게임 포트나이트 계정 탈취 취약점

XSS(cross-site script) 해킹 취약점

인기 게임 Fortnite의 계정이 완전히 탈취 당할 수 있는 취약점이 발견됐다. 체크포인트에 의해 발견됐으며, 개발사 Epic Games는 작년 12월 중순에 해결했다. 몇 가지 취약점이 복합적으로 작용했지만, 결정적인 것은 크로스 사이트 스크립트 취약점이다.

에픽 게임즈의 로그인 url은 accounts_epicgames_com이다. 여기에 url 검증을 하지 않는 취약점이 있어서, epicgames 도메인 내의 다른 페이지로 redirect가 가능하고, 거기에서 로그인 요청을 할 수 있다.

연구팀은 ut2004stats_epicgames_com이라는 미사용 상태로 방치된 서브 도메인을 찾아냈고, 게다가 여기에는 cross-site script 취약점이 있다는 걸 알아냈다.

크로스 사이트 스크립트란 한 마디로 다른 사이트에 있는 스크립트다. 다른 사이트에 있다 함은 물리적으로 그럴 수도 있고, 논리적인 개념일 수도 있다. 관리자가 의도한 것이 아닌, 제3자가 의도한 대로 작동하는 스크립트 말이다. 당연히 이런 것은 허용될 수 없는 것이다.

우리가 어떤 사이트를 안전한 것으로 생각하고 이용하고 있는데, 거기에 관리자가 아닌 제3자가 만든 스크립트가 삽입돼 실행된다고 하자. 전혀 안전하지 않은 것이다.

연구팀은 ut2004stats 서브 도메인에 인증 토큰(세션 쿠키)를 탈취하는 제3자 스크립트를 삽입할 수 있었다. 이는 페이스북, 엑스박스 등 연결된 계정에서 보낸 토큰을 탈취한다.

개략적인 시나리오는 이렇다. 해커는 달콤한 유혹이 담긴 링크를 피해자에게 보낸다. 특혜 링크로 접속하면 아이템을 추가 증정한다는 식의. 이 링크는 정상 로그인 주소인 accounts_epicgames_com을 해커가 장악한 ut2004stats_epicgames_com로 리다이렉트하고, 여기서 페이스북 등 소셜 로그인 사이트에서 보낸 토큰을 탈취한다.

아래 그림은 에픽 게임즈의 로그인 화면과 엑스박스 계정으로 로그인을 선택했을 때의 화면이다. 이전에 로그인을 했었고 로그인 상태를 유지한 경우에는 피해자의 로그인 정보 입력 등 아무런 추가 행동이 필요치 않다. 그저 악성 링크 클릭 한번으로 끝이다.


2단계 인증(2중 인증)이 가장 효과적인 대책

XSS 공격은 흔히 계정의 완전 탈취로 이어진다. 그 결과는 혹독하다. 정당한 사용자가 할 수 있는 모든 것이 가능하기 때문이다. 게임 사이트라면 아이템 매매, 사이버 머니 환전 및 송금 등을 예로 들 수 있다.

그러므로 사이트 측에서 사용자의 신뢰를 저버리지 않게 보안 관리를 잘 해야 한다. XSS 취약점은 웹 사이트에서 가장 많이 발견되는 결함의 하나다. 2018.11월에 공개된 사실인데, 드론 업체 DJI의 사이트도 비슷한 취약점으로 6개월 동안이나 계정 탈취에 무방비로 노출돼 있었다. 드론 촬영과 관련된 민감한 정보가 유출될 수 있었던 것이다.

사용자 측면에서 XSS 해킹을 피하기 위해 가장 먼저 권고되는 것은 수상한 링크를 클릭하지 말라는 것이다. 이번 일만 해도, 에픽 게임즈는 사용자들에게 유저 포럼을 비롯해 자사 모든 사이트에서, 링크를 클릭할 때는 그 정당성을 의심해 보라고 권고했다. 그러나 참 어려운 일이다. 특정 사용자에게 특혜를 부여하는 링크를 이용하는 마케팅도 정상적인 활동이며 제법 볼 수 있다. 사용자 측면에서의 대응은 한계가 있다.

OTP 앱 등을 이용한 2단계 인증이 가장 믿을 만한 대응책이다. 그 효과는 2단계 인증이 필요한 시기와 유효 범위 등 운영 정책을 얼마나 잘 수립했는가에 달려 있다.

하나 덧붙이자면 이번 일과 직접 관련은 없지만, 계정 연동은 편리하기는 하지만 개인 정보 보호 측면에서는 큰 구멍이라는 것이다. 지난 해 페이스북을 비롯해 무수히 드러난 개인 정보 유출 사건들에서 알 수 있다.


관련 자료
  1. DJI 드론 사용자 계정탈취 취약점
  2. 페이스북 정보유출 사태의 교훈, 계정 연동 주의

참고 자료
  1. Fortnite Flaws Allowed Hackers to Takeover Gamers' Accounts
  2. Fortnite’s Vulnerability: Only the Secure Survive
  3. Hacking Fortnite Accounts 

댓글

이 블로그의 인기 게시물

엑셀 필터 상태에서 복사와 잘라내기

가정에서도 망 분리를 해보자

잉크젯 프린터 전원은 항상 켜 놓아야 좋다