디도스 공격(분산서비스거부 공격)이 e스포츠의 공정성과 안정성을 해치는 위험 요소로 떠올랐다. 지금까진 민간 차원의 대응이 전부였다. 이제는 근본적인 해결책이 필요하다. 이와 관련한 다양한 전문가들, 특히 화이트해커들에게 자문을 구했다. 오늘은 디도스 문제를 들여다보자.
최근 디도스 공격 피해가 심각하다. 국내 주요 e스포츠 리그에선 디도스 공격으로 경기가 중단되고 일정이 취소되는 일까지 발생했다. 2024년 초 리그 오브 레전드 대회는 지속적인 네트워크 장애로 일부 경기를 취소하는 사태를 겪었다.
프로게이머들의 연습 환경도 위협받고 있다. 많은 선수들이 온라인 연습이나 개인 방송 중 갑작스러운 접속 장애를 겪었다. 단순한 해프닝이 아니라 의도적인 공격이었다. 일부 선수들은 반복되는 방해로 연습이 어려워지고 경기력 저하를 우려한다.
추적이 불가능하다는 것이 문제다. 공격자는 전 세계 좀비 PC(봇넷)를 이용해 트래픽을 쏟아붓는다. 누가 주도했는지 흔적 찾기가 복잡하다. 분산 공격 특성상 국제적 협력없이는 근본적 대응이 불가능하다. 한 국가 노력만으론 해외 공격 경로 차단이나 범죄자 검거에 한계가 있다.
국내법과 수사 방식의 한계도 있다. 현행법상 수사기관이 실시간 역추적이나 해외 서버 즉각 차단에 제약이 있다. 증거 수집과 국제 공조엔 시간이 걸린다. 그 사이 추가 피해가 발생한다. 법적, 제도적 장벽 때문에 피해를 입어도 가해자를 신속히 처벌하기 힘들다.
공격 이유는 불법 도박과 연관되어 있을 가능성이 크다는 의견들을 받았다. 게임 대회 불법 도박 사이트에선 선수가 튕기거나 장비에 문제가 생겨 게임이 중단되면 해당 경기 도박이 무효화된다. ‘천상계 솔랭’의 승패를 100% 적중시켜 돈을 버는 폐쇄적인 업체들도 있다. 이들이 LCK 같은 실제 대회 경기까지 조작 가능한지 테스트했을 가능성도 있다고 한다.
금전 요구가 없다는 점도 특이하다. 초기엔 단순 재미로 여겼지만, 앞서 언급한 목적이 더 타당해 보인다.
공격 대상을 분석하면 흥미로운 사실이 드러난다. 특정 게임 서버가 공격받으면 해당 경기뿐 아니라 모든 유저가 접속 불가해야 한다. 그러나 그런 현상은 없었다. 결국 디도스는 롤 서버가 아닌 선수 개인이나 선수들이 모인 장소의 네트워크를 겨냥했을 가능성이 높다. 라이엇이 이 네트워크를 구축했다면, 거시적으론 라이엇 공격이 맞지만 실제 타깃은 선수 개인이었을 것이다.
공격 지점 노출엔 두 가지 가능성이 있다. 첫째, 내부자 정보 유출이다. 경기장 보안 담당자나 네트워크 엔지니어처럼 선수들의 IP와 포트 정보에 접근 권한이 있는 누군가가 공격자와 협조했을 수 있다. 고의든 실수든 말이다.
둘째, 서버/클라이언트 취약점이다. 롤 클라이언트나 연동 소프트웨어(윈도우 등)에 알려지지 않은 취약점이 있어 정보가 유출됐을 수 있다.
해결책은 여러 방향에서 접근해야 한다. 내부자 정보 유출 방지를 위해선 권한 분리와 환경 통제가 필수다. 선수 PC와 네트워크 정보 접근을 철저히 제한해야 한다.
기술적으론 누가 언제 어떤 자원에 접근했는지 로그를 기록하고 모니터링하는 솔루션이 필요하다. 정책적으론 접근 권한자들에게 NDA 작성과 보안 교육을 실시해야 한다. 물리적으론 관련 정보가 있는 장소의 출입을 엄격히 통제해야 한다.
서버/클라이언트 취약점 대응은 사내 보안팀 역량으론 부족할 수 있다. 이럴 땐 버그바운티 제도를 전면 시행해 외부 해커들에게 취약점 제보를 받아볼 것을 제안받았다. 특히 디도스 공격 지점 노출 취약점에 큰 포상금을 걸면 참여도가 높아질 것이라는 전문가들의 의견이다.
알려지지 않은 취약점은 말 그대로 알려지기 전까진 대응이 불가능하다. 수억 줄 코드와 지속적인 패치 코드를 모두 분석하는 건 비효율적이다. 사내 보안팀만으론 모든 취약점을 사전에 발견하기 어렵다.
말은 쉽지만, 해결이 쉽지는 않은 문제이긴 하다. 더불어 소위 ‘가성비’에서 압도적으로 불리하다. 공격 대비 방어에 소모되는 시간과 인력이 훨씬 크다. 그렇다고 그냥 방치하고 있을 순 없다. 디도스는 어느 종목 할 것 없이 e스포츠 공통의 잠재적 위협이기 때문이다. 따라서 e스포츠가 이제 하나의 산업으로 자리잡은 만큼, 사이버 위협에 대한 체계적 대응이 필요하다. 선수와 팬 모두가 공정하고 안전한 환경에서 e스포츠를 즐길 수 있도록, 산업계와 정부의 공동 노력이 절실하다.
국회 이도경 보좌관