엔씨소프트의 신작 ‘쓰론앤리버티(THRONE AND LIBERTY, 이하 TL)’의 이용자들이 계정 도용 피해를 본 것으로 확인된 가운데, 이번 계정 도용 사건이 ‘크리덴셜 스터핑’으로 인해 발생한 것으로 추정되고 있다.
최근 TL의 커뮤니티에는 계정 도용으로 인한 피해가 발생했다는 이용자의 글이 지속해서 올라왔다. 계정 도용으로 게임 내 디지털 재화를 탈취당했다는 글이 지속 게재됐으며, 일부 고객의 경우 TL 계정을 통해 결재되는 피해를 본 것으로 알려졌다.
엔씨 측은 홈페이지를 통해 “외부에서 도용된 로그인 정보를 통해 계정 내 아이템이 사용되거나 이동되는 피해 사례가 발생했다”라며 “피해의 심각성을 인지하고 추가 피해 방지를 위해 임시점검을 통해 보안 서비스를 긴급 적용했으며, 이미 발생한 피해 항목은 원상 복구를 기준으로 진행될 예정”이라고 전했다. 즉, 보안 이슈가 아닌 이용자 계정을 대상으로 ‘크리덴셜 스터핑’ 공격이 발생했다는 것이다.
‘크리덴셜 스터핑’이란 해커가 미리 확보한 이용자 정보를 다른 계정에 무작위로 대입해 사용자의 계정을 탈취하는 공격 방식이다. 만약 앞서 다크웹 등을 통해 로그인 정보가 유출된 사람이 다른 계정에 같은 비밀번호를 사용하고 있다면, 크리덴셜 스터핑 공격으로 계정이 탈취되거나 개인정보가 유출될 가능성이 있는 것이다.
앞서 크리덴셜 스터핑은 현금으로 거래할 수 있는 디지털 재화를 취급하는 게임과 플랫폼을 대상으로 빈번하게 발생해 왔다. 2022년 카카오게임즈의 ‘오딘: 발할라 라이징’과 넥슨에서 ‘크리덴셜 스터핑’으로 인한 계정 도용 시도가 발생했었으며, 당해 스마일게이트의 ‘로스트아크’에서는 같은 공격으로 인한 피해가 발생하기도 했다. 특히 공격자는 스마일게이트의 게임 플랫폼 ‘스토브’가 OTP 인증 없이 로그인이 가능하다는 점을 노리고 크리덴셜 스터핑 공격을 시도했으며, ‘와일드본’ 등의 모바일 게임을 통해 로스트아크 계정에 접속한 것으로 알려졌다.
아울러 크리덴셜 스터핑은 최근 복수의 국내 사이트에서 발생해 개인정보가 유출되거나 포인트가 탈취한 공격으로 알려졌다. 지난해 인터파크에서는 크리덴셜 스터핑 공격으로 78만3920건의 개인정보가 유출됐으며, 한국고용정보원이 운영하는 취업 정보 포털 ‘워크넷’ 또한 23만 명에 달하는 개인정보가 유출됐다. 스타벅스의 모바일 앱은 개인정보는 유출되지 않았으나, 일부 이용자의 앱카드로 상품이 결제되는 피해가 발생하기도 했다.
엔씨 관계자는 <뉴스워커>와의 통화를 통해 “TL에서 계정 도용 사례가 확인돼 ‘기기등록 보안서비스’를 필수로 가입해야만 게임에 접속할 수 있도록 하는 등 보안 수준을 강화했다”라며 “계정 도용으로 인한 개인정보 피해는 없었으며, 디지털 재화 피해를 신고한 이용자 분께 최대한 빠르게 조치를 취할 예정”이라고 전했다.
- 스마일게이트RPG '로스트아크', 글로벌 서비스 확대 이어 모바일 시장 공략... IPO 기대감 높아져
- 일주일 앞으로 다가온 'TL' 출시일, 엔씨소프트 구원투수 될까
- 엔씨소프트, 신작 TL 출시 임박... '실적 가뭄'에 '단 비' 내릴까
- 엔씨, 박병무 VIG파트너스 대표 영입... 개발-투자 '투트랙' 전략 가동하나
- 최종 변론기일 앞둔 엔씨 '리니지2M 프로모션' 집단소송... 이용자 소송 단초될까
- 신사업 정리 나선 엔씨, 유니버스 이어 AI 금융 사업 철수... "핵심 경쟁력 강화 주력"
- 엔씨 신작 TL, 대규모 계정 도용 사건 발생... 보안 이슈 가능성은?
- '가족경영' 해체한 엔씨, 개발자·전문 경영인 내세운 고강도 체질개선 나선다
- 엔씨, TL '계정도용' 통해 유출된 재화 거래계정 연이어 정지.. "운영정책 따라 조치할 예정"
- LG전자 세탁기, 하루 3.66GB 데이터 사용 주장 제기...LG전자 측 "가전은 GB급 데이터 사용 안 해"
- 한국사회복지협의회, 해킹으로 135만 명 개인정보 유출 의혹... "홈페이지 보안 취약점 있었다"
- 펄어비스, '검은사막' 중국 내 비공개테스트 진행... 신작 가뭄 속 단 비 될까
- 엔씨(NC) 블레이드 & 소울, 고대 던전 ‘땅거미 숲’ 7단계 업데이트
- 카카오노조, 카카오모빌리티 휴대폰 디지털 포렌식 중단 요구... "동의서 내 위법적 요소 있어"
- 고강도 체질 개선 나선 엔씨, 수익성 낮은 사업 정리 수순... "인위적인 구조조정 없다"
- 대성마이맥, 해킹으로 9만5000명 개인정보 유출... 디지털대성 "2차 피해 제한적"
- 개인정보 유출 발생한 대성마이맥, 개인정보 수집 항목엔 민감 개인정보·금융정보 포함
- 엔씨, TL 성과 부진에 증권가 목표주가 잇달아 하향조정... 실적 전망 '흐림'
- 개인정보위, '개인정보 유출' 한국고용정보원·한국장학재단에 과태료... "주민등록번호도 암호화 없이 보관"
- 한국거래소, 설문조사 참여자 개인정보 유출... 관리 부실로 민감 개인정보 노출돼
- "확률조작 아이템 구매대금 반환하라"... 넥슨 '메이플스토리' 이용자 집단소송 내달 제기
- 넥슨, 던파모바일 中 출시 임박했나... "과거 현지화 작업 마친 게임, 외자판호 재발급"
- 국정원, 국가·정부서비스 이용자 1만3000명 개인정보 다크웹 유출... "행정전산망 마비사태 연관 없어"
- 넥슨, 지난해 역대 최대 매출·영업익 경신... 올해 1분기 전망은 '주춤'
- 인천교육청, 해킹 사실 인지하고도 한 달 넘게 신고 안 해... 11만명 개인정보 유출 우려
- '리니지라이크'에 칼 빼든 엔씨, 리니지 IP 저작권 침해 소송만 3개... 쟁점은?
- 카카오게임즈, 신작 롬 구글 플레이 매출 2위 등극... 오딘 흥행 이을까
- 카카오게임즈, 3700억원 규모 CB 조기상환 전망... 주가 하락에 투자자 원금회수 나서
- 엔씨, 창사 이래 첫 공동대표 체제 전환... '개발-투자' 두마리 토끼 잡는다