KOG ‘그랜드체이스 클래식’ 대규모 해킹 사태 키운 안이한 대응에 유저들 '부글부글'
2022-03-14 최형주 기자
그랜드체이스는 2003년 넷마블을 통해 서비스돼 큰 인기를 누렸으나 2015년 서비스를 종료했다. 이후 6년만인 작년 7월 28일 게임 플랫폼 스팀을 통해 서비스를 재개했다.
하지만 2월 25일 전후로 한국 유저들을 대상으로 한 해킹 사고가 발생했고 그제서야 회사는 게임 프로그램 자체에 취약성이 있었음을 인정했다.
코그는 2월 27일 스팀 공지를 통해 “타인의 계정에 본인이 접속한 것처럼 로그인 정보를 우회해 악용이 가능한 취약점이 발견됐다”며 “다만 계정 정보가 유출된 것은 아니고 현재는 취약점 수정을 통해 문제가 해결됐다”고 밝혔다.
결국 회사는 두 달이 넘는 시간 동안 해킹을 호소하는 수많은 항의를 단순히 유저들의 보안 부주의로 떠넘기다가 사태가 걷잡을 수 없지 커진 다음에야 마지못해 시인을 한 셈이다.
코그 관계자는 “몇몇 유저들이 유사 사례에 대해 제보를 했으나 일반적 계정 정보 유출 사례로만 판단했다”며 “문제가 커지기 전에 정확하고 빠르게 대응치 못해 죄송하며 1:1로 관련 문의를 하면 복구를 진행하겠다”고 밝혔다.
울산에 사는 정 모(남)씨는 “업체가 두 달에 걸쳐 많은 항의를 받았음에도 해킹을 유저들의 탓으로 돌리다 결국 피해만 커졌다”며 “책임자가 누구인지도 밝히지 않고 개인정보 유출이 없었다는 것은 코그 측의 일방적 주장”이라고 지적했다.
또한 취약점 보완 업데이트 이후에도 많은 외국인들이 스팀 그랜드체이스 커뮤니티를 통해 게임사의 무책임한 대응으로 지난 두 달간 정신적 고통을 겪었다며 지속 항의하고 있는 상황이다.
국내 정보보안 업체 스틸리언의 화이트해커 신동휘 부사장은 “세션 관리 미흡과 같은 취약점으로 보인다. 다만 이같은 유형의 취약점 존재만으로 정보 유출이 됐다고 판단하는 것은 불가능하다”고 밝혔다.
그는 또 “해당 취약점은 인증 부분의 코드 복잡도와 수준에 따라 파악하기 어려울 수도 있다”며 “하지만 게임사가 초반 해외 유저들의 문제 제기 내용을 접수해 진상을 파악했다면 취약점 발견도 어렵지 않았을 것”이라고 지적했다.
코그 관계자는 “회사나 게임을 대상으로 하는 해킹 공격이 있었던 것이 아니며 개발과 상황대처의 미흡함으로 벌어진 일인만큼 앞으로 이같은 일이 발생하지 않도록 내부적으로 철저히 주의를 기울이겠다”고 밝혔다.
[소비자가만드는신문=최형주 기자]