게임사를 타깃으로 한 사이버 공격이 증가하면서 국내외 게임업계가 관련 조치를 강화하는 등 정보보호를 위한 움직임을 보이고 있다.
1일 글로벌 콘텐츠 전송 네트워크 기업 아카마이가 발표한 '코로나19 시대의 게임' 보고서에 따르면 코로나19 확산으로 게임에 대한 수요가 높아지며 접속자 수도 늘어난 가운데, 2020년 전 세계 게임업계를 표적으로 한 사이버 공격은 2019년 대비 340% 증가했다. 아카마이는 "다른 어떤 업계보다 게임 분야에서 (사이버) 공격 트래픽이 더 많이 증가했다"라며 "도난당한 계정을 이용한 크리덴셜 스터핑(유출된 사용자 계정으로 다른 웹사이트나 애플리케이션을 무작위로 대입해 로그인한 후 추가 정보 유출하는 수법)이나 디도스(DDoS·분산서비스 거부) 공격 등이 주를 이루고 있다"라고 밝혔다. 아카마이는 대부분 게임 이용자들은 소셜 커뮤니티에서 적극적으로 활동하고, 가처분 소득이 있고, 게임 관련 비용을 지출하는 성향이 있어 해커의 공격 표적이 될 가능성이 크다고 덧붙였다.
최영민 네이버 클라우드 정보기술(IT) 시큐리티 매니저는 "(2021년) 8월 스퀘어에닉스의 게임 '파이널판타지14′가 디도스 공격을 받았고, '스타워즈 배틀프론트', '타이탄폴2′, '리그오브레전드' 등도 디도스 공격에 무너졌다"라며 "디도스 공격에 대한 (게임업계의) 사전 준비가 필요한 이유다"라고 했다.
김휘강 고려대 정보보호대학원 교수는 "게임업계는 금융이나 통신업계보다도 더 많은 해킹 공격을 받고 있다"라며 "유명 게임은 초당 동시 접속자 수가 매우 크며 기본적으로 게임은 네트워크 유입 트래픽이 많아 잠시 게임이 느려지기만 해도 승패가 엇갈리는 등 네트워크 딜레이에 민감한 게임 이용자들의 불만이 커져, 다른 업계보다도 디도스 공격 등에 취약하다"라고 했다.
김 교수는 "게임의 경우 데이터베이스를 해킹해 계정을 손에 얻으면 아이템베이 등 플랫폼을 통해 바로 현금으로 거래할 수 있는 디지털 재화를 얻을 수 있기 때문에 해커 입장에서 노력 대비 얻는 이익이 커서 공격의 대상이 된다"라며 "특히 최근 게임업계가 '플레이투언(P2E·게임을 하며 돈을 버는)' 게임으로 사업을 확장하면서 게임 아이템보다 자금 세탁이 쉬운 코인을 해킹할 수 있게 되면서 앞으로도 관련 공격이 계속 이어질 것으로 보인다"라고 했다.
위정현 한국게임학회장(중앙대 경영학부 교수)은 "해커 입장에선 열심히 해킹한 특정 코인의 가격이 갑자기 폭락하는 위험을 감수하기보단 게임이 유지되는 한 가치가 보장되는 게임 내 재화를 얻으려고 한다"라며 "해커들도 해킹 툴을 24시간 업데이트하고 아예 관련 해킹 툴을 판매하는 등 수법이 고도화되고 있어 주의해야 한다"라고 했다.
정보보호를 강화하기 위해 게임업체에서도 다양한 시도를 하고 있다. 스퀘어에닉스는 지난 2월 파이널판타지14 스팀 버전 게임 서비스 내 추가 계정 인증과 로그인 확인 과정을 강화했다. 스퀘어에닉스는 자사 뉴스룸을 통해 이는 "이용자 계정 보호를 강화하고 (해킹한 계정을 사용하는 등) 계정 관련 사기 행위를 방지하기 위한 노력의 일환이다"라고 설명했다.
라이엇게임즈도 관련 정보보호 규정을 지속적으로 강화하고 있다. 라이엇게임즈 관계자는 "(디도스 공격 이후) 정보보호를 위해 지속적인 노력을 기울이고 있다"라며 "서비스 가용성을 보장하기 위해 24시간 상시 모니터링을 수행하며 효과적인 장애 대응 체계를 갖추고 있으며, 정보보호 관리체계(ISMS) 인증 획득 후 매년 인증을 유지하고 있다"라고 했다. 이어 "회원가입 단계에서 회원의 정보를 일방향 암호화된 본인인증 식별값으로 저장하고 회원 탈퇴 시 정보를 즉시 삭제하고 관련 법률에서 추가 보관을 요구하는 정보에 한해 별도 분리 저장하는 등 정보보호 활동을 체계적으로 진행하고 있다"라고 했다.
위메이드는 지난 17일 노르웨이 정보보호 관리 인증기관인 DNV로부터 국제표준 정보보호 인증인 'ISO27001(정보보호경영시스템)'와 'ISO27701(개인정보보호 경영시스템)' 인증을 동시에 받았다. 위메이드 관계자는 "최근 사내 정보보호 규정 및 지침을 재개정하고 해킹 메일 대응훈련도 주기적으로 진행하고 있으며, 정보보호를 강화하기 위해 관련 인력을 최근 계속 더 뽑고 있다"라고 했다.
펄어비스 역시 지난 13일 국제표준화기구(ISO) 및 국제전기기술위원회(IEC)가 제정한 개인정보보호 관리체계 인증 'ISO/IEC 27701′을 획득했다. 펄어비스 관계자는 "최근 게임을 서비스하고 있는 전 세계 국가의 개인정보 약관을 분석하며 국가별 대응 프로세스를 마련하는 등 정보보호 체계를 고도화하고 있다"라고 했다.