엔씨, TL 계정 도용은 '크리덴셜 스터핑' 공격 추정... "개인정보 유출 피해 없다"

엔씨소프트의 신작 ‘쓰론앤리버티(THRONE AND LIBERTY, 이하 TL)’의 이용자들이 계정 도용 피해를 본 것으로 확인된 가운데, 이번 계정 도용 사건이 ‘크리덴셜 스터핑’으로 인해 발생한 것으로 추정되고 있다.

최근 TL의 커뮤니티에는 계정 도용으로 인한 피해가 발생했다는 이용자의 글이 지속해서 올라왔다. 계정 도용으로 게임 내 디지털 재화를 탈취당했다는 글이 지속 게재됐으며, 일부 고객의 경우 TL 계정을 통해 결재되는 피해를 본 것으로 알려졌다.

엔씨 측은 홈페이지를 통해 “외부에서 도용된 로그인 정보를 통해 계정 내 아이템이 사용되거나 이동되는 피해 사례가 발생했다”라며 “피해의 심각성을 인지하고 추가 피해 방지를 위해 임시점검을 통해 보안 서비스를 긴급 적용했으며, 이미 발생한 피해 항목은 원상 복구를 기준으로 진행될 예정”이라고 전했다. 즉, 보안 이슈가 아닌 이용자 계정을 대상으로 ‘크리덴셜 스터핑’ 공격이 발생했다는 것이다.

‘크리덴셜 스터핑’이란 해커가 미리 확보한 이용자 정보를 다른 계정에 무작위로 대입해 사용자의 계정을 탈취하는 공격 방식이다. 만약 앞서 다크웹 등을 통해 로그인 정보가 유출된 사람이 다른 계정에 같은 비밀번호를 사용하고 있다면, 크리덴셜 스터핑 공격으로 계정이 탈취되거나 개인정보가 유출될 가능성이 있는 것이다.

앞서 크리덴셜 스터핑은 현금으로 거래할 수 있는 디지털 재화를 취급하는 게임과 플랫폼을 대상으로 빈번하게 발생해 왔다. 2022년 카카오게임즈의 ‘오딘: 발할라 라이징’과 넥슨에서 ‘크리덴셜 스터핑’으로 인한 계정 도용 시도가 발생했었으며, 당해 스마일게이트의 ‘로스트아크’에서는 같은 공격으로 인한 피해가 발생하기도 했다. 특히 공격자는 스마일게이트의 게임 플랫폼 ‘스토브’가 OTP 인증 없이 로그인이 가능하다는 점을 노리고 크리덴셜 스터핑 공격을 시도했으며, ‘와일드본’ 등의 모바일 게임을 통해 로스트아크 계정에 접속한 것으로 알려졌다.

아울러 크리덴셜 스터핑은 최근 복수의 국내 사이트에서 발생해 개인정보가 유출되거나 포인트가 탈취한 공격으로 알려졌다. 지난해 인터파크에서는 크리덴셜 스터핑 공격으로 78만3920건의 개인정보가 유출됐으며, 한국고용정보원이 운영하는 취업 정보 포털 ‘워크넷’ 또한 23만 명에 달하는 개인정보가 유출됐다. 스타벅스의 모바일 앱은 개인정보는 유출되지 않았으나, 일부 이용자의 앱카드로 상품이 결제되는 피해가 발생하기도 했다.

엔씨 관계자는 <뉴스워커>와의 통화를 통해 “TL에서 계정 도용 사례가 확인돼 ‘기기등록 보안서비스’를 필수로 가입해야만 게임에 접속할 수 있도록 하는 등 보안 수준을 강화했다”라며 “계정 도용으로 인한 개인정보 피해는 없었으며, 디지털 재화 피해를 신고한 이용자 분께 최대한 빠르게 조치를 취할 예정”이라고 전했다.