[기획] 작은 듯 큰 위협, PC방 업계에 충격을 안겼던 보안 관련 사건사고들
상태바
[기획] 작은 듯 큰 위협, PC방 업계에 충격을 안겼던 보안 관련 사건사고들
  • 승인 2020.03.01 11:07
  • 최승훈 기자
  • editor@ilovepcbang.com
이 기사를 공유합니다

月刊 아이러브PC방 2월호(통권 351호)에 게재된 기사입니다.

지난 1월 윈도우 7 기술지원 종료와 네이버 검색어 조작 해킹이라는 굵직한 사건이 겹치면서 보안 문제가 매우 중요한 사안으로 떠올랐고, 공교롭게도 둘 다 PC방과 직접적으로 연관되면서 PC 보안에 대한 업주들의 관심이 급격하게 높아졌다.

과거에도 PC방 업계에 충격을 준, 또는 큰 피해를 안겼던 보안 관련 사건사고는 수없이 많았다. 하지만 피해가 크지 않거나 직접적이지 않다는 이유로 금세 기억에서 지워버렸다. 이 같은 사건이 반복되고 있는 가장 큰 이유다.

이에 그동안 PC방 업계에서 발생했던 굵직한 보안 사건사고들의 유형을 되짚어보면서 어떤 공격 루트와 목적이 있었고, 그에 따라 어떤 부분을 주의해나가야 할지 살펴봤다.

PC방 PC에 네이버 검색어 조작 해킹툴 심어
가장 최근의 사건으로 지난 1월 검찰에서 공개한 네이버 검색어 조작 해킹툴 사건이 있다. 런처 외주 개발사가 개발·납품 의뢰를 받은 런처에 지능형 검색어 조작 악성코드를 몰래 심어 전국 PC방 3천여 곳의 PC 21만 대를 좀비 PC로 감염시킨 뒤, 9만 4천여 건의 연관검색어와 4만 5천여 건의 자동완성검색어를 조작한 혐의로 구속 기소됐다.

해당 악성코드는 해외에 서버를 두고 백신 프로그램이나 네트워크 트래픽 검사 프로그램 등이 작동하는지 확인 한 후 실행되는 지능형으로, 일반 사람이 검색하는 것처럼 한 음소씩 입력되도록 하고, 필터링이 작동되면 프로그램을 좀 더 고도화해 필터링 차단을 무력화하는 등 치밀하게 제작된 것으로 드러났다.

검거된 일당은 네이버 검색어를 조작하고 PC방 이용객들의 네이버 계정 탈취·판매를 통해 약 4억 원의 범죄수익을 거둔 것으로 조사됐다.

이 사건으로 인해 사회적으로 PC방 이용에 대한 거부감이 더욱 커지는 등 PC방 업계 전체에 적지 않은 피해를 안겼으며, 다시 한 번 PC 보안에 대한 경각심을 불러일으켰다.

VNC 원격 접속 프로그램의 보안취약성을 이용한 해킹 피해 사례도 있었다. 간편결제의 카운터 판매 기능을 이용해 이메일로 상품권을 탈취하는 형태로, 피해 사례와 규모는 여느 네트워크 공격에 비해 상대적으로 적은 편이었으나 카운터 PC가 대상이었다는 점에서 업계에 주는 충격과 경각심은 남달랐다.

카운터 PC 노린 랜섬웨어
랜섬웨어에 의한 위협은 어제오늘 일도 아니고 PC방 뿐만 아니라 일반 유저들에게도 상시 위협으로 존재해 있다. 일단 감염되면 주요 파일들이 암호화돼 일체 사용이 어려워지고 이를 빌미로 금전을 요구하기 때문에 PC방은 감염될 경우 매우 위험하다. PC방 클라이언트 PC는 노하드 서버로 구동되기 때문에 일반 PC와 다소 차이가 있고 순간복구 기능으로 인해 일반적인 경로로는 감염 비중이 낮아 아예 카운터 PC가 주요 공격 대상이 되곤 한다.

문제는 아르바이트생들이 카운터 PC를 업무 외 용도로 이용하다가 감염되거나 이력서 및 세무 관련으로 위장한 메일에 포함된 압축파일을 해제해 감염되는 경우가 종종 보고되고 있어 그 위협이 여전히 존재하고 있다. 이는 당장 PC방 영업에 큰 지장이 발생한다는 점에서 위험도가 높고 피해 규모도 적지 않다.

PC방에서 고포류 게이머 사라지게 한 ‘돋보기’
고포류 게임에서 상대의 패를 들여다보기 위한 해킹툴을 지칭하는 ‘돋보기’를 PC방 PC에 설치하기 위한 공격은 그동안 매우 집요하게 이뤄졌다. 인편으로 직접 설치하기도 하고 악성코드를 통해 노하드솔루션을 서버를 노리는 등 경로도 다양했다.

2016년 10월부터 2017년 8월까지 약 11개월 동안 특정 해커 그룹이 국내 고포류 사행성 게임 이용자들을 노린 악성 코드를 제작·유포한 사실이 안랩의 ASEC(시큐리티 대응센터)를 통해 확인됐다. ‘오퍼레이션 레드 갬블러’로 명명된 해당 공격은 초기에 불특정 다수를 대상으로 유포되다가 2017년 1월부터는 PC방을 대상으로 급속히 확산됐다.

이들은 PC방의 노하드솔루션의 원격제어 프로그램이나 시스템 최적화 프로그램의 설치 파일을 변조, 또는 PC방 관리프로그램을 조작하는 형태로 악성코드를 유포한 것으로 드러났다.

이보다 앞선 2014년 3월부터 2016년 9월 사이에는 일부 노하드솔루션 관련 업체 직원이 연루된 사건이 벌어져 업계 전체에 큰 충격을 주기도 했다. 당시 총책과 프로그래머, 사기도박자 등 65명이 전국 PC방의 5,200여 곳에 해킹 프로그램 돋보기를 유포해 40여억 원의 부당이득을 취하는 등 그 규모가 역대 가장 큰 사건이었다.

이 같은 사건이 반복되자 PC방에서 고포류 게임 이용자가 크게 감소했고, 경찰 사이버수사대와 KISA가 나서서 PC방 노하드솔루션 보안 가이드를 발표하는 등의 활동을 펼치기도 했다.

가상화폐 열기에 채굴 악성코드 붐
가상화폐 열풍이 뜨거울 당시에는 고사양 PC를 수십에서 수백 대 보유한 PC방을 노린 범죄가 기승을 부리기도 했다. PC방 PC에 채굴 악성코드를 몰래 설치, 초기에는 무작정 하드웨어 리소스를 최대치로 가동시켜 금세 발견되기도 했지만, 이 역시 발전해 유휴 시에만 리소스를 최대로 활용하고 PC가 가동되면 CPU 및 GPU 로드율이 50%를 넘지 않는 선에서만 작동하도록 조절되는 지능형 버전까지 살포됐다.

지난 2017년부터 18년까지 2년여에 걸쳐 기승을 부렸지만, 개인정보나 금융정보를 노리지 않다보니 덜 위협적으로 인식돼 상대적으로 대응이 더뎠다. 아울러 2018년에 암호 화폐 거품이 꺼지면서 자연스레 종적을 감췄다.

불법 개조된 공유기로 PC방 IP 탈취
지난 2016년 9월 충북 지역 PC방 몇 곳에서 정체를 알 수 없는 공유기가 설치된 것이 발견돼 경찰이 수사에 나선 바 있다. 범인은 지피방 운영업자로 PC방 IP를 빼내 PC방 프리미엄 혜택을 일반 개인들에게 재판매해온 것으로 조사돼 정보통신망침해 혐의로 불구속 입건됐다.

범인들은 인터넷 공유기를 불법 개조해 전국 9개 지역 38개 PC방에 41개를 설치하고 PC방 프리미엄 서비스를 일반 게임유저 120명에게 재판매하는 수법으로 1,600만 원 상당의 부당이득을 챙긴 것으로 밝혀졌다.

불법 개조한 공유기로 PC방 IP를 탈취하고, 불법행위로 지피방을 운영했다는 사실도 충격적이었지만, 무엇보다 지피방 불법 운영 이전에는 PC방을 운영하던 업주였다는 사실이 더 큰 충격을 안겨준 사건이었다.

해당 사건을 계기로 지피방 업자들이 PC방 IP를 확보하기 위해 게임사에 허위로 PC방 등록을 하는 등 사문서 위조 범행을 저지르는 것을 넘어, 전자기기 불법 개조와 PC방에 불법 설치 등 대담한 범죄행각도 불사한다는 사실이 널리 알려지게 됐다. 아울러 네트워크 장비에 대한 보안 중요성과 게임 정량시간 소진 내역의 주기적인 점검의 필요성이 대두되기도 했다.

윈도우 불법 크랙, 멀웨어 감염
불법 윈도우 크랙 프로그램에 심어진 멀웨어로 인해 불법 윈도우 사용자 PC의 84%가 감염된 것으로 조사됐는데, 이는 불법 윈도우 이용의 위험성을 알리는 가장 대표적인 사례 중 하나로 기록되기도 했다.

지난 2018년 마이크로소프트가 한국을 비롯한 아시아 지역 9개 국가에서 낮은 가격에 판매되거나 무상으로 소프트웨어 번들을 제공하는 PC 166대를 구입해 자체 조사를 진행한 결과, 83%에 불법 소프트웨어가 설치돼 있었고 불법 소프트웨어가 설치된 PC 가운데 84%에서 트로이목마나 바이러스 같은 멀웨어가 발견됐다.

이는 주로 불법 소프트웨어를 활성화하는데 필요한 해킹툴을 실행하기 위해 백신이나 윈도우 디펜더와 같은 보안 기능을 해제하는 과정에서 저항 없이 자유롭게 PC를 감염시킬 수 있었던 것으로 확인됐다.

2018년 당시에는 다년간의 윈도우 정품 캠페인을 통해 정품화가 제법 진전된 이후였지만, 여전히 불법 윈도우를 이용하던 PC방이 적지 않던 터라 피해 규모 역시 작지 않았다.

마이크로소프트는 PC 구매 전 판매처가 검증된 곳인지, 정품 소프트웨어가 설치된 지를 확인하길 권고하는 한편, 최신 보안 상태를 유지하고, 보안 패치 등 업데이트가 종료된 소프트웨어의 사용을 줄여야 PC를 보호할 수 있다고 안내하고 있다.

전용선 교체하게 만드는 <서든어택> 누킹
가장 오래전부터 PC방을 괴롭히던, 그리고 가장 빈번히 발생하던 네트워크 공격을 꼽으라면 누킹을 빼놓을 수 없다. 대표적인 예가 <서든어택>이지만 대부분의 FPS 장르 게임들이 설계 구조상 누킹에 쉽게 노출될 수밖에 없었다. <배틀그라운드>에는 이와 다소 다르지만 결과는 유사한 지연핵이 간간히 모습을 드러내 PC방에 피해를 유발했다.

누킹은 패킷 공격 형태라 별도의 네트워크 보안 솔루션이 없는 PC방의 경우 통신사를 통해 IP 대역을 교체하는 정도 외에는 별다른 방어를 할 수 없기 때문에 오랜 기간 많은 PC방이 누킹 피해를 입었다. 더욱이 누킹은 경쟁 PC방의 영업을 방해하는 수단으로도 악용돼 그 폐해가 매우 컸다.

누킹은 스마트폰을 이용해 다수의 IP를 동시에 공격하는 형태로까지 발전했으나, 넥슨이 영구정지 등 강력한 제재로 대응에 나서는 한편, 네트워크 보안 솔루션의 등장으로 최근에는 많이 감소한 상태다.

흔하디 흔한 디도스(DDos) 공격
대중적으로 가장 널리 알려진 네트워크 공격인 디도스 역시 PC방 PC를 좀비 PC로 활용하는 등 직간접적인 피해를 준 사례가 적지 않다.

디도스 공격은 수많은 좀비 PC를 감염시킨 후 일제히 공격 명령을 내려 목표를 마비시키는 것이 가장 기본적인 공격 수법이며, 이를 더 발전시켜 위장된 명령어를 맴캐시드 서버에 보내 공격을 ‘반사 및 증폭’시켜 트래픽을 최대 5만 배까지 증폭시키는 수법으로까지 발전했다.

불특정 다수나 기업 등을 주로 공격하던 까닭에 PC방이 디도스 공격에 피해를 입은 사례는 여느 네트워크 공격에 비해 상대적으로 적지만, 역대급 규모의 공격이었던 맴캐시드 서버를 이용한 디도스는 PC방에까지 공격 징후가 포착되는 등 자주 위협에 노출되곤 했다.

네트워크 보안은 안전할 때 대비해야…
PC방 보안 관련 사건사고는 언제나 예고 없이 발생하고, 그 피해는 매우 심각하게 나타났다. 간단한 누킹에서 고도의 지능형 툴까지, 랜섬웨어 인질극에서 개인정보 탈취까지, 원격 해킹에서 직접 설치까지 그 방법과 유형도 매우 다양하다.

분명한 것은 보이지 않는 무형의 네트워크 공격이 실존하는 위협이라는 것과 평소에는 남의 일 같지만 일단 한 번이라도 발생하면 그 피해가 매우 치명적일 수 있다는 것이다. 아주 오래전부터 PC방을 직간접적으로 노려온 네트워크 공격이 시간이 지날수록 더욱 집요해지고 강력해지고 있는 만큼 각별한 관심이 요구된다. 적어도 최신 보안 패치를 비롯해 우수한 성능의 백신 프로그램 정도는 갖춰놓아야 최소한의 방어가 가능하다는 점은 아무리 강조해도 과하지 않다.



댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.