[보안 따라잡기]모바일 게임 해킹도 기승…`요금 폭탄` 주의하세요

닌텐도 해킹으로 2단계 인증 요청…가짜 중고거래 피싱사이트도 발견
메모리·결제·스피드 해킹 등 모바일게임 유형별 해킹 대비해야
"정상적인 유통 경로로 앱 설치…아이템 구매 영수증 서명확인 필요"
  • 등록 2020-05-23 오전 11:17:54

    수정 2020-05-23 오전 11:17:54

(사진=SK인포섹 블로그 캡처)
[이데일리 이후섭 기자] 코로나19 확산을 방지하기 위해 집에 머무는 시간이 늘어나면서 모바일 게임 수요도 증가하고 있다. 이를 노린 모바일 게임 해킹도 기승을 부리고 있어 개인정보 유출, 아이템 결제 요금 폭탄 등의 피해 방지에 주의할 필요가 있다.

최근 닌텐도는 16만명의 사용자 계정에 해커가 접근했을 수 있다고 밝히며, 해킹을 방지하기 위해 사용자들에게 2단계 인증 등을 적용할 것을 요청했다. 해커가 불법으로 획득한 닌텐도 네트워크 ID(NNID)를 사용, 사용자 계정에 접근해 저장된 카드 정보로 디지털 아이템을 구매하기 시작한 흔적이 발견돼서다.

또 선풍적인 인기를 끌고 있는 `닌텐도 스위치 모여봐요 동물의 숲 에디션` 중고제품 판매를 위장한 피싱 사이트가 발견되기도 했다. 유명 중고거래 온라인 카페에 판매를 위장한 게시물을 올리고, 구매 의사를 밝히면 `안전거래`를 제안하는 방식이다. 안전거래는 개인간 거래시 믿을 수 있는 사업자(플랫폼)가 판매자와 구매자 사이에서 거래대금 전달, 정보 관리 등의 중개 서비스를 제공하는 인터넷 거래 방식으로, 구매자가 해당 제안을 수락하면 공격자는 안전거래를 위장한 피싱사이트의 인터넷주소(URL)를 구매자에게 발송했다. 구매자가 송금한 거래대금은 그대로 공격자의 계좌로 이체되고, 구매 과정에서 입력한 모든 정보(로그인 ID·패스워드, 이름, 배송지, 연락처 등)도 공격자에게 전송돼 다방면에서 개인 정보가 악용될 수 있다.

`닌텐도 스위치 모여봐요 동물의 숲 에디션` 가짜 중고거래 피싱사이트 모바일 화면(자료=안랩 제공)
보안 업계에서는 모바일 게임 대부분이 출시 시점 이후 빠르게 수익을 내야 하는 구조이기 때문에 보안이 적용되지 않는 경우도 있어 해킹에 주의해야 한다고 당부한다. 보안 위험에 노출된 사용자가 변조된 게임 앱을 다운로드하면 스마트폰 해킹으로 이어져 큰 피해가 발생할 수 있다.

모바일 게임 해킹에는 △주요 데이터를 찾아 위·변조하는 `메모리 해킹` △아이템 결제 요금 폭탄을 유도하는 `결제 해킹` △사용자 게임의 동작을 조절하는 `스피드 해킹` 등이 있다. 우선 메모리 해킹은 게임 진행에 영향을 미치는 레벨, 경험치, 공격력 등 게임에 관련된 데이터를 인위적으로 조작하는 행위를 의미한다. 메모리 해킹은 모바일 게임의 소스를 수정하지 않고도 해커가 원하는 데이터를 손쉽게 알아낼 수 있어 기술적 낮이도는 낮지만 피해 규모는 큰 해킹이라 할 수 있다.

결제 해킹은 통상 IAB(In App Billing) 또는 IAP(In App Purchase)로 설명되는 앱 내 결제에 대한 해킹으로 정상적으로 결제가 되지 않았음에도 구매된 아이템을 사용할 수 있도록 하는 행위를 의미한다. 스피드 해킹의 경우 소프트웨어 `스피드 핵`을 활용해 타이머를 조정해 게임 캐릭터 등 진행에 영향을 주고자 공격하는 것을 의미한다. 일부 스피드 핵은 메모리 해킹을 함께 지원하기도 한다.

이러한 해킹을 방지하기 위해서는 정상적인 유통 경로를 통해 게임 앱을 설치하고, 다운로드 시 정상 앱을 위장해 설치를 유도하는 앱은 아닌지 다시 한번 확인하는게 좋다. 게임 계정의 암호는 영문과 숫자를 혼합해 8자리 이상으로 사용하고, 주기적으로 변경해야 한다.

특히 보안 업계에 따르면 12세 미만의 아동들을 표적으로 하는 해킹 공격이 많은 만큼 부모들이 각별히 주의할 필요가 있다. 아이들이 무료로 게임을 다운로드 받게 하고, 앱 내 각종 광고를 설치하거나 PC게임 이용시 `키 로깅` 소프트웨어를 설치해 사기성 송금을 시도한 사례도 발견된다. 또 결제 해킹을 방어하기 위해서는 구매 영수증의 서명을 확인해야 한다는 조언이다. 안드로이드 환경에서 IAB 결제가 완료되면 구매 영수증을 발급하는데, 해당 영수증에 구글에서 발급했다는 서명이 반드시 포함돼 있어야 한다.

이데일리
추천 뉴스by Taboola

당신을 위한
맞춤 뉴스by Dable

소셜 댓글

많이 본 뉴스

바이오 투자 길라잡이 팜이데일리

왼쪽 오른쪽

스무살의 설레임 스냅타임

왼쪽 오른쪽

재미에 지식을 더하다 영상+

왼쪽 오른쪽

두근두근 핫포토

  • 청룡 여신들
  • 긴밀하게
  • "으아악!"
  • 이즈나, 혼신의 무대
왼쪽 오른쪽

04517 서울시 중구 통일로 92 케이지타워 18F, 19F 이데일리

대표전화 02-3772-0114 I 이메일 webmaster@edaily.co.krI 사업자번호 107-81-75795

등록번호 서울 아 00090 I 등록일자 2005.10.25 I 회장 곽재선 I 발행·편집인 이익원 I 청소년보호책임자 고규대

ⓒ 이데일리. All rights reserved