[CIO BIZ+/글로벌 리포트]사이버 범죄 조직 `윈티`

관련 통계자료 다운로드 '윈티'가 해킹한 국가별 온라인 게임 회사

온라인 게임 회사를 집중적으로 공격해온 국제 해커조직이 드러났다. 중국에 위치한 `윈티(Winnti)`라는 팀이다.

러시아 보안업체인 카스퍼스키랩은 이들이 지난 18개월 동안 한국·일본·중국·미국 등 세계 35개 온라인 게임 업체들을 해킹했다고 분석했다.

중국에 위치한 사이버 범죄 조직 `윈티`가 해킹한 온라인 게임 회사들. 국내 기업들이 주 타깃이 됐다.
중국에 위치한 사이버 범죄 조직 `윈티`가 해킹한 온라인 게임 회사들. 국내 기업들이 주 타깃이 됐다.

◇악성코드 탐지해 공격자 추적

국제 해커조직 `윈티`가 처음 모습을 드러낸 건 2009년 가을. 당시 전 세계 일반 사용자 컴퓨터에서 다량의 악성 트로이 목마가 탐지됐다.

카스퍼스키랩은 이 파일을 수집해 분석했다. 그런데 이상한 점을 발견했다. 온라인 게임 회사에서 정상적인 경로로 유포된 것이다.

파일은 온라인 게임을 실행하는데 사용됐다. 게임 회사의 공식 서버에서 정기적으로 업데이트까지 됐다.

이는 누군가 몰래 회사 내 시스템에 들어와 악성 파일을 유포했다는 의미다. 게다가 파일은 디지털 서명까지 완벽했다. 디지털 서명은 해당 프로그램이 위·변조되지 않았다고 담보하는 일종의 인감과 같은 증명서다.

당시 이 트로이 목마는 정상적인 디지털 서명을 도용하고 마이크로소프트 윈도7 64비트 운용체계(OS)에서 동작하는 첫 악성 코드로 기록됐다.

추가 분석 결과 일반 컴퓨터를 감염시키려는 목적이 아니었다. 게임 회사들이 공격 대상이었다. 일반에게 유포된 건 단순한 실수였다.

카스퍼스키랩 측은 “악성코드 모듈이 우연히 잘못된 장소에 놓아 일반 게임 이용자에게 전파됐다”고 전했다.

◇게임 머니·소스 코드 탈취

악성 트로이 목마는 감염된 PC에 원격으로 접근하는 기능이 포함됐다. 아울러 데이터 유출을 위한 네트워크 포트 리다이렉션, 프로세스 관리 정보 수집 등이 가능했다.

해커들은 이를 통해 게임 회사들의 소스코드와 내부 시스템 디자인 등 지식재산을 탈취했다. 카스퍼스키랩은 감염된 서버에 모두 접근할 수 없어 피해 규모가 명확하지 않지만 해커들이 온라인 게임 업체에 악성 파일을 침입시켜 온라인 게임에서 사용되는 게임머니를 조작한 정황을 포착했다고 밝혔다. 아울러 훔친 게임 소스코드를 이용해 불법 사설 게임 서버를 운영했을 가능성도 있다고 덧붙였다.

◇중국서 35개 게임 회사 공격

공격자들은 악성코드에 중국어를 썼다. 또 다수의 중국 IP를 사용했으며 중국에 위치한다는 증거들도 발견됐다. 중국에 모인 전문적인 해커 집단으로 현재 파악되고 있다.

해커들은 지난 18개월 동안 35개 온라인 게임 회사들을 공격한 것으로 조사됐다. 공격에는 227개의 도메인 네임이 커맨드앤컨트롤(C&C) 서버로 활용됐다.

공격 대상은 주로 아시아 기업들에 집중됐다. 이유는 불분명하지만 지리적 위치 때문으로 추정된다.

카스퍼스키랩에 따르면 35개국 중 피해를 입은 기업이 많은 나라는 한국으로 나타났다. 35개국 중 14개가 국내 회사다.

넥슨, 이야소프트, 엔씨소프트, 재미인터랙티브, NHN, 한게임이 피해 기업으로 지목됐고 디지털 인증서가 탈취된 회사는 이스트소프트, 위메이드, 네오위즈 등이 거론됐다.

위메이드는 이에 대해 사전에 인증서 탈취 사례를 확인하고 해당 인증서를 폐기 조치했다고 전했다. 인증서 유출로 인한 피해는 없었다고 강조했다.

엔씨소프트는 지난 2011년 미국 법인 업무용 PC에 일부 악성코드를 유포하려는 시도가 있었지만 바로 조치해 인증서 유출과 같은 피해는 없었다고 전했다.

◇2차·3차 피해 우려

카스퍼스키랩의 김남욱 기술이사는 “이번 사건에서 디지털 인증서가 탈취된 점이 충격적”이라고 말했다. 빼낸 디지털 인증서로 제2, 제3의 해킹을 시도할 수 있기 때문이라고 지적했다. 김 이사는 “범죄자들이 인감을 손에 넣은 것과 같다”며 “기업에서 만든 정식 프로그램인 것처럼 속여 얼마든 지 악성코드를 유포하는 일이 가능해진다”고 설명했다.

인증서가 다른 해커들에 넘어가는 경우도 문제라고 지적했다. 게임 머니 탈취 뿐 아니라 새로운 유형의 범죄에 악용될 가능성이 커지기 때문이다.

실제로 윈티가 훔친 인증서가 위구르나 티베트 활동가들의 컴퓨터를 감시하는 데 쓰이는 등 여러 집단들에 의해 사용된 것으로 드러났다. 카스퍼스키랩은 탈취된 인증서가 이미 암시장에서 거래됐을 것으로 보고 있다.

게임 서버의 업데이트 경로를 통해 악성코드가 일반 사용자에게 배포된 점도 주목해야 한다고 강조했다.

김남욱 기술담당 이사는 “지난 3월 20일 방송사와 금융사를 마비시킨 사이버테러와 같이 기업들의 업데이트 경로가 악성코드 배포 수단으로 악용되고 있다는 걸 보여주는 사례”라며 “소프트웨어 업데이트 경로에 대한 전반적인 취약점 점검 및 보안 강화가 필요하다”고 강조했다.

카스퍼스키랩은 이들 해킹그룹이 추적에도 불구하고 여전히 활동 중이라며 이들에 대한 조사를 계속하고 있다고 덧붙였다.

윤건일기자 benyun@etnews.com