안전하고 원활한 디지털 경험을 위한 인텔리전트 엣지 플랫폼을 제공하는 아카마이(www.akamai.co.kr)는 오늘 공개한 연구 보고서에서 코로나19 기간 중 게임 업계를 겨냥한 보안 공격 트래픽이 가장 많이 증가했다고 밝혔다.

아카마이의 최신 인터넷 보안 현황 보고서, ‘코로나19 시대의 게임’ 보고서에 따르면 2020년 게임 업계에 가해진 웹 애플리케이션 공격은 2019년에 비해 340% 증가한 2억4,000만 건에 달한다.

해당 보고서는 인앱 결제와 통합된 모바일 게임이 공격의 피해자가 되고 있다는 점을 지적했다. 해커들은 스킨, 캐릭터 강화, 추가 레벨 등 온라인 인게임 아이템에 현금을 지불하는 게임 유저들을 대상으로 범죄 기회를 노리고 있다. 범죄자들은 피싱 키트를 사용해 게임 유저의 이메일 주소, 비밀번호, 로그인 정보, 지역정보를 알아내 이를 다른 범죄자에게 판매한 최근 사례도 강조했다.

스티브 레이건(Steven Ragan) 아카마이 보안 연구원 겸 인터넷 보안 현황 보고서 저자는 “데이터를 통해 범죄자들이 끊임없이 공격을 가하고 있다는 것을 볼 수 있다”며, “범죄자들은 서버를 다운시키고 정보를 탈취하기 위해 항상 게임사의 방어 체계의 취약점을 찾고 있다. 또한 우리는 해커들이 자신의 공격 기법과 성공 사례를 공유하는 수많은 커뮤니티 또한 발견했다”라고 말했다.

게이머의 로그인 인증정보와 개인정보를 겨냥한 SQL 인젝션(SQLi) 공격은 2020년 아카마이가 게임 업계에서 관측한 모든 공격의 59%를 차지하며 웹 애플리케이션 공격 기법 중 1위를 차지했다. 게임 서버 및 계정을 감염시키기 위해 애플리케이션 및 서비스 내 민감한 세부정보를 노리는 로컬 파일 인클루전(LFI) 공격이 24%로 그 뒤를 이었다. 크로스 사이트 스크립팅(XSS)과 원격 파일 인클루전(RFI) 공격은 각각 관측된 공격의 8%, 7%를 차지했다.

2020년 게임 업계는 약 110억 건에 달하는 크리덴셜 스터핑 공격의 대상이 되었다. 이 수치는 2019년에 비해 224%나 증가한 것이다. 이틀 동안 1억 건 이상의 폭증을 보이는 등 일별 100만 건 정도의 공격은 꾸준히 감행됐으며 규모 또한 컸다. 특히, 피싱 다음으로 흔한 계정 탈취 공격 기법인 크리덴셜 스터핑의 경우, 2020년 대규모로 탈취된 사용자 이름 및 비밀번호 목록이 불법 사이트에서 겨우 5달러에 판매되었을 정도로 흔한 공격이 되었다.

스티브 레이건은 “간단한 비밀번호를 사용하거나 여러 사이트에서 같은 비밀번호를 사용하는 경우 계속된 크리덴셜 스터핑의 대상이 될 수 있다”며, “한번 크리덴셜 스터핑의 피해를 받은 경우 동일한 사용자 이름과 비밀번호가 적용된 모든 계정이 피해의 대상이 될 수 있다. 가능한 모든 사이트에서 비밀번호 관리 솔루션을 사용하거나 멀티팩터 인증을 도입하면 인증정보를 동일하게 재사용하는 것을 방지할 수 있고 범죄자들이 공격하기 더욱 어려워진다”고 말했다.

아카마이 2021년 ‘인터넷 보안 현황 보고서: 코로나19 시대의 게임’은 인터넷 보안 현황 보고서 페이지에서 확인할 수 있으며, 아카마이 위협 연구소 허브에서 더욱 자세한 아카마이 인텔리전트 엣지 플랫폼이 제공하는 풍부한 인사이트를 확인할 수 있다.