게임 장비 전문 제조사 스커프 게이밍, 110만 고객 정보 털리다

게시일: 2020. 4. 15 오전 10:57:48

DB 설정 잘못된 듯...48시간 동안 누구나 접속 가능한 상태로 유지되어

누군가 접근 성공한 뒤 협박 편지 남겨...스커프 게이밍 측은 안심하라는 메시지 배포 중

[보안뉴스 문가용 기자] 비디오 게임 장비 제조사인 스커프 게이밍(SCUF Gaming)에서 110만 명의 개인정보가 유출되는 사고가 발생했다. 사용자 정보가 저장된 데이터베이스가 인터넷에 고스란히 노출된 때문이다.

[이미지 = iclickart]

문제의 DB는 4월 3일 제대로 보강되었지만, 그 전에 약 48시간 동안 대문을 활짝 열고 있던 것으로 보인다. 하지만 48시간이면 누군가 DB를 발견해 데이터를 전부 복사해 가기에 충분한 시간이다. 실제 누군가 그렇게 했고, 협박 편지까지 남겨 두었다.

편지의 내용은 다음과 같았다.

“귀사의 데이터베이스는 저희가 운영하는 서버에 다운로드 받아 두었습니다. 데이터를 다시 가져가시려면 0.3 비트코인을 저희의 비트코인 주소로 보내고 이메일로 연락을 하십시오.” 재미있는 건 이 편지를 제일 먼저 발견한 건 스커프 게이밍이 아니라 보안 업체 콤패리테크(Comparitech)였다.

콤패리테크에 의하면 4월 2일부터 바이너리에지(BinaryEdge)라는 검색엔진을 통해 해당 DB를 검색하는 게 가능했다고 한다. 콤패리테크의 보안 전문가 밥 디아첸코(Bob Diachenko)가 이를 발견한 건 바로 다음 날인 4월 3일이었다. 디아첸코는 곧바로 스커프 측에 알렸고, 스커프는 수시간 만에 DB를 잠갔다.

스커프 게이밍은 지난 금요일 데이터베이스 속 정보가 유출되었다는 것을 고지했으나, 해당 DB에 접속한 것은 봇뿐이라고 주장했다. 또한 접속한 봇이 한 일이라고는 ‘내가 정보에 접속했다’는 내용의 편지를 놔둔 것이 전부라고 덧붙였다. “봇이건 사람이건, 해당 데이터를 악용했다는 증거를 찾을 수는 없었습니다.”

스커프 게이밍에 의하면 내부적으로 이번 공격에 영향을 받은 건 단 한 개의 시스템이라고 한다. 게다가 그 시스템도 코로나 바이러스 사태로 인해 회사 네트워크와는 단절된 채 운영되고 있었다고 한다. 아마도 원격 근무자의 시스템 중 하나가 당한 것으로 보인다.

또한 스커프 게이밍 측은 “주문서, 반송 및 수리 관련 기록 등 민감 정보로 분류되지 않는 고객 정보가 저장된 DB였다”고 해명하기도 했다. 그러나 이는 사실이 아니다. 이름, 이메일 주소, 배송지 주소, 주문 상세 내역, 반송 상세 내역, 수리 상세 내역이 전부 저장되어 있었기 때문이다.

콤패리테크에 의하면 해당 DB에는 1,128,649개의 사용자 기록이 저장되어 있었다고 한다. 이 기록들은 이름, 이메일 주소, 배송지 주소, 청구서 상 주소, 전화번호, 주문 내역 등이 포함되어 있다. 그 외에 991,478개의 지불 관련 기록들도 저장되어 있었다. 이는 주문서 번호, 신용카드 번호, 신용카드 만료일, 주문량, 거래 ID를 포함하고 있다.

스커프 게이밍 직원들 사이에서도 피해자가 나왔다. 유출된 DB에 754건의 스커프 내부 직원 기록들(이름, 사용자 ID, 암호화 된 비밀번호, 이메일 주소, 직무와 직위 관련 정보, 세션 ID)도 있었기 때문이다. 수리 주문 내역은 총 144,379건 발견됐다.

스커프 게이밍은 발표문을 통해 “신용카드 번호가 완전히 다 나간 것이 아니”라며 “그 어떤 피해도 발생하지 않을 것이니 안심해도 된다”고 주장했다. 또한 “비밀번호도 암호화 된 형태로 노출된 것이기 때문에 공격자들이 가져갔다고 하더라도 아무런 소용이 없다”고 덧붙였다.

3줄 요약

1. 게임 장비 제조하는 스커프 게이밍의 DB에 누군가 침투.

2. 데이터를 무사하게 돌려받고 싶다면 돈을 내라는 협박 편지 한 통 저장되어 있음.

3. 스커프 게이밍은 “아, 별거 아니니까 안심해도 된다”고 공지함.

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

------------------------------------------------------------------------------------------------------

민감 정보로 분류되지 않는 고객 정보 DB라고 주장했지만 이름, 배송지 주소 등

개인정보에 해당하는 데이터들이 있었고, 비밀번호가 암호화 된 형태로 노출되었고,

신용카드 번호가 완전히 다 나간 것이 아니라고 주장함에도 완벽히 안심하면

참사로 이어질 수 있다고 생각한다. 또한, 스커프 게이밍 측이 '안심해도 된다'라고 주장했지만 사실은 그렇지 않았듯이 다른 측에서도 DB가 유출되었다는 얘기가 들리면 안심하고 지나가지는말아야할 것이다.