Home > 전체기사
게임 카운터스트라이크 생태계에서 발견된 대형 봇넷
  |  입력 : 2019-03-15 17:00
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한 사설 서버 운영자의 대담한 기획...스스로 트로이목마 만들어 퍼트려
클라이언트에 있던 제로데이 취약점 두 개 사용돼...아직 패치 되지 않아


[보안뉴스 문가용 기자] 유명한 온라인 멀티플레이어 게임인 카운터스트라이크의 서버를 통해 대규모 봇넷이 만들어졌다. 가짜 카운터스트라이크 게임 서버를 신설해 접속하는 사람들의 기계(클라이언트)를 감염시킨 것인데, 현재 카운터스트라이크 1.6 게임 서버들 중 무려 39%가 ‘악성’이거나 ‘가짜’라고 한다. 이에 대해 보안 업체 닥터웹(Dr. Web) 조사했다.

[이미지 = Steam 공식 웹사이트]


카운터스트라이크의 원 제작사인 밸브(Valve)에 의하면 카운터스트라이커를 이용하는 게이머는 전 세계 3억 명이라고 한다. 이번 조사의 대상이 된 1.6 버전의 경우 굉장히 오래된 버전이며, 따라서 수년 동안 개발이 활발히 진행되지 않았지만, 서버 동접자 수는 2만 명 수준을 유지해왔다. 그러므로 사이버 범죄자들에게 있어 ‘풍요의 땅’이다.

간략한 게임 구조를 설명하자면, 게이머들은 카운터스트라이크 전용 서버를 구매하고, 그 서버에서만 게임을 진행한다. 그래서 클라우드의 프로세서 자원을 사용해 카운터스트라이크를 즐기는 것인데, 이렇게 함으로써 가정용 인터넷보다 안정적인 연결 상태를 유지할 수 있게 된다. 사설 게임 서버도 카운터스트라이크 게임 생태계에서는 흔하게 발견되고, 사설 서버 주인들 간의 경쟁도 치열하다. 게임 서버에 대한 홍보와 마케팅 행위가 자연스럽게 발생한다.

닥터웹은 “한 서버 운영자의 경우 - 이름은 벨로나드(Belonard)인데 - 다른 사설 서버 운영자들에게 돈을 받고 광고를 해주기도 했다”고 설명한다. “그런데 이 벨로나드란 인물은 뒤에서 카운터스트라이크 클라이언트에 있는 제로데이 취약점들을 익스플로잇 해서 사용자들의 장비에 악성 트로이목마를 심기도 했습니다. 그렇게 해서 대규모로 봇넷을 구성할 수 있었던 것입니다.”

벨로나드가 익스플로잇 한 건 두 개의 원격 코드 실행 취약점으로, 이전에 한 번도 보고된 적이 없는 것이었다. 그는 이를 통해 자신이 만든 트로이목마를 살포했다. “카운터스트라이크 사용자가 평소처럼 스팀 클라이언트를 열고, 카운터스트라이크 서버를 하나 선택합니다. 악성 서버를 실행하는 순간 원격 코드 실행 취약점이 익스플로잇 되고 악성 라이브러리가 사용자의 컴퓨터로 전송됩니다. client.dll(Trojan.Belonard.1)이나 Mssv24.asi(Trojan.Belonard.5) 중에 하나입니다.”

닥터웹은 이 취약점에 대한 세부적인 내용을 공개하지 않았다. 익스플로잇이 어떤 식으로 발생하는지도 정확히 설명하지 않았다. 모방 범죄 사례가 늘어날 수 있기 때문이다. 그러나 감염이 일어나는 연쇄 과정에 대한 정보는 공개했다. “위의 두 가지 트로이목마는 가짜 밸브의 공식 서버를 가짜로 만듭니다. 이 밸브 게임 서버는 위에서 말한 카운터스트라이크 사설 서버들과는 다른 겁니다. 그리고 핑이 굉장히 낮게 설정되어 있습니다.”

핑이 낮다는 건 게이머들이 실시간으로 반응해야 하는 게임에서 매우 중요한 요소이다. 게이머가 조작한 내용이 서버로 곧바로 입력된다는 뜻이기 때문이다. 게이머들 입장에서는 핑이 낮으면 낮을수록 쾌적하다는 느낌을 받는다. 카운터스트라이크 게임에는 사용자들을 자동으로 핑이 낮은 공개 서버로 연결시켜주는 기능도 있고, 사용자가 직접 서버를 선택하게 하는 옵션도 있다. 후자의 경우 서버 목록과 핑의 수준을 보여주는데, 위의 트로이목마가 만드는 낮은 핑의 가짜 서버는 이러한 상황을 노린 것이라고 볼 수 있다.

“트로이목마는 클라이언트에 나타나는 진짜 게임 서버 목록을 편집합니다. 그리고 감염시킨 컴퓨터에 프록시를 만들어 다시 트로이목마를 퍼트리죠. 프록시 서버들 역시 핑이 매우 낮게 설정되어 있어 게임 서버 목록에서 제일 위에 뜨고, 이를 바탕으로 더 많은 사용자들을 유혹합니다.”

닥터웹이 조사한 바에 따르면 스팀에서 제공하는 공식 게임 서버는 5000개인데, 이 중 1951개가 가짜이거나 벨로나드의 트로이목마가 만든 프록시 서버라고 한다. 왜 그는 이런 짓을 한 걸까? “돈 때문입니다. 봇넷을 이런 수준으로 구성했다고 광고하면, 이 인프라를 통해 여러 공격을 감행하고 싶어 하는 사이버 범죄자들이 돈을 주고 대여할 것입니다. 수많은 카운터스트라이크 게이머들이 잠재적인 피해자나 중간다리가 되는 것이고요.”

다행히 이런 연구 결과가 나온 이후 벨로나드의 봇넷은 와해된 상태다. 하지만 클라이언트의 제로데이가 패치되지 않는 이상 누군가 벨로나드와 비슷한 수법으로 카운터스트라이크 생태계 내에서 또 다른 봇넷을 구성하는 것 자체는 불가능한 게 아니다. 아직 밸브 측은 이 제로데이 취약점에 대해 별 다른 입장을 발표하지 않고 있는 상황이다.

3줄 요약
1. 유명 게임 카운터스트라이크의 한 사설 서버 운영자, 클라이언트의 제로데이 취약점 통해 멀웨어 퍼트림.
2. 5000개 서버 중 39%가 악성이거나 가짜. 대형 봇넷이 구성됨.
3. 해당 봇넷은 와해된 상태이나, 제로데이 취약점 해결되지 않아 똑같은 일 또 발생할 수 있음.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지/7월25일 수정위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
지난 10월 정보보호정책관을 정보네트워크정책관으로 변경하는 과학기술정보통신부의 조직 개편 움직임이 논란이 된 바 있습니다. 과기정통부에서 정보보호 업무를 총괄하는 조직 위상에 대한 견해는?
과기정통부에서 분리해 별도의 정부부처가 전담해야
과기정통부 내 정보보호정책실(실장급)로 격상시켜야
지금처럼 정보보호정책관(국장급) 조직을 유지해야
네트워크 업무를 통합시키되, 정보보호네트워크정책관(국장급)으로 명명해야
과기정통부의 초안처럼 정보네트워크정책관(국장급)으로 해야
기타(댓글로)
      

이스온
원격감시 / 안전관리

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

파나소닉코리아
Sevurity Camera / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

AVIGILON
영상 보안 / 출입 통제

대명코퍼레이션
DVR / IP카메라

티제이원
영상 보안 / 출입 통제

하이크비전 코리아
CCTV / IP / NVR

원우이엔지
줌카메라

비전정보통신
IP카메라 / VMS / 폴

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

한국하니웰
CCTV / DVR

이화트론
DVR / IP / CCTV

피엔에이
CCTV / IP 카메라 모듈

테크스피어
손혈관 / 차량하부 검색기

쿠도커뮤니케이션
스마트 관제 솔루션

슈프리마
출입통제 / 얼굴인식

아이티엑스엠투엠
DVR / NVR / IP CAMERA

씨엠아이텍
근태관리 소프트웨어 / 홍채 스케너

링크플로우
이동형 CCTV 솔루션

한국씨텍
PTZ CCTV

엔토스정보통신
DVR / NVR / CCTV

경인씨엔에스
CCTV / 자동복구장치

트루엔
IP 카메라

씨오피코리아
CCTV 영상 전송장비

CCTV협동조합
CCTV

디비시스
CCTV토탈솔루션

도마카바코리아
시큐리티 게이트

다민정보산업
기업형 스토리지

테크어헤드
얼굴인식 소프트웨어

에스카
CCTV / 영상개선

브이유텍
플랫폼 기반 통합 NVR

윈스
지능형 차세대 방화벽

포티넷
네트워크 보안

화이트박스로보틱스
CCTV / 카메라

신우테크
팬틸드 / 하우징

네이즈
VMS

케이제이테크
지문 / 얼굴 출입 통제기

혜인에스앤에스
통합보안시스템

셀링스시스템
IP 카메라 / 비디오 서버

사라다
지능형 객체 인식 시스템

수퍼락
출입통제 시스템

구네보코리아
보안게이트

일산정밀
CCTV / 부품 / 윈도우

아이엔아이
울타리 침입 감지 시스템

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

케이티앤씨
CCTV / 모듈 / 도어락

파이브지티
얼굴인식 시스템

이스트컨트롤
통합 출입 통제 솔루션

아이유플러스
레이더 / 카메라

지와이네트웍스
CCTV 영상분석

두레옵트로닉스
카메라 렌즈

지에스티엔지니어링
게이트 / 스피드게이트

이후커뮤니케이션
전송장치/CCTV

창우
폴대

넷플로우
IP인터폰 / 방송시스템

대산시큐리티
CCTV 폴 / 함체 / 랙

엘림광통신
광전송링크

티에스아이솔루션
출입 통제 솔루션

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

DK솔루션
메트릭스 / 망전송시스템

싸이닉스
스피드 돔 카메라

다원테크
CCTV / POLE / 브라켓

유진시스템코리아
팬틸트 / 하우징

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트