블루 아카이브 해킹 파문, 넥슨 긴급 점검 6시간…CDN 침투 경위 주목

넥슨의 서브컬처 게임 ‘블루 아카이브’ 가 지난달 31일 저녁 외부 해킹 공격에 노출됐다.

공격자는 배포 경로의 환경설정을 바꿔 게임 화면에 특정 캐릭터가 수십 개로 복제돼 돌아다니는 등 비정상 콘텐츠를 발생시켰다.

현상은 발견 시점부터 약 1시간 이어졌고, 서비스사는 즉시 전면 점검으로 대응했다.

업계 전언을 종합하면 31일 오후 9시경 이상 징후가 확인되었다.

넥슨은 오후 10시 22분 “일부 콘텐츠가 비정상적으로 표시되는 현상이 나타나고 있다”라고 공지한 뒤 긴급 점검에 돌입했다.

복구 작업은 약 6시간에 걸쳐 진행됐으며 9월 1일 오전 4시 40분경 마무리됐다.

원인으로 지목된 것은 콘텐츠전송네트워크(CDN) 설정 오염이다.

이용자에게 빠르게 데이터를 전달하기 위해 분산 서버를 활용하는 CDN 특성상, 설정값이 왜곡되면 클라이언트가 받아들이는 리소스가 달라질 수 있다.

넥슨은 외부에서 특정한 방법으로 접근해 환경설정 일부가 네덜란드 IP로 변경된 기록을 확인했으며, 설정 원복과 함께 권한에 대한 2중 제어 등 보안 체계를 보강했다고 밝혔다.

아울러 한국인터넷진흥원(KISA)에 관련 사실을 신고하고 침투 경로에 대한 조사를 진행 중이다.

이번 사고는 한국을 포함한 여러 지역에서 동시에 관측됐지만, 선출시 지역으로 업데이트 구조가 다른 일본판에서는 동일 현상이 보고되지 않았다.

현재까지 데이터 유출 정황은 파악되지 않았고, 이상 콘텐츠 노출에 국한된 사건이라는 추정도 제기된다.

다만 SKT, 롯데카드 등 대형 사고가 잇따른 올해의 보안 환경을 감안하면, 대규모 이용자와 결제 시스템을 운영하는 게임사의 예방·대응 수준을 재점검해야 한다는 지적이 힘을 얻고 있다.

공격 주체는 특정되지 않았다.

한편 문제 발생 이후 공격에 활용된 IP로 접속하면 ‘고멘 넥슨’이라는 문구와 함께 “나에게 메일을 보내면 다른 취약점도 알려주겠다”라는 메시지가 노출되는 것으로 알려졌다.

장난성 메시지에 가깝다는 시각도 있지만, 설정 주도권을 탈취해 서비스 화면을 왜곡시킨 만큼 사전 위협 탐지와 접근통제, 설정 무결성 검증을 포함한 근본 대책이 요구된다.

넥슨은 추가 재발 방지 조치로 정기 취약점 진단 외에 모의해킹과 버그바운티 대상을 클라이언트, 게임 서버, 연관 서비스 전반으로 확대하겠다는 계획을 내놨다.

환경설정 관리 프로세스의 이중화, 비정상 트래픽 자동 격리, 배포 아티팩트 사전·사후 무결성 검증을 고도화해 유사 사고 가능성을 낮추겠다는 방침이다.