[순정남] 몰래 침입해 경고장 붙인 '괴도' 해커 TOP 5

불법 해킹을 현실에 비유하자면 무단 침입과도 같다. 남의 집이나 가게, 금고 등에 들키지 않고 무단으로 침입하는 것인데, 보통은 그렇게 들어간 후엔 자연스럽게 금전적 재산을 빼돌리거나, 중요한 정보를 훔친 후 돈을 요구하거나, 시스템을 마비시키는 등 악의적인 행위로 이어진다. 하지만, 언제나 독특한 사람들은 존재한다. 마치 경찰과 경비업체의 철통보안을 뚫고 들어간 후, 별다른 범죄 행위 없이 "내가 왔었다"는 메시지만 남기고 사라지는 미스터리한 괴도 같은 이들 말이다.

물론 아무리 큰 피해가 없었다 해도 보안 전문가들에게는 악몽과도 같은 일일 것이다. 그러나 일반인들에게는 오히려 흥미로운 이야깃거리가 된다. 해커가 게임 시스템을 뚫고 들어가서 아이템을 훔치거나 게임을 망치는 대신, 뭔가 항의 메시지만 남기거나 장난만 치고 사라지는 장면을 보면 마치 어둠에 숨어 취미로 해킹을 하는 영화 속 해커들이 생각나기 때문일지도 모르겠다. 게임에서 등장한 독특하고 재미있는 해킹 사례들을 한데 모아 보았다.

지난 2023년, 원신 개발사인 호요버스가 수 차례에 걸쳐 털렸다. 그 방법이 온라인을 통한 해킹인지, 내부자에 의한 유출인지는 정확히 밝혀지지 않았다. 다만 유출자 중 하나가 '너네 회사는 보안이 허술해서 해킹은 시간문제다', '수백만 달러를 버는 회사지만 보안을 강화하지 않았다' 등의 말을 남긴 것으로 보면 오프라인으로 이뤄진 유출이라는 데 조금 더 무게가 실리긴 한다. 어쨌든 물리적 해킹 역시 해킹으로 인정하는 아름다운 사회이므로, 이번 사례도 소개해 보겠다.

해당 유출자는 원신의 미공개 원화 수백 장을 유출했으며, 호요버스의 허술한 보안을 꼬집는 글을 레딧에 남겼다. 내용은 대략적으로 '너희들은 파일에 워터마크도 없고, 타임라인을 남기지도 않았고, 회사 건물에 경비원도 적게 뒀기에 이러한 유출이나 해킹 사태가 발생한 것이다', '이렇게 쉽게 원화가 유출되는데, 다른 사람이 유출된 원화로 아트북 먼저 만들어버리기 전에 니네들이 빨리 공식 아트북 좀 내라. 그래서 최소한의 이익이라도 취해라'라며 신랄한 비판을 날렸다. 회사 보안을 농락한 사례지만, 딱히 주요 내용을 유출한 것도 아니고 많은 이들이 원하던 원화 공개만 하고 사라졌기에 유저들 반응은 나름 긍정적이었다. 이때 이후 호요버스가 보안을 나름 강화했는지 이어지던 해킹 러시가 끊긴 점은 긍정적이다.

과거 한국게임개발자협회가 주최하고 문체부와 한국게임산업협회 등이 후원하던 대한민국 인디게임/아이디어 공모전 행사가 있었다. 독창적이고 창의적인 게임이나 아이디어를 시상하는 게임 공모전이었는데, 2009년도 마지막 행사에서 사고가 벌어졌다. 수상작이 공지된지 일주일 후, 이상한 공지사항이 올라온 것이다. 정확하게는 "심사는 일찍 끝났는데 공지가 늦어진 건 연휴니까 우리도 좀 놀아야 하기 때문", "KGC 준비에 바빠서 분야별 전문가분들은 모시지 못했다", "전체 작품을 제대로 심사할 시간적 여유가 없어 입상작을 발로 선정했다", "그러니까 아래에 이름 없어도 화내지 말라. 내년엔 심사 제대로 하겠다" 같은 문구들이었다.

이에 참가자들의 항의가 이어졌고, 이후 범인의 입장문이 올라왔다. 자신은 사무국과 아무 상관이 없으며, 모종의 방법으로 관리자 권한을 획득해 이와 같은 일을 벌였다는 것. 그 이유는 참가 작품 수에 비해 공정성이 의심스러울 정도로 심사가 너무 일찍 완료됨에 따른 불만 표출이었다고 한다. 사태가 빨리 마무리되며 큰 소란은 없었지만, 협회 보안에 대한 지적과 심사 공정성 관련 논란이 일었다. 관리자 권한이 뚫렸다면 이런 허위 공지보다 훨씬 큰 사태까지 발생할 수 있었기 때문이다. 이후 2011년까지 이런 보안 사태가 재발하지 않은 것을 보면, 나름대로 보안이 강화되지 않았나 싶다.

EA에서 독립해 나온 리스폰 엔터테인먼트의 첫 작품은 타이탄폴이었다. 거대 타이탄과 파일럿들이 벌이는 스케일 큰 전투로 인기를 모으며 나름대로 IP를 확장해 나갔으나, 그다지 성공적이지 못 한 결과물과 함께 이후 출시된 에이펙스 레전드에 밀려 사실상 게임이 방치되고 있었다. 이에 불만을 가진 타이탄폴 유저들이 항의의 뜻으로 에이펙스 레전드를 해킹하는 사건이 발생했다.

2021년 7월, 에이펙스 레전드에서는 게임 종료 후 결과창 대신 기묘한 메시지가 표시됐다. savetitanfall.com 이라는 웹사이트에 방문해 달라는 내용이었는데, 이름과 같이 방치되고 있는 타이탄폴을 구해달라는 유저들의 목소리가 담긴 팬사이트다. 해당 메시지 외 별다른 정보 유출은 없었으나, 타이탄폴이 해커들의 공격을 받고 있음에도 방치하고 있는 점. 그리고 나름 주축인 에이펙스 레전드가 이렇게 쉽게 뚫렸다는 점에 대해 많은 이들이 리스폰 엔터테인먼트를 비판하고 나섰다. 결국 이 사건 이후에도 타이탄폴은 구원받지 못한 채 판매가 종료됐지만, 리스폰의 보안 취약점은 꽤 오랜 시간 동안 나아지지 않으며 수많은 문제를 더 야기시켰다. 리스폰은 당시 경고를 제대로 수용했어야 했다.

GTA 시리즈는 3편 이후 빠르면 4년, 늦어도 5년 주기로 신작을 내왔다. GTA 5가 출시된 것이 2013년이니, 2017년에서 2018년 정도엔 GTA 6가 출시될 것이라 기대한 이들이 많았다. 그러나 2025년을 살고 있는 우리들조차 아직 GTA 6를 만나지 못할 정도로 GTA 6 발매는 유달리 늦어지고 있다. 여기에 대한 불만은 앞서 언급한 2018년 이후 본격적으로 대두됐다. 이를 대변하는 사건이 바로 2018년 벌어진 GTA 온라인 해킹이다.

당시 PS3와 Xbox360에서 GTA 온라인을 플레이하던 유저들은 'GTA 6가 2019년 발매된다!'는 메시지를 받았다. 발신인은 락스타게임즈였고, 이후 PC판 유저들에게도 동일한 메시지가 전송됐다. 많은 이들이 흥분했으나, 락스타 측은 성명을 통해 '해커들의 장난이었다' 라고 공식 부정했다. GTA 6 소식이 없는 것에 분노한 해커들이 보안이 취약한 구형 콘솔을 통해 침입해 장난성 문자를 보낸 것이다. GTA 6 2019년 출시설이 공식 부정당하긴 했지만 그래도 2020년이나 2021년쯤엔 나오지 않을까 생각했는데, 2025년까지도 안 나올 줄은 꿈에도 몰랐다.

최근 스팀에서 트로이 목마가 탑재된 게임이 정식으로 배포되는 등 취약점이 여럿 지적되고는 있지만, 어쨌든 스팀에서 게임이나 프로그램을 배포하려면 밸브 측의 승인을 거쳐야 한다. 검수나 책임 소재는 잠시 미뤄두더라도, 일단 밸브 측에 파일을 보내고 허락받지 않으면 스팀 공식 페이지를 열고 게임을 낼 수 없다. 이는 플랫폼으로서 당연한 부분이기도 한데, 놀랍게도 과거 밸브 측 승인을 받지 않은 게임이 버젓이 올라온 적이 있었다.

2016년, 영국에 사는 16세 소년은 스팀 자바스크립트를 조작해 밸브 승인을 거치지 않고 자신이 (일부러 허술하게) 만든 무료 게임을 스팀에 올렸다. 해당 스팀 페이지만 봐서는 일반적인 게임과 아무 차이가 없을 정도였다. 그는 자신의 블로그를 통해 '나는 몇 개월 전부터 자체 검토를 거치지 않은 게임을 마음대로 출시할 수 있다는 취약성을 밸브에 전하고 싶었다'라며 이번 사건을 벌인 이유에 대해 밝혔는데, 밸브 역시 이를 받아들인 듯 해당 부분을 즉각 수정했다. 아무에게도 피해를 끼치지 않고 '너희 집 문 열려 있는데 괜찮아?' 라는 쪽지만 남겨놓고 온 소년에게 경의를 표한다.