게임

[단독] LoL 디도스 공격 배후 '스위스나이프' 누구냐, 넌?

문대찬 기자
스위스나이프 디스코드 채널에 가입하려면 거쳐야 하는 홈페이지. 판매하고 있는 불법 프로그램 가격도 보인다.
스위스나이프 디스코드 채널에 가입하려면 거쳐야 하는 홈페이지. 판매하고 있는 불법 프로그램 가격도 보인다.

[디지털데일리 문대찬기자] 지난해 12월 익명의 집단으로부터 시작된 디도스(DDos, 분산서비스거부) 공격에 게임업계가 시름하고 있다. 특히 주요 타깃인 게임 ‘리그오브레전드(LoL)’의 피해가 극심하다. 관련 이스포츠 한국 대회(LCK)는 주관사 라이엇게임즈의 다양한 대책 마련에도 불구, 사태 발생 후 2주가 다되도록 정상화에 어려움을 겪고 있다.

◆디스코드 숨어 은밀히… ‘스위스나이프’ 채널 들여다보니

9일까지 <디지털데일리> 취재를 종합하면, 인플루언서와 LCK 등을 향한 이번 디도스 공격 배후는 ‘스위스나이프(SwissKnife)’가 유력한 것으로 알려졌다. 이들은 게임 음성 채팅 채널인 ‘디스코드’를 통해 제한된 인원들에게 여러 불법 프로그램을 판매하고 있다.

현재 해당 채널은 은밀히 운영되고 있다. 신원조회와 소득조회 등 까다로운 인증 절차를 거쳐야 채널에 입장할 수 있다. 신규 가입자는 인증 절차가 훨씬 까다롭다.

판매 방식도 치밀하다. 프로그램을 제공하는 것이 아니라 요청에 따라 대신 공격을 해주는 방식이다. 적발 위험성을 줄이고, 프로그램 허점 유출을 방지하기 위한 조치로 풀이된다.

채널을 살펴보면 적지 않은 이용자가 불법프로그램을 구매해 사용하고 있는 것으로 확인된다. “재고 소진이라니 안타깝다” “롤(LoL) 본계에서 사용해도 정지를 먹지 않는다” 등 프로그램 사용 후기도 심심찮게 찾아볼 수 있다. 심지어 리셀러(되팔이)도 존재한다.

스위스나이프 채널에서 불법 프로그램을 이용한 후기.
스위스나이프 채널에서 불법 프로그램을 이용한 후기.

스위스나이프는 현재 LoL 대표 불법 프로그램인 ‘헬퍼’를 비롯해 ‘이터널리턴’, ‘오버워치’ 등 다양한 온라인 게임 관련 프로그램을 판매 중이다. 가격대는 최소 10달러(한화 약 1만3000원)에서 800달러(105만4000원)에 이르기까지 천차만별이다.

이중 인플루언서 및 LCK 디도스 공격에 사용된 프로그램은 ‘스위스나이프리그풀러(SwissKnifeLeaguePluller)’다. 스위스나이프 측은 해당 프로그램을 ‘리그오브레전드 플레이어의 IP를 가져올 수 있는 특수 유틸리티’라고 설명하고 있다. IP 주소를 통해 비정상적인 트래픽을 발생시켜 네트워크 장애를 일으키는 디도스 공격과 연관성이 짙다.

리그 풀러는 한 때 리셀러에 의해 최대 200만원에 거래될 만큼 인기를 끈 것으로 확인된다. 그러나 스위스나이프는 LCK 중단으로 인해 관심이 집중되자, 최근 돌연 스위스나이프리그풀러 판매를 중단했다. 관리자 공지에 따르면, 해당 프로그램은 라이엇 보안 시스템 ‘뱅가드’ 도입에 맞춰 헬퍼로 추정되는 ‘리그바이패스(LeagueByPass)’에 통합돼 판매될 예정이다.

해당 관리자는 “리그 풀러는 더 이상 디스코드 봇으로 작동하지 않는다”면서 “리그바이패스에 통합돼 게임 세션의 플레이어 IP를 가져올 수 있는 방식으로 변경될 예정”이라고 밝혔다.

디도스 공격에 사용된 것으로 추정되는 불법 프로그램.
디도스 공격에 사용된 것으로 추정되는 불법 프로그램.

◆IP 유출 어디서 됐나…한국 서버 클라이언트가 문제?

일각에선 이들이 인플루언서와 대회장을 가리지 않고 IP를 탈취할 수 있었던 배경으로 한국 LoL 서버 클라이언트의 허술한 보안 문제를 꼽는다. 디도스 공격에 시달리던 한 스트리머가 중국 서버를 이용하자 증상이 사라진 것이 대표적인 근거다.

그러나 익명을 요구한 한 보안 전문가는 제한된 사례만으로 중국 쪽 서버 클라이언트가 안전하다고 단정짓기는 어렵다고 말했다. 그는 “중국이 공격을 안 받는다고 해서 보안이 튼튼하다고는 볼 수 없다”면서 “한국 서버에서 IP가 유출된 경로는 알 수 없지만 아직 공격 툴이 중국에 맞춰 제작이 안됐을 뿐 중국도 언제든 대상이 될 수 있다”고 설명했다.

실제, 스위스나이프 측은 리그 풀러 프로그램 소개란에 “현재는 KR(한국) 서버만 지원하지만, 글로벌 서버를 곧 추가할 예정”이라고 밝힌 바 있다.

일각에선 ‘소스코드’나 사인코드’로 인한 유출 가능성도 거론되지만 여러 정황상 이 또한 확률이 낮은 것으로 확인됐다. 라이엇 내부 사정에 정통한 관계자는 “작년 소스코드가 유출됐지만 한국 지역 서비스에 영향을 미치는 소스코드는 유출되지 않을 것으로 안다”며 “사인코드도 한국과 일본에서 활성화가 돼있는 건 맞지만, 몇 가지 내부 실험에 의하면 라이엇은 이쪽일 가능성이 낮은 것으로 판단하고 있는 걸로 안다”고 귀띔했다.

채널 관리자 공지. 뱅가드를 언급하고 있다.
채널 관리자 공지. 뱅가드를 언급하고 있다.

◆복수 보안 전문가 “내부망 구축했어야”… 라이엇 “여러 방안 강구 중”

복수의 보안 전문가들은 인력과 재화를 투입해 내부망을 따로 마련한다면, 적어도 LCK를 향한 디도스 공격은 빠른 시일 내 해결될 것이라고 보고 있다.

관련 트래픽을 일시 차단하는 방법이나 대역폭을 늘리는 방법 등도 있지만, 편의성과 소요 시간 등 여러 여건을 고려할 때 어려움이 따른다는 의견이다. 도입 예정인 뱅가드 역시 LoL의 ‘데마시아’와 같은 안티치트툴이기에 디도스 방어와는 거리가 멀다는 설명이다.

한 전문가는 그간 내부망을 따로 구축하지 않은 라이엇 행보를 지적하면서도 “해외 국가가 내부망을 쓰는 건 보안보다는 현지 인터넷 인프라가 좋지 않은 이유도 있다”면서 “한국은 인프라가 상당히 좋아 상당수 회사가 데이터 센터를 외부에 두고 있다”고 두둔하기도 했다.

한편, 라이엇은 다양한 방법을 동원해 문제 해결에 힘쓰고 있다. 최초 사태 발생 당시엔 다양한 패턴의 무작위 공격에 고전했지만, 조금씩 실마리를 잡고 있는 것으로 알려졌다. 이중엔 대회 서버를 롤파크 내부 네트워크에 두는 방안도 포함돼있다.

이와 관련, 라이엇 관계자는 “다양한 방식으로 조사를 이어왔다”며 “대회 서버를 롤파크 내부 네트워크에 두는 안을 포함, 여러가지 대응책의 안정성을 점검 중”이라고 말을 아꼈다.

문대찬 기자
freeze@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널