엄호하라: 진정한 배틀로얄이 된 게임 보안
카밀라 카브레라 카마초(Camila Cabrera Camacho)의 데이터 분석
카피 편집: 마리아 블라삭(Maria Vlasak)
전문 지식을 제공해 주신 크리스 핀치(Chris Finch), 앨런 에반스(Alan Evans), 댄 그리어(Dan Greer), 켄 이튼(Ken Eaton), 토드 로웬스타인(Todd Loewenstein)에게 특별히 감사드립니다.
게임 산업은 현시대의 가장 영향력 있는 산업 중 하나입니다. 전 세계 비디오 게이머 인구가 25억 8000만 명 에 달하고 미화 1844억 달러의 가치를 지닌 이 거대한 산업은 세대가 거듭될수록 기술에 대한 의존도가 높아지면서 더 성장할 것입니다. 3부로 구성된 이 블로그 게시물 시리즈에서는 몇 가지 다른 관점에서 멋진 게임 세계를 살펴봅니다.
첫 번째 게시물에서는 지난 18개월(2023년 1월~2024년 6월)의 통계를 검토해 보안 문제에 집중할 것입니다.
두 번째 게시물에서는 3D로 이동해 (화면 양쪽에서) 게임의 배후에 있는 사람들에 대해 이야기해 볼 것입니다.
☁️ 세 번째이자 마지막 게시물에서는 클라우드 분산 게임에 대한 기술적 관점으로 시리즈를 마무리합니다.
선택의 폭이 넓어진 보안 전문가
게임 업계에서 가장 흥미로운 부분 중 하나는 보안에 대한 독특한 입장입니다. 플레이어와 개발자 모두에게 사이버 지뢰가 도사리고 있죠. 보통 게이머는 다른 업계의 소비자보다 기술에 정통하기 때문에 게임 업계의 ‘내부자 위협’은 네트워크 안에서 또는 디지털 현실 속에서 발생할 수 있습니다.
이 업계에는 또한 매우 독특한 공격자 프로필인 트러블메이커가 널리 퍼져 있습니다. 스트리머가 마음에 들지 않는 말을 한다면, 이들은 봇을 만들어 오프라인으로 끌어낼 것입니다. 트러블메이커는 게임 내에서 아군인 척을 하며 신뢰를 쌓은 다음, 채팅 기능을 통해 악성 페이로드나 URL을 전달할 수도 있습니다.
기술에 정통한 인구통계학적 구성
게임 업계는 플레이어 간의 개방적인 관계와 협업을 높이 평가하며, 본질적으로 보안 개념과 상반되는 기술적 사고방식을 지녔습니다. 보안 영역에서 의심스럽거나 악의적으로 보이는 일부 행동이 게임 업계에서는 흔히 보일 뿐 아니라 수용되고 장려되기까지도 합니다. 예를 들어, 모딩은 게임 문화에 필수적이며 일부 시나리오에서는 봇팅이 게임플레이의 일부로 간주됩니다.
보안 커뮤니티는 이 커뮤니티에 매력을 더해 주는 동일한 기법, 기술, 절차가 악의적으로 사용될 수 있다는 것을 너무나 잘 알고 있습니다. 벤 다이어그램에는 게임에 관심이 있는 사람과 기술적 노하우를 지닌 사람이 중첩되어 있어 룰 위반과 기술적 발견의 기회가 모두 존재합니다.
이는 공격자의 목표가 다를 수 있고 이러한 차이가 공격 트렌드에 영향을 미친다는 것을 뜻하기도 합니다. 게임 세계 외에 서로 다른 두 영역에서 화폐를 노리는 봇을 만들 수 있는 곳은 또 어디일까요? 원한다면 동시에 할 수도 있습니다.
이 블로그 게시물에서는 지난 18개월 동안 게임 업계에서 발견한 보안 문제를 설명합니다.
온라인과 오프라인에서 약탈
게임 업계는 플레이어 간 사이버 문제 외에도 전 세계가 직면한 다른 모든 보안 문제를 해결해야 합니다. 우리 모두는 돈을 노리는 공격자들이 돈을 쫓는다는 사실을 알고 있으며, 게임 업계는 네온사인으로 자신을 광고하는 것이나 마찬가지입니다.
사이버 위협이 항상 기술적인 것만은 아니며(이미 잘 알듯이!), 악의적인 행동은 공격자의 전유물이 아닙니다. 일부 모바일 게임 광고 타기팅은 불법은 아니지만 악의적이거나 심지어 비윤리적인 것으로 보일 수 있습니다. 하지만 이는 일반적인 광고를 이야기하는 것이지 게임 업계에만 국한된 것은 아닙니다. 의도와 상관없이 타기팅 광고는 플레이어의 소비 습관에 영향을 미치며, 이는 결국 공격자의 다음 행보에 영향을 미칩니다.
구독
게임 배포사는 트리플 A(AAA) 타이틀을 제작하기 위해 수백만 달러를 투자할 수 있으며, 그 비용은 고스란히 소비자에게 전가됩니다. 타이틀당 미화 60달러에서 70달러로의 상승은 적지 않은 금액이며, 특히 다양한 구독 서비스를 이용할 수 있는 상황에서 예산에 민감한 게이머가 게임 구매 시기(또는 구매 여부)를 결정하는 데 영향을 미칠 수 있습니다.
다른 미디어 장르와 마찬가지로 게임 분야에서도 구독 서비스가 대세를 이루고 있습니다. 시장에 출시된 게임의 수가 너무 많기 때문에 모든 게임을 구매하는 것은 경제적으로 불가능합니다. 모바일 옵션을 포함하여 현재 사용 가능한 게임 구독 서비스는 12개 이상이며, 모두 미화 117억 달러 규모의 파이를 차지하기 위해 경쟁하고 있습니다.
공격 산술
계산해 봅시다. 더 많은 구독 서비스는 더 많은 사용자 계정과 같고 크리덴셜 스터핑 또는 계정 남용의 기회 증가와 같습니다. 또한, 사칭할 브랜드가 많아지면 공격자가 피싱 캠페인이나 기타 사기를 위해 모방할 콘텐츠가 더 많아집니다.
구독으로 인한 피로는 현실이며 구독은 비용도 많이 듭니다. 물리적 또는 가상 저장 공간 문제도 고려해야 하죠.
순위표에 오른 레이어 7 DDoS 공격
레이어 7 분산 서비스 거부(DDoS) 공격은 전년 대비 94% 증가했습니다. 공격 건수는 여전히 높은 수준을 유지하고 있습니다. 관측 기간인 18개월 중 4개월(2023년 6월, 8월, 12월, 2024년 5월)에는 한 달 동안 250억 건 이상의 레이어 7 DDoS 공격이 발생했습니다(그림 1).
그림 1: 월별 레이어 7 DDoS 공격
2023년 1월부터 3월까지는 레이어 7에 대한 공격이 가장 적게 발생해 월별 공격 건수가 각각 150억 건 미만이었습니다. 이 공격 기법의 상승 궤적은 매우 가파릅니다. 2024년 2월의 공격 건수는 190억 건 이상으로 지금까지 2024년 월별 공격 건수 중 가장 낮았으며, 이는 2023년 1월, 2월, 3월, 4월의 공격 건수보다 2024년 현재까지 가장 낮은 수치를 기록했다는 의미입니다.
레이어 7 순위표를 휩쓴 APJ
그림 2: 2023년 1월 1일부터 2024년 6월 30일까지 지역별 레이어 7 DDoS 공격
봇 요청이 가장 많이 발생하는 시기
1월과 6월
봇 요청은 2023년 1분기부터 2024년 1분기까지 391% 증가했습니다. 공격자들은 이 기록을 일찍 달성했습니다. 2024년을 시작하며 게임 업계에서 기록적인 봇 요청 수 1470억 건을 기록한 것입니다. 1 개월 동안 (그림 3).
그림 3: 월별 게임을 표적으로 한 봇 요청
6월은 2023년 6월의 3배가 넘는 1450억 건으로 1월보다는 약간 낮았습니다. 이 수치를 비교해 보겠습니다. 전체 관측 기간 동안 유럽, 중동 및 아프리카(EMEA) 지역의 봇 요청은 590억 건에 불과했습니다(그림 4).
그림 4: 지난 18개월간 지역별 봇 요청 건수
여름과 겨울
Steam 여름 세일은 매년 6월과 7월에 진행되므로, 이 두 달 동안은 계속해서 봇 트래픽이 폭주할 가능성이 높습니다. Steam 겨울 세일 기간인 2023년 12월과 2024년 1월의 유사한 트렌드가 이 이론을 뒷받침합니다. 또한, 북미 지역에서 가장 많은 봇 요청(정확히 8450억 건)이 발생했다는 사실도 이 가설을 뒷받침합니다.
이 두 기간(6월, 7월과 12월, 1월)은 소비가 많은 시즌에 온라인 활동이 증가하는 경향이 있어 공격자들이 공격하기에 유리한 시기입니다. 특히 이 기간에는 게임 회사뿐만 아니라 게이머 자신도 디지털 포위 공격 을 받습니다.
웹 애플리케이션 방화벽 공격
게임 내 웹 공격은 2023년 1분기부터 2024년 1분기까지 94% 증가했습니다. 가장 꾸준히 증가한 것은 웹 애플리케이션 방화벽(WAF) 공격이었습니다. 2023년 5월에 급격히 감소한 이후에는 매달 꾸준히 상승하는 트렌드를 보였습니다. 2024년 6월은 현재 10억 건으로 정점을 찍고 있습니다(그림 5).
그림 5: 월별 게임 업계 대상 WAF 공격
2024년 5월과 6월은 작년 대비 각각 451% , 504% 라는 놀라운 증가율을 기록했습니다. 애플리케이션과 API 사용이 증가함에 따라 이러한 수치는 계속 상승할 것으로 예상됩니다.
분석: 전통적인 웹 공격
이 수치를 더 세분화해 전통적인 웹 공격(SQL 인젝션[SQLi], 명령어 인젝션[CMDi], 로컬 파일 인클루전[LFI], 크로스 사이트 스크립팅[XSS], 리모트 파일 인클루전(RFI), 서버 측 요청 위조[SSRF])만 살펴보면 관찰 기간 동안 게임 업계에 가장 큰 웹 위협은 SQLi로, 7억 건 이상의 공격을 가한 것으로 확인됩니다(그림 6). 게임 회사에만 국한된 것이 아니라, 게이머로서도 SQLi를 통해 순위표의 최상위 에 오를 수 있습니다.
그림 6: 게임 업계 내 종류별 전통적인 웹 공격
LFI는 지난 몇 년 동안 업계 전반에 걸쳐 꾸준히 증가하고 있습니다. 이는 다른 웹 기반 공격(XSS 등)으로 이어질 수 있으며, 경우에 따라 원격 코드 실행으로 이어질 수도 있습니다. 분명 게임 배포사가 주의해야 할 부분입니다.
SQLi는 선두를 차지했을 뿐 아니라 게임의 특성을 반영하듯 가장 산발적으로 발생하기도 했습니다. 그림 7은 그림 6에 표시된 수치의 월별 분석을 보여주는데, SQLi의 궤적을 보면 1인칭 플레이어가 하는 불규칙한 움직임의 게임만큼이나 멀미를 유발할 수 있습니다.
그림 7: 월별 게임 대상 전통적인 웹 공격
2023년 1분기에는 코로나19 백로그에 포함되었던 게임들이 빠르게 출시되었습니다. 팬데믹으로 인해 출시일이 계속 미뤄지면서 이러한 타이틀에 대한 수요가 증가했고, 이로 인해 해당 기간 동안 SQLi가 크게 증가한 것으로 보입니다. SQLi의 산발적인 특성은 공격자들의 목표에 차이가 있다는 것을 의미할 수도 있습니다.
웹 공격이 훨씬 더 많이 발생하는 북미 지역
100만 건과 10억 건 사이의 차이는 인간이 헤아리기 어려운데, 3억 3200만 건과 약 90억 건 사이의 방대한 차이는 말할 것도 없습니다. 이는 2023년 1월 1일부터 2024년 6월 30일까지 EMEA 및 APJ와 북미 지역의 웹 공격 건수를 합한 수치입니다(그림 8).
그림 8: 2023년 1월 1일부터 2024년 6월 30일까지 지역별 웹 공격
크레딧 롤