지난해 게임업계에 가해진 사이버 공격이 전년 대비 340% 증가한 것으로 나타났다.
아카마이는 '인터넷 보안 현황, 코로나19 시대 게임' 보고서를 발간하면서 지난해 게임업계가 받은 웹 애플리케이션(앱) 공격이 2019년에 비해 340% 증가한 2억4000만건으로 집계됐다고 밝혔다.
보고서는 인앱 결제와 통합된 모바일 게임이 공격 타깃이 되고 있다고 지적했다. 공격자는 스킨, 캐릭터 강화, 추가 레벨 등 온라인 인게임 아이템에 현금을 지불하는 게임 유저를 대상으로 범죄 기회를 노렸다. 피싱 키트를 사용해 게임 유저의 이메일 주소, 비밀번호, 로그인 정보, 지역정보를 알아내 이를 다른 범죄자에게 판매한 사례도 발견됐다.
로그인 인증정보와 개인정보를 겨냥한 SQL 인젝션 공격은 지난해 아카마이가 게임업계에서 관측한 전체 공격의 59%를 차지, 웹 앱 공격 기법 1위를 기록했다. 게임 서버와 계정을 감염시키기 위해 앱과 서비스 내 민감정보를 노리는 로컬 파일 인클루전(LFI) 공격이 24%로 뒤를 이었다. 크로스사이트 스크립팅(XSS)과 원격 파일 인클루전(RFI) 공격은 각각 8%, 7%를 차지했다.
지난해 게임업계는 약 110억건에 달하는 크리덴셜 스터핑 공격을 받았다. 2019년에 비해 224%나 증가한 수치다. 이틀 동안 1억건 이상 폭증을 보이는 등 일별 100만건 정도의 공격이 꾸준히 감행됐다.
스티브 레이건 아카마이 보안 연구원은 “범죄자는 서버를 다운시키고 정보를 탈취하기 위해 게임사 방어 체계 취약점을 찾고 있다”면서 “가능한 모든 사이트에서 비밀번호 관리 솔루션을 사용하거나 멀티팩터 인증을 도입하면 인증정보 재사용을 방지할 수 있고 범죄자가 공격하기 어려워진다”고 조언했다.
오다인기자 ohdain@etnews.com