수천억달러 이상의 가치가 있는 것으로 추정되는 게임 산업은 게임 개발자와 제조업체에게만 중요한 비즈니스가 아니라 사이버 범죄자에게도 매력적인 분야가 되고 있다.
스팀 스틸러(Steam Stealer)는 끊임없이 진화하고 있는 악성 코드의 한 종류로 유명 게임 플랫폼인 ‘스팀(Steam)’의 사용자 계정을 탈취하는 것으로 알려져 있다. 온라인 게임 아이템과 사용자 계정 로그인 정보를 훔쳐 암시장에 재판매 하는 것이 목표인 이 악성코드는 악성코드의 서비스화(malware-as-a-service) 비즈니스 모델을 통해 30달러 이하의 매우 낮은 가격으로 사이버 범죄자들 간에 널리 확산되고 있다.
스팀은 가장 인기 있는 다중 OS 분산 엔터테인먼트 플랫폼 중 하나다. 발브(Valve) 소유의 이 플랫폼을 통해 전세계적으로 1억명 이상의 등록 사용자가 수천여종의 게임을 다운로드하고 있다.
이처럼 높은 인기로 인해 사이버 범죄자들에게도 크고 매력적인 공격 대상이 되고 있으며 현재 스팀 사용자의 로그인 정보는 암시장에서 15달러에 판매되고 있다. 최근 발표된 스팀의 공식 데이터에 의하면 매월 7만7000개의 스팀 계정이 탈취돼 피해를 입고 있다고 한다.
산티아고 폰티로리 카스퍼스키랩 연구원와 외부 분석가 바트 피(Bart P)에 의하면 스팀 스틸러라고 하는 새로운 종류의 악성 코드를 발브의 주력 플랫폼에 발생한 수많은 사용자 계정 유출 사건의 유력한 용의자로 지목했다.
두 연구원은 러시아어를 구사하는 사이버 범죄자에 의해 최초로 이 악성 코드가 개발됐으며 그 증거로 여러 범죄자 악성 코드 포럼에서 이를 나타내는 다수의 언어 흔적을 발견했다고 전했다.
악성코드를 서비스 방식으로 제공하는 비즈니스 모델인 스팀 스틸러는 차별화된 기능과 무료 업그레이드, 사용자 설명서, 맞춤 배포 자문 등이 포함된 여러 버전으로 판매되고 있다. 이러한 유형의 악성 공격 솔루션의 경우 이용 가격은 일반적으로 최저 500달러대다.
그러나 스팀 스틸러는 가격을 획기적으로 낮춰 주로 30달러 이하의 낮은 가격에 판매되고 있다. 전세계 사이버 범죄자 지망생들에게 이 악성 코드가 매력적인 이유가 바로 이것이다.
스팀 스틸러는 여러 경로를 통해 확산되고 있지만 악성 코드를 배포하는 복제된 가짜 웹 사이트를 통해 또는 피해자에게 직접 메시지를 보내 공격하는 사회 공학적 방식이 주로 사용되고 있다.
일단 이 악성 코드가 사용자의 시스템에 침투하면 전체 스팀 구성 파일을 훔친다. 그런 다음 사용자의 로그인 정보와 사용자 세션 정보가 포함된 특정 스팀 키밸류(Steam KeyValue) 파일을 찾는다. 사이버 범죄자가 이 정보를 확보하면 사용자의 계정을 제어할 수 있다.
이전에 게임 계정 도난은 아마추어 범죄자들이 리소스가 많이 필요 없는 간단한 스크립트를 사용해 계정을 훔친 후 범죄자 포럼에 판매해 단기간에 수익을 거두는 방식이었다. 그러나 이제는 범죄자들이 이러한 계정에 잠재돼 있는 높은 시장 가치를 알게 되면서 수천달러의 가치가 있는 사용자의 게임 아이템을 훔쳐 판매할 수 있는 기회로 인식하고 있다.
또 이런 기회를 조직화된 사이버 범죄자들이 그냥 지나치지 않는 것은 어찌 보면 당연한 일일 것이다.
지금까지 카스퍼스키랩의 전문가들은 스팀 플랫폼의 인기가 높은 러시아 및 기타 동유럽 국가를 비롯해 전 세계 수만 여 사용자를 공격하는 데 사용된 약 1200개의 스팀 스틸러 샘플을 발견했다.
이창훈 카스퍼스키랩코리아 지사장은 “게임 커뮤니티는 사이버 범죄자들의 주요 공격 목표가 되고 있고 감염 기법의 비약적인 발전과 함께 관련 악성코드도 더욱 정교해지고 복잡해지면서 사이버 범죄 활동도 더욱 증가하고 있다”며 “그렇기 때문에 보안은 게임 개발 초기 단계에서부터 고려해야 하고 이미 개발이 완료된 후 생각하면 너무 늦는다. 카스퍼스키랩은 보안 업계와 게임 산업 간의 긴밀한 협력을 통해 이러한 상황을 개선할 수 있다고 믿고 있다”고 말했다.
카스퍼스키랩은 스팀 스틸러 트로이목마를 Trojan.Downloader.Msil.Steamilik, Trojan.Msil.Steamilik, Trojan-psw.Msil.Steam 등으로 탐지한다. 이 트로이목마의 공격 대상은 전세계에 널리 분산돼 있지만 특히 러시아와 미국, 유럽(프랑스 및 독일), 인도, 브라질에 많이 있다.
사용자들이 보안 침해의 위험 없이 안전하게 좋아하는 게임을 즐기기 위해서는 최신 보안 솔루션이 필요하다. 대부분의 보안 제품은 ‘게임 모드’를 지원하므로 사용자가 세션을 끝낼 때까지 방해 받지 않고 게임을 즐길 수 있다. 스팀 또한 사용자들의 보안을 유지하기 위한 노력 일환으로 여러 가지 보안 조치를 제공하여 탈취 메커니즘으로부터 계정을 보호하고 있다.
