세아
Rockstar Games가 4월 11일 두 번째 해킹 피해를 공식 확인했다. 2022년 GTA6 개발 영상 90여 개가 통째로 유출된 지 3년 7개월 만이다. 이번 사건이 지난번과 결정적으로 다른 점은 하나다. 공격자가 Rockstar를 직접 뚫지 않았다.
Rockstar는 "제3자 데이터 침해와 관련해 제한된 양의 비핵심 회사 정보가 접근됐다"는 한 문장으로 상황을 정리했다. 같은 날, 해킹 그룹 ShinyHunters는 다크웹에 협박문을 올렸다. 데드라인은 4월 14일.
협박문에 같이 올라온 이미지는 사이버펑크 2077의 비주얼을 그대로 따온 조롱 그래픽이다. 경쟁작을 무기 삼아 Rockstar를 깎아내린 것으로, 2022년 LAPSUS$의 "개발사와 협상하고 싶다"던 선언과는 결이 완전히 다르다.
외주 하나가 열쇠를 잃어버렸다
이번 해킹의 경로는 의외로 단순하다. Rockstar는 클라우드에 쓰는 돈을 관리하려고 Anodot이라는 외부 프로그램을 쓰고 있었다. 비용이 비정상적으로 튀면 알려주는 도구다. 그런데 그 외부 프로그램이 먼저 뚫렸다.
Anodot은 자기 역할을 하려고 Rockstar의 데이터 창고에 들어갈 수 있는 디지털 열쇠를 들고 있었다. 공격자는 Anodot에서 그 열쇠를 훔쳤고, 열쇠로 정상 직원인 척 데이터 창고 문을 열고 그대로 들어갔다.
Rockstar가 세워둔 방화벽과 2단계 인증은 열쇠 가진 사람 앞에서는 의미가 없다. 회사 내부 로그에도 정상 로그인으로 찍힌다. 공격자는 침입 프로그램 하나 던지지 않고 데이터를 뽑아 갔다. 효율 올리려고 들여놓은 외부 도구가, 설치된 그 순간부터 가장 큰 틈이 된 셈이다.
이게 Rockstar만의 얘기가 아니라는 점이 문제다. 대형 게임사 한 곳이 운영에 쓰는 외부 클라우드 서비스는 수십에서 수백 개다. 각각이 회사 데이터에 들어갈 열쇠를 저마다 들고 있다.
ShinyHunters, 4년째 이 방식으로만 300곳을 털었다
ShinyHunters는 2020년쯤 등장한 돈 목적의 해킹 조직이다. 개인 사용자는 건드리지 않는다. 기업이 쓰는 외부 도구, 로그인 체계, 서비스 간 연결부만 노린다. 털고 나면 데이터를 다크웹에 팔거나, 이번처럼 "내라, 아니면 공개한다" 협박으로 돈을 뜯는다.
2024년 이 조직을 유명하게 만든 사건이 있다. 대형 데이터 저장 서비스를 공유하던 AT&T, Ticketmaster, Live Nation, Santander 같은 대기업 100여 곳이 동시에 털렸다. 공격 방법은 이번 Rockstar 건과 똑같았다. 본체 기업은 건드리지 않고, 기업이 의존하는 외부 시스템만 뚫는 것. 방법론을 4년째 똑같이 반복하며 피해 기업만 계속 늘려 왔다.
Sony가 과거 한 차례 거명됐던 만큼, Rockstar는 이 조직이 기록하는 두 번째 대형 게임 퍼블리셔 타깃에 해당한다.
10대 한 명 vs 24시간 돌아가는 조직
2022년과 2026년은 같은 "Rockstar 해킹"이라는 이름을 달았지만 성격이 완전히 다른 사건이다.
