스마일게이트의 다중접속역할수행게임(MMORPG) '로스트아크' 일부 계정에 해킹 피해가 발생했다. 다만 이는 스마일게이트 서버 자체에 대한 해킹이 아닌 타 웹사이트에서 유출된 계정을 통해 스마일게이트 계정을 탈취하려고 한 시도로 보인다.
28일 게임 업계에 따르면 로스트아크 게임 계정을 보유한 일부 사용자가 계정 해킹을 당해 게임상 재화와 아이템을 잃기도 했다. 스마일게이트의 게임 플랫폼 '스토브'에서 서비스하는 다른 게임 '와일드본'을 통해 일회용 비밀번호 생성기(OTP) 인증을 건너뛰고 로스트아크에 접속할 수 있다는 점을 해커가 노린 것으로 보인다.
스마일게이트는 25일 공지를 통해 "최근 특정 모바일 게임을 대상으로 회원의 의도와 관계없이 반복적인 로그인 시도가 발생함에 따라, 스토브 앱 알림에 대한 이상 동향이 증가한 것으로 확인됐다"라며 "25일 오후 1시경 비정사적인 로그인 시도가 발생하지 않도록 보안 시스템을 강화하는 업데이트를 진행했다"라고 밝혔다. 이어 "비정상적인 로그인 시도는 언제든지 다양한 경로를 통해 우회하여 발생될 수 있는 부분이다"라며 타 사이트와 동일한 비밀번호를 이용하는 것을 사용자에게 지양하라 권고했다.
이번 해킹은 스마일게이트 서버 자체가 해킹당한 것이 아니라 다른 사이트에서 유출된 비밀번호를 활용한 크리덴셜 스터핑 공격으로 보인다. 크리덴셜 스터핑이란 다른 웹사이트에서 획득한 아이디나 비밀번호를 조합해 다른 사이트에서 로그인을 시도하는 사이버 공격 방식이다.
스마일게이트 측은 28일 공지를 통해 비밀번호 변경 기능 보안 강화 업데이트 등 상황을 공유했다. 스마일게이트는 "추가적인 보안 시스템 강화 업데이트를 통해 OTP 우회가 발생하지 않도록 조치했다"라며 "해당 이슈로 이용 중인 게임에서 피해를 입은 사용자에겐 신고 접수 순서에 따라 순차적으로 피해 내역에 대한 복구 처리를 진행할 예정이다"라고 했다.