
• 사용자의 인터넷 뱅킹 기록 등을 통해 결제 정보를 탈취, 사용하여 가상 통화를 구매하고, 해커 자신의 계정으로 보낸 다음 게임 플랫폼이나 딥웹에서 이를 재판매 할 수 있습니다.
• 사용자의 계정을 사용하여 불법 돈을 세탁할 수 있습니다.

해커는 다양한 방법으로 여러분의 계정을 침입할 수 있습니다. 정보 통신 기술이 발전할수록 이에 따라 해킹 기술 또한 더욱더 발전하고 있습니다. 다음은 해커들이 주로 사용하는 해킹 기법입니다.

1. 취약한 비밀번호

게임 계정을 만들 때 저지를 수 있는 가장 큰 실수 중 하나는 취약한 암호를 생성하는 것입니다. 어느 누구든 사전에서 쉽게 찾을 수 있는 한 단어로 구성되거나 '1234', ‘asdf’, ‘0000’과 같은 누구도 연상하기 쉬운 비밀번호를 사용하는 단어입니다. 해커는 특정 프로그램을 통해 무작위 암호 대입 공격(암호문의 암호 키를 찾기 위해 모든 경우의 수를 무작위로 대입하여 암호를 푸는 공격 방법)을 할 때 유용한 일반적인 암호의 대규모 데이터베이스를 보유하고 있어 쉽게 여러분의 계정을 탈취할 수 있습니다.

무작위 암호 대입 공격을 완료하려면 해커는 사용자 이름 혹은 이메일 주소만을 필요로 합니다. 그 후 성공할 때까지 또는 재수 없이 전체 목록을 통과할 때까지 데이터베이스의 모든 암호를 푸는 봇을 사용합니다.

2. 데이터 침해

데이터 침해 및 유출은 해커의 또 다른 암호 금광입니다. 안타깝게도 이를 방지하는 일은 데이터를 저장하는 회사의 사이버 보안 성능, 그 수준에 따라 달라지기 때문에 사용자는 자신을 보호하기 위해 할 수 있는 일이 별로 없습니다. 여러분의 암호를 매우 풀기 어려운 암호화 수준으로 구성되지 않은 상태를 유지하면 딥웹 혹은 해커의 손에 들어갈 가능성이 큽니다.

3. 크레덴셜 스터핑(사용자 인증 정보 무차별 대입)

크레덴셜 스터핑, 사용자 인증 정보 무차별 대입이란 사용자의 다른 플랫폼에서 유출된 로그인 정보를 다른 계정에 무작위 대입해 사용자의 개인 정보를 빼내는 수법을 말합니다. 즉, 기존에 다른 곳에서 유출된 아이디와 암호를 여러 웹사이트나 앱에 대입해 로그인이 될 경우 사용자의 개인 정보 등을 딥웹 등에 유출시키는 것입니다. 이는 사용자들이 아이디와 암호를 다르게 설정하는 복잡함을 꺼려하고 대다수 서비스 및 웹사이트에서 동일한 아이디와 암호를 쓴다는 사실을 악용한 것입니다.

여러 계정에서 동일한 암호를 재사용하는 경우 크레덴셜 스터핑, 공격에 취약할 수 있습니다. 여러분의 로그인 정보가 이전에 유출되었거나 해커가 여러분의 다른 계정을 침입한 경우 다른 플랫폼 및 웹사이트에서 동일한 로그인 정보를 통해 재침입하려고 할 것입니다. 특히 게임 계정과 온라인 뱅킹에 동일한 암호를 사용했다면 이는 큰 문제로 발전할 수 있습니다.

4. 크로스 사이트 스크립팅

크로스 사이트 스크립팅은 해커가 실행 가능한 악성코드를 웹 페이지에 삽입하고, 다른 사용자로 하여금 악성 코드가 삽입된 웹 페이지를 보게 함으로써 공격을 하는 기법입니다. 즉, 크로스 사이트 스크립팅은 해커가 사용자의 로그인 세부 정보를 훔치기 위해 널리 사용하는 또 다른 유형의 공격입니다. 또한 크로스 사이트 스크립팅의 공격 대상은 서버가 아닌 일반 사용자라는 점에서 매우 큰 파급력을 가집니다. 대표적인 공격 대상은 게시판 또는 포럼에 작성되어 있는 글, 쪽지, 이메일 등입니다. 이러한 사례는 한국에서도 대형 커뮤니티 웹사이트의 광고 서버를 통하여 특정 웹 페이지에 접속되는 사용자들에게 악성 코드를 대량으로 유포했는 랜섬웨어 사건이 발생한 적이 있습니다.

이러한 해킹 방식은 어떻게 작동할까요? 일부 웹사이트 서버는 개인 정보를 교환할 때마다 인증을 재확인하지 않습니다. 해커는 이러한 취약점을 간파하고 이를 사용하여 웹사이트의 UI에 스크립트를 삽입한 다음 해당 웹사이트에 입력한 사용자 정보를 훔치고 이를 악의적으로 사용할 수 있습니다.

중요한 정보의 보안이 걱정이신가요? VPN으로 해킹 공격을 방지하세요.

5. 메모리 해킹

메모리에 있는 사용자의 데이터를 위조 및 변조하는 해킹 기법입니다. 기존의 해킹 방법은 외부에서 계좌 암호를 탈취하는 방법에 초점을 맞춘 반면, 메모리 해킹 방법은 백도어 같은 프로그램을 설치하고, 컴퓨터 및 휴대폰 메모리에 있는 암호를 탈취하는 것을 넘어 이에 대한 데이터를 조작하여 받는 계좌와 금액까지 변경할 수 있는 방법입니다. 특히 온라인 게임의 소스를 수정하지 않고도 해커가 원하는 사용자 데이터를 손쉽게 알아낼 수 있어 기술적 수준은 낮은 편이지만 피해 규모는 큰 해킹으로 알려져 있습니다.

6. 중간자 공격

중간자 공격은 특히 공용 와이파이를 사용할 때 가장 일반적으로 당할 수 있는 위협 중 하나입니다. 즉, 해커가 컴퓨터와 인터넷 사이를 이동하는 데이터를 가로채는 것입니다. 해커는 도난당한 데이터를 사용하여 사용자를 감시하거나, 개인 정보 및 로그인 인증 정보를 탈취하거나, 데이터를 손상시키거나, 통신을 방해할 수 있습니다. 중간자 공격은 랩톱, 태블릿 및 휴대폰을 포함한 모든 장치에 영향을 미칠 수 있습니다. 예를 들어, 비행기 탑승을 기다리는 동안 공항 라운지에서 온라인 게임을 플레이하는 경우 이러한 해커의 공격에 취약해질 수 있습니다.

어떤 이가 여러분의 계정을 침입, 탈취하는 것은 무시무시한 상황이지만 이것만이 온라인 게임 세계에서 존해자는 유일한 위협은 아닙니다.

1. 디도스(DDoS) 공격

여러분이 온라인 게임에 대해 진지하고 전문적으로 또는 경쟁적으로 플레이를 하는 경우 분산 서비스 거부 (DDoS) 공격의 피해자가 될 수 있습니다. 수백 또는 수천 개의 감염된 장치가 있는 봇넷을 사용하고 이를 생성하면 해커가 라우터(IP가 알려진 경우) 또는 연결된 게임 서버에 막대한 요청, 접속 통신량을 한꺼번에 일으킵니다. 이로 인해 시스템 과부하가 발생하고 이를 마비시킵니다. 결국 게임이 중단되거나 연결이 끊어지게 됩니다.

2. 악성 코드

해커는 사용자를 속여 맬웨어를 다운로드하게 만들 수 있습니다. 예를 들어, 거주하는 국가에 출시되지 않은 게임을 사용자가 다운로드하기 원하는 경우 이를 P2P 웹사이트에서 다운로드할 수 있습니다. 해커는 이를 노려 인기있는 게임을 목록화하고 미끼로 사용할 수 있습니다. 새로운 게임 출시, 또는 한국에 아직 출시되지 않는 게임으로 가장한 악성 코드를 절대 다운로드하지 마세요.

3. 피싱

피싱은 또한 악의적이거나 스푸핑(승인받은 사용자인 것처럼 시스템에 접근하거나 네트워크상에서 허가된 주소로 가장하여 접근 제어를 우회하는 공격 행위)된 링크를 클릭하도록 사용자를 속이는 데 사용될 수 있습니다. 예를 들어, 어떤 포트나이트 플레이어는 할인 또는 무료 온라인 캐시 및 기타 아이템을 제공하는 게임 포럼에 게시된 수상한 링크를 발견했고 이를 클릭하였습니다. 하지만 사실 링크는 해커가 플레이어의 계정을 침해하도록 만든 크로스 사이트 스크립팅 공격의 일부였습니다.

또한 이미 가지고 있는 정보(예: 이메일 주소)를 사용하여 피싱 이메일을 보낼 수 있습니다. 대부분 적법한 조직에서 메일을 보냈다고 착각하도록 감쪽 같이 똑같은 이메일 템플릿으로 속일 것입니다. 만약 이러한 메일에 속게 되면 암호, 결제 세부 정보, 집 주소 등과 같이 더 많은 사용자의 개인 정보를 해커가 탈취할 수 있습니다.

4. 사이버스토킹 및 사이버 폭력

인터넷 보급이 급격해짐에 따라 부작용인 사이버스토킹 및 사이버 폭력의 사례도 증가하고 있습니다. 사이버스토킹 및 사이버 폭력이란 인터넷을 통해 의도와 악의를 가지고 상대방에게 지속적, 반복적으로 공포감이나 불안감을 유발하는 범죄 행위를 말합니다. 이러한 행위들은 온라인, 오프라인 생활 이 2개의 세상 모두 통틀어 한 인간의 삶을 매우 괴롭게 만들 수 있습니다. 일부 온라인 게임에서는 이러한 악의적인 행동은 쉽게 찾아볼 수 있을 정도로 흔할 수 있습니다. 상대방은 여러분의 게임 IP 주소를 조회하고 여러분의 위치 또는 신원 정보를 찾은 다음 소셜 미디어 및 기타 게임 플랫폼에서 여러분을 지속적으로 괴롭힐 수 있습니다.

여러분이 실제 거주하는 주소까지 알면 실생활에서도 스토킹할 수 있습니다. 가장 악의적인 경우는 스와팅이라는 것을 사용할 수도 있습니다. 드물지만 이는 주로 FPS 게임을 하는 사용자를 표적으로 게임 자체 시스템에 내장되어 있는 사운드를 증거로 가짜 인질 상황, 폭탄 위협 또는 기타 긴급 상황이라고 거짓 신고하여 그 사용자에 집에 테러 대응 부대의 긴급 서비스를 보내는 일종의 극단적인 괴롭힘입니다. 이는 아주 치명적인데 실제로 일부 유명한 FPS 게임 스트리머들에게 이러한 사건아 발생한 사례가 있습니다. 현실이 아닌 온라인 게임이라고 해서 여러분의 안전을 보장해주지 않습니다.

해커 (및 가장 악의적 목적을 가진 이들)이 여러분의 개인 정보를 쉽게 침입하지 못하게 만들기 위한, 간단한 예방 조치를 취할 수 있습니다. 방법은 다음과 같습니다.

• 강력한 비밀번호를 사용하세요. 무차별 대입 공격으로부터 사용자를 보호하거나 해커가 내 암호 추측을 방지하는 방법 중 하나는 쉽게 해독할 수 없는 강력한 비밀번호를 만드는 것입니다. 고유한 암호를 생성하거나 자동 NordPass 같은 암호 생성기를 사용하여 기억하기는 더 간단하지만 추측하거나 해독하기 훨씬 더 어려운 암호를 생성할 수 있습니다.
• 로그인할 때, 2단계 인증 과정을 활성화합니다. 이러한 것은 게임 계정이나 이메일 계정에 로그인하는 과정이 불편해질 수 있지만 보안 성능은 두 배나 증가합니다. 해커는 로그인 과정의 두 번째 인증 코드를 받으려면 사용자의 휴대폰에 물리적으로 접근해야 하는, 사실상 불가능하게 만들 수 있습니다.
• 바이러스 검사 소프트웨어를 사용하고 이를 정기적으로 업데이트하세요. 가장 일반적으로 해커가 사용자의 개인 정보를 침입하는 방법인 인터넷 악성 바이러스가 여러분의 장치를 감염시키기 전, 이를 방지하고 감지하는 데 도움이 됩니다.

• 피싱 기술을 파악, 숙지하세요. 위에 기술된 방법 외 다양한 피싱 기술들을 쉽게 알아볼 수 있으면 그에 빠지지 않을 가능성이 커집니다.

  피싱 공격은 대부분 가짜 이메일로 이루어지므로 이를 확인할 때 주의해야 합니다. 어떤 게임 회사도, 어떠한 상황에서도 여러분의 암호 공유를 요청하지도 않으며 해서는 안됩니다. 이메일에 링크가 있고 어떤 이유로 로그인하도록 지시하는 경우 먼저 이를 의심해야 합니다. 이메일의 수신자를 확인하여 실제로 서비스 업체에서 보낸 것인지 확인하여 메일이 실제 회사에서 보낸 것인지 확인해야 합니다. 또한 회사에 직접 연락하거나 채팅을 통한 인터넷 고객 지원 센터를 통해 직접 연락할 수 있는 방법 또한 좋습니다.

• 사이버스토킹 및 사이버 폭력에 직면하고 이에 대응하세요. 코로나 사태로 인해 비대면 서비스 활동은 급증했습니다. 온라인과 현실의 경계는 점점 허물어져 가고 있으며, 사이버스토킹 및 사이버 폭력의 영향력은 이에 따라 점점 커갑니다. 만약 둘 중의 하나에 피해를 보게 된다면 이에 대응하게 위해 어떻게 행동해야 하는지 찾아보세요.
• 공용 와이파이 사용을 최대한 피하세요. 공공장소에 설치되어 있는 공용 와이파이는 해커가 공격할 수 있는 가장 최고의 장소입니다. 치명적인 개인 정보가 내장된 게임 계정 로그인을 자제하고 침입당할 가능성을 항상 염두해두고 주의를 기울여야 합니다. 그러나 부득이하게 사용해야 한다면 최소한 보안 네트워크 또는 VPN 서비스를 이용해야 합니다. 특히 최상급 보안 성능을 보여주는 NordVPN과 같은 게임용 VPN를 사용하는 것이 좋습니다.
• 게임용 VPN 서비스를 사용하세요. 특히 공공장소에서 공용 와이파이를 이용하여 게임을 플레이해야 할 경우, VPN를 사용하는 것이 최고의 방법입니다. 최성능의 게임 VPN을 사용하면 트래픽을 암호화하고 해커와 이를 노리며 엿보는 이들로부터 게임 IP 주소를 숨길 수 있습니다. 또한 디도스 공격 및 ISP 대역폭 조작으로부터 사용자의 개인 정보를 보호할 수 있습니다.

온라인 게임은 일반적인 온라인 활동과 동일한 위험 가능성을 내포하고 있습니다. 그리고 이러한 위험에 대한 아무렇지 않게 생각할 경우 게임 시스템에 저장된 엄청난 양의 상점에서 구매할 때 주소 및 이메일 로그인과 함께 귀중한 신용 카드 데이터와 같은 여러분의 사용자 개인 정보 데이터는 끔찍한 위험에 노출될 것입니다.

만약 여러분이 이미 VPN 서비스를 사용하여 사용자의 온라인 활동을 보호하기 위한 조치를 취한 경우 온라인 게임 시스템에도 이러한 작업을 고려하는 것은 당연해 보입니다. 그러나 무료 VPN 또는 성능이 낮은 VPN 서비스를 사용할 경우, 역으로 해커의 공격에 당할 가능성이 더 커질 수 있습니다. 하지만 NordVPN은 사실상 해킹이 불가능에 가까운 암호화 기술과 더불어 '최고의 VPN' 순위에서 여러 해 동안 1위를 차지해 온 화려한 보안 이력은 여러분의 우려를 불식하고 온라인 게임 활동을 안전하게 지켜줄 것입니다.

해커가 중요한 정보에 접근할 수 없도록 해야 합니다. 오늘 NordVPN을 구독하세요. 30일 환불 보장 정책이 포함되어 있습니다.