롤 디도스! 무슨 일이야?

지난 2023년 1월 21에 Riot Games 측에서 Social Engineering Attack을 당했다고 발표했습니다.

Social Engineering Attack (소셜 엔지니어링)은 사람의 신뢰를 이용하여 정보를 얻는 공격 방법이에요. 우리 일상에서 흔히 접하는 보이스피싱, 스팸 이메일이 소셜 엔지니어링의 한 형태라고 보시면 됩니다.

한국시간 25일에 Riot Games의 게임 서비스인 롤 (LoL)과 TFT의 소스코드, 또 ‘Legacy Anticheat - Packman가 공격으로 인해 유출되었다고 발표했어요. Legacy Anticheat는 게임 클라이언트와 서버 간의 통신을 모니터링 하여 부정행위나 해킹 행위를 탐지하는 프로그램으로 게임에서 ‘핵’을 잡거나 비정상적인 행위를 잡아내는 중요한 역할을 해요. 누군가 게임 데이터를 조작하려고 하면 곧바로 감지하여 사용자에게 게임을 즐길 수 있는 환경을 제공해주는 역할도 담당해요. 그런데 롤의 소스코드와 부정행위 방지 코드가 탈취되었다니! 😱

Riot Games가 랜섬 이메일을 받았다고 발표

같은 날, Riot Games 측은 소스코드를 탈취한 해커들에게 랜섬 이메일을 받았다고 해요.

해커들은 12시간 내에 $10 Million = 한화로 133억를 주면 소스코드를 유출하지 않겠다고 했지만, Riot Games 측에서는 강경하게 해커들과 협상하지 않겠다고 입장을 밝혔습니다.

롤의 소스코드를 유출하여 경매하는 현장 (출처: Bleeping Computer)

그러자 한 커뮤니티 사이트에 League of Legends 소스코드를 경매로 판매한다는 내용이 올라왔습니다. 롤의 소스코드와 롤과 발로란트의 Anticheat 코드도 함께 판다는 내용으로 한화 13억부터 경매를 시작했네요. 👾

어떻게 발생했을까?

vx-underground가 해커들과 대화한 내용

같은 날 25일, X (옛 트위터)의 사용자 vx-underground가 해커들과 대화한 내용을 스레드로 작성했습니다. 해커들은 Riot Games의 직원에게 SMS를 보내어 회사네트워크에 접속 가능했으며 회사의 대표 이사에게도 social engineering을 통해 권한을 얻을 수 있었다고 합니다. 그들은 네트워크에 침투하였지만 Domain Controller까지는 가지 못했고 SOC (Security Operations Center)가 알아차리기까지 약 36시간이 걸렸다고 합니다.

그 후로 어떻게?

그 이후로는 어떤 일이 일어났을까요? 23년 12월 말부터 여럿 인터넷 방송 BJ에게 디도스로 의심되는 공격이 이루어졌어요.

아프리카TV, 트위치, 치치직 등 여러 플랫폼에서 활동하는 방송인들의 인터넷이 마비되는 현상을 보였다고 해요.

생방송 중단한 LCK?

DRX vs DK 퍼즈 후 LCK 공지

그 후로 번번히 인터넷 방송을 하는 BJ, 이스포츠 선수들에게도 디도스 공격이 일어나고 심지어 공식 대회에서도 디도스 공격이 발생했습니다.

24년 2월 25일 공식 LCK 대회에서도 디도스 공격이 일어났습니다.

DRX와 DK전에서 1세트 시작 8분만에 DK Lucid 선수가 핑 이슈를 제기했고 그 후로는 DK 선수단, DRX 선수단 모두 핑 이슈, 네트워크 이슈로 퍼즈가 진행되었습니다. 총 퍼즈 진행 시간은 약 4시간으로 9번이나 발생해 3시에 시작한 경기가 21시 46분에 종료되었습니다. 보통 한 경기당 2시간 내지 걸리는 걸 감안해보면 너무나 오랜 시간 경기가 진행되었네요.😭 이후 LCK측에서 공식적으로 디도스 공격을 받고 있다는 것을 밝혔습니다.

이 날 두번째 경기인 OK브리온과 KDF간의 경기는 녹화중계로 진행될 수 밖에 없었습니다. 장시간의 퍼즈로 선수단과 LCK 관계자, 팬들 모두에게 힘든 하루였습니다.

이렇게 디도스 공격이 마무리 되는 걸까요?

DRX vs DK 전에서 잡힌 퍼즈 화면

2월 28일 T1과 FOX 전에서 다시 디도스 공격이 발생하게 되었습니다. 1세트에서 T1, FOX 선수단이 핑 이슈를 제기하여 5번의 퍼즈가 1시간 30분 가량 발생했습니다.

LCK 측에서는 앞으로의 경기를 ‘비공개 녹화 중계’로 진행하기로 결정했습니다. 즉, 경기를 언제 하는지 공지하지 않으면 디도스 공격을 피할 수 있으니 비공개로 진행하는 것인데요, 중계 시간 마저 미뤄져 평소 오후 9시에 끝나던 경기가 익일 새벽을 넘어서 끝나는 경우도 부지기수라 팬들의 반응이 좋지 않을 수 밖에 없었습니다.

디도스 공격이 뭘까?

디도스란 Distributed Denial of Service의 약자로 분산 서비스 거부 (DDoS) 공격입니다.

인터넷 서비스나 네트워크에 대한 공격으로 특정 웹사이트나 네트워크 서비스에 대량의 트래픽을 보내서 해당 서비스를 마비시키거나 접근을 불가능하게 만드는 것을 목표로 합니다. 디도스 공격은 수많은 컴퓨터 또는 기기들을 사용해서 동시에 연결을 시도해서 사용자들의 접근을 막고 서비스의 가용성을 저하시켜요.💀

웹사이트에 트래픽을 보내는 곳을 고속도로라고 생각해 볼게요.

대량의 트래픽이 고속도로를 점검하고 있다면 평상시의 트래픽이 목적지에 도착하지 못하게 될 것 입니다. 이렇게 서비스를 방해하는 것이 디도스 공격이라고 볼 수 있어요. 디도스 공격 원리 (출처: Cloudflare)

디도스 어떻게 방어할까?

서버에 여러 개의 트래픽이 동시에 발생하게 되어 운영에 장애가 생기에 만드는 디도스 공격을 막으려면,

트래픽이 한쪽에 몰리지 않게 끔 여러 개의 서버에 트래픽을 분산시키는 로드밸런서를 적용할 수 있어요.
또는, CDN과 같은 서비스도 자원을 분산해서 전달 할 수 있어서 디도스 방어에 도움이 돼요.

하지만 이런 디도스 방어 기업은 일반적으로 보안 장비가 필요하기 때문에 기업에서만 도입할 수 밖에 없어요.

개인으로서는 디도스 공격을 시도하지 못하게 사전에 보안을 철저하게 지키는 것이 중요합니다.

먼저 개인의 IP나 접속 정보가 외부에 노출되지 않도록 조심해야 합니다. OS와 사용 중인 소프트웨어는 보안 업데이트가 완료된 최신의 프로그램을 써야 해요.
또한 방화벽을 활성화 해서 원하지 않는 연결을 차단하는 방법도 될 수 있어요.

비록 디도스 공격이 들어올 때는 막기 어려워도 사전에 개인 보안을 철저히 지키는 것이 가장 중요하다고 볼 수 있어요.

요즘 뜨겁게 대두되고 있는 롤 디도스 사태와 디도스 공격에 대해 알아보았는데 어떠셨나요?

더 재미나고 유용한 보안 소식을 듣고 싶으시다면 파인더갭 블로그를 구독해주세요. 다음에 더 재미난 소식으로 만나요~🎮✨🎮✨