유명 게임 플랫폼의 수천개 계정 노리는 ‘Steam Stealer’ 기승

Steam Stealer, 악성코드 서비스 방식으로 제공하는 비즈니스 모델로 판매...
암시장서 30달러 이하 낮은 가격에 판매돼 범죄자들에게 인기 많아

[보안뉴스 김경애] 전세계 1억명 이상이 이용하는 유명 게임 플랫폼 ‘Steam’은 가장 인기 있는 다중 OS 분산 엔터테인먼트 플랫폼 중 하나다. 그런데 높은 인기로 인해 사이버 범죄자들에게도 크고 매력적인 공격 대상이 되고 있다.

▲출처:STEAM

끊임없이 진화하며 사용자 계정을 탈취하는 악성코드 ‘Steam Stealer’는 온라인 게임 아이템과 사용자 계정 로그인 정보를 훔쳐 암시장에 재판매하는 것을 목적으로 한다. 최근에는 악성코드의 서비스화(Malware-As-a-Service) 비즈니스 모델을 통해 30달러 이하의 매우 낮은 가격으로 판매해 사이버 범죄자들 간에 널리 확산되고 있다. 현재 로그인 정보는 암시장에서 15달러에 판매되고 있다.

최근 발표된 Steam의 공식 데이터에 따르면, 매월 77,000개의 Steam 계정이 탈취돼 피해를 입었다. 이에 대해 카스퍼스키랩의 연구원인 Santiago Pontiroli와 외부 분석가인 Bart P는 Valve의 주력 플랫폼에서 발생한 사용자 계정 유출 사건의 유력한 용의자로 새로운 악성코드 Steam Stealer를 지목했다.

이 두 연구원은 “러시아어를 구사하는 사이버 범죄자에 의해 최초로 이 악성코드가 개발됐으며, 그 증거로 여러 범죄자 악성코드 포럼에서 이를 나타내는 다수의 언어 흔적을 발견했다”고 말했다.

악성코드를 서비스 방식으로 제공하는 비즈니스 모델인 Steam Stealer는 차별화된 기능과 무료 업그레이드, 사용자 설명서, 맞춤 배포 자문 등이 포함된 여러 버전으로 판매되고 있다. 일반적으로 이러한 악성 공격 솔루션의 이용 가격은 최저 500달러대다. 그런데 Steam Stealer는 30달러 이하의 낮은 가격에 판매되고 있어 전 세계 사이버 범죄자 지망생들에게는 매력적이다.

Steam Stealer는 여러 경로를 통해 확산되고 있지만 주로 악성 코드를 배포하는 복제된 가짜 웹 사이트와 직접 메시지를 보내 공격하는 사회 공학적 방식이 사용되고 있다. 일단 이 악성 코드가 사용자의 시스템에 침투하면, 전체 Steam 구성 파일을 훔친다. 그런 다음 사용자의 로그인 정보와 사용자 세션 정보가 포함된 특정 Steam KeyValue 파일을 찾는다. 사이버 범죄자가 이 정보를 확보하면 사용자의 계정을 제어할 수 있는 것이다.

이전에 게임 계정 도난은 아마추어 범죄자들이 리소스가 많이 필요없는 간단한 스크립트를 사용해 계정을 훔친 후, 범죄자 포럼에 판매해 단기간에 수익을 거두는 방식이었다. 그러나 이제는 범죄자들이 이러한 계정에 잠재되어 있는 높은 시장 가치를 알게 되면서 수천 달러의 가치가 있는 사용자의 게임 아이템을 훔쳐 판매할 수 있는 기회로 인식하고 있다. 그리고 이런 기회를 조직화된 사이버 범죄자들이 그냥 지나치지 않는 것은 어찌 보면 당연한 일일 것이다.

지금까지 카스퍼스키랩의 전문가들은 Steam 플랫폼의 인기가 높은 러시아 및 기타 동유럽 국가를 비롯해 전 세계 수만 여 명의 사용자를 공격하는데 사용된 약 1,200개의 Steam Stealer 샘플을 발견했다.

사용자들이 보안 침해의 위험 없이, 안전하게 좋아하는 게임을 즐기기 위해서는 최신 보안 솔루션이 필요하다. 대부분의 보안 제품은 ‘게임 모드’를 지원하므로 사용자가 세션을 끝낼 때까지 방해받지 않고 게임을 즐길 수 있다. Steam 또한 사용자들의 보안을 유지하기 위한 노력의 일환으로 여러 가지 보안 조치를 제공해 탈취 메커니즘으로부터 계정을 보호하고 있다.
[김경애 기자(boan3@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)