최근 들어와 그 위상이 예전만 못하다는 평가를 받고 있지만, 한국은 여전히 세계에서 가장 IT 환경이 잘 갖춰진 나라 가운데 하나다. 전국 어디를 가도 대부분의 지역에서 인터넷을 사용할 수 있고 국민들 대다수는 어릴 때부터 미디어 환경을 접하며 IT 기기를 사용하기에 새로운 기기나 기술에 대한 거부감, 부담감이 덜하다.
그런데 최근, IT에 익숙하고 관련 환경이 잘 갖춰진 국가라는 의미로 IT 강국이라는 별명까지 있는 한국에서 공개적인 사이버 공격 테러가 있었다. 2024년 2월 25일 있었던 LCK(League of Legends Champions Korea) 사이버 공격 사건이다. 오프라인에서 공개적으로 진행되는 e스포츠 경기가 사이버 공격으로 인해 중단되었고, 이후 한 달 가까이 리그 자체가 중단되었다. 과연 사건이 일어난 경위는 무엇이며 이에 대한 대처는 어떻게 이루어졌는지 정리해 봤다.
![[출처:게티이미지뱅크]](/news/photo/202403/237017_240725_525.jpg)
일부 스트리머와 LCK에 가해진 사이버 공격
2023년 12월 말부터 인터넷 방송에서 디도스로 의심되는 사이버 공격이 산발적으로 일어났다. 방송 플랫폼을 막론하고 모든 방송에서 게임을 주제로 방송하는 스트리머들을 대상으로 무작위로 공격이 일어났고 이는 현재 진행형이다.
처음에는 '리그오브레전드(League of Legends, 이하 LoL)'를 플레이하는 스트리머에게만 공격이 일어났지만 점차 배틀그라운드, 로스트아크, 스타크래프트, 마인크래프트 등 어떤 게임을 하든 상관없이 사이버 공격이 이어졌다. 대부분 시청자가 많은 대형 스트리머를 공격 대상으로 하고 있으며 스트리머와 관계된 이들, 혹은 함께 게임을 하는 일반인에게도 사이버 공격을 감행하고 있다.
사이버 공격을 받게 된 스트리머들은 모뎀은 작동하지만 인터넷이 먹통이 되어버린다. 이로 인해 게임에 지연 현상이 발생해 정상적인 플레이가 불가능해지고 방송 송출 컴퓨터에도 문제가 생겨 시청자들의 채팅이 마비되거나 음성이 끊기는 식이다. 처음에는 일반 스트리머를 대상으로 했으나 점점 그 영역이 넓어져 방송을 하는 프로게이머들은 물론, 프로게이머와 함께 게임을 하는 높은 등급의 게이머들에게까지 공격이 이어졌다.
통상 이처럼 사이버 공격을 시도하는 이들은 돈을 요구하거나 어떤 리액션을 하라는 등 어떤 방식으로든 자신들의 요구를 전달하고 스스로를 드러내기 마련이다. 하지만 이번에 공격을 시도한 공격자들은 피해자들에게 어떠한 요구나 메시지도 전하지 않았다는 특징이 있다.
그리고 2024년 2월 25일, 오후 3시에 시작한 LCK 프로 경기에도 사이버 공격이 진행되었다. LCK는 LoL의 개발사이자 유통사인 라이엇게임즈에서 주최 및 주관하는 대한민국의 최상위 e스포츠 프로 대회로 전 세계에서도 가장 수준이 높다고 알려져 있다. 종로에 있는 450석의 LoL 파크에서 경기가 진행되는데, 당일 이곳에서 열린 DRX 팀과 DK 팀의 경기에 사이버 공격이 이어진 것이다.
원활한 경기 진행을 위해 장비나 네트워크 문제가 아니면 최대한 경기를 멈추지 않는 e스포츠의 특성에도 불구하고 이날 1세트 경기에서는 총 8번의 경기 중단이 있었다. 게임 시간은 37분에 불과했지만 잦은 중단과 이슈 조사로 인해 이날 1세트 경기는 약 4시간 6분이 걸렸다.
이후 2세트는 사이버 공격 없이 잘 마무리 되었지만 3세트에서 또다시 사이버 공격이 이어져 첫 번째 경기만 7시간 동안 진행되는 사상 초유의 사태가 벌어졌다. 결국 두 번째 경기는 다음 날로 연기되어 온라인 녹화 중계로 진행했고 3일 뒤 T1 팀과 FOX 팀의 경기에서도 같은 공격이 이어져 2세트는 무관중으로 비공개 경기가 진행되었다.
다소 규모가 작은 인터넷 방송 스트리머가 아닌, 대형 e스포츠 공식 경기가 사이버 공격으로 중단되어 버린 것이다.
![경기가 열리는 LCK 아레나 모습[출처: LCK 제공]](/news/photo/202403/237017_240761_4046.jpg)
e스포츠를 겨냥한 사이버 공격, 디도스란?
스트리머와 LCK에 가해진 사이버 공격은 분산 서비스 거부 공격, 이른바 디도스(DDoS: Distributed Denial of Service) 공격이다. 특정 서버나 네트워크 장비가 감당하기 힘들 정도로 많은 데이터 전송을 인위적으로 발생시켜 장애를 일으키는 형태의 사이버 공격이다. 보다 쉽게 설명하면 우리 집 앞에 무수히 많은 방문자가 생겨 외출이나 사회 활동을 원활히 하지 못하는 상태를 인위적으로 유발하는 공격이라고 할 수 있다.
과도한 트래픽을 흘려보내 서비를 마비시키는 이런 방식은 애초에 원천적으로 봉쇄가 어렵고 대응책 마련도 쉽지 않다. 내부망에 침투하는 사이버 공격은 인증 절차를 추가하거나 암호화를 보다 철저하고 고도화하는 방식으로 대응이 가능하지만 디도스 공격은 수많은 좀비 PC를 바탕으로 단순히 물량을 쏟아붓는 형태의 공격이기에 예방이 어렵다.
디도스 공격의 피해를 최소화하기 위해서는 서버 용량 자체를 크게 해서 많은 트래픽을 감당할 수 있게 만들어야 하는데, 평소 이용량이 많은 대형 포털 사이트가 아닌 이상 필요 이상으로 많은 양의 서버를 구비하는 것은 낭비라고 할 수 있다.
대신 디도스 공격을 막아내기 위해 개발된 보안 기술들은 꽤 많은 편이다. 기준치 이상의 트래픽이 발생할 경우 디도스 공격으로 판단해 대응하는 방법이 대표적이며 기계적으로 움직이는 좀비 PC의 특성을 감안해 인증을 필요로 하는 대응 방법도 존재한다.
실제로 국내 공공 기관이나 기업들도 디도스 관련 보안 기술을 탑재하고 있지만 개인 컴퓨터로 방송을 하고 게임을 진행하는 스트리머들이 이런 대응 방법을 강구하기는 현실적으로 어렵다. 그렇다면 LCK 리그가 진행되는 LoL 파크에는 이런 보안 기술이 마련되어 있지 않았던 것일까?
![[출처:게티이미지뱅크]](/news/photo/202403/237017_240726_545.jpg)
디도스 공격에 대응하는 LCK의 대처는?
LoL 파크에도 나름의 보안 정책과 기술이 마련되어 있으나, 결과적으로 운영진의 예측을 뛰어넘는 수준의 트래픽이 유발되어 경기가 중단된 것으로 보인다. 일각에서는 이미 몇 달 전부터 LoL을 플레이하는 스트리머를 대상으로 한 디도스 공격이 빈번하게 일어난 만큼 이에 대한 대응책을 강구했어야 하는 것 아니냐는 비판의 목소리도 쏟아지고 있다. 대회를 운영하는 LCK측의 아쉬운 초기 대응도 문제가 되었다.
LCK는 처음에 디도스 공격으로 경기가 중단된 후 3일 뒤에 발생한 다음 경기에서 오프라인 경기를 강행했다. 여기서도 디도스 공격이 이어지자 첫 세트 이후 서스펜디드 게임(일시 정지)을 선언, 다음날 온라인 녹화중계를 선언했다. 하지만 다음 게임 역시 디도스 공격 위험이 있는 LoL 파크에서 진행했으며 공격자가 공격 시간을 특정할 수 없도록 시간만 바꿔서 몰래 경기한 것으로 드러났다. 결국 최초 공격이 있었던 2월 25일 이후 매일같이 반복된 디도스 공격에 LCK는 리그 운영을 잠정 중단하고 보안 강화에 매진하겠다는 뜻을 밝혔다.
LCK가 밝힌 보안 강화 정책은 외부 네트워크로부터 영향을 받지 않는 오프라인 게임 서버의 도입이다. 온라인 기능이 제한된 LoL 파크 내부망을 통해 경기를 진행하겠다는 것이다. 지금까지는 하드웨어 노후화로 인한 고장 위험 감소와 게임 업데이트, 버그 수정, 안정적인 연습 환경 제공 등을 이유로 온라인 서버를 사용했다. 하지만 LCK는 연달아 계속되는 디도스 공격에 대응하기 위해 외부 네트워크로부터 독립된 오프라인 게임 서버를 운영하고 장기적으로 지금보다 더욱 강력한 보안 시스템 도입을 검토하겠다는 입장을 밝혔다.
![[출처:리그오브레전드 홈페이지]](/news/photo/202403/237017_240727_645.png)
디도스 공격으로 인한 LCK 리그 중단이라는 사상 초유의 일이 발생했지만 아직까지 경찰에서는 악의적인 디도스 공격을 실시한 범인을 특정하지 못한 상태다. 디도스라는 공격 자체가 수많은 좀비 PC나 응용 프로그램을 사용하는데 이들 PC, 프로그램은 국내에서도 누구나 쉽게 구할 수 있고 대부분 가상망을 사용하거나 IP 주소를 위조하는 형태로 공격이 이뤄져 신원 확인이 어렵기 때문이다.
게다가 초등학생 정도만 되어도 여건만 된다면 쉽게 사이버 공격을 시도할 수 있을 정도로 사이버 공격 방법이 단순화되어 범인을 특정하기는 더욱 어려운 실정이다. 이번 LCK 리그 중단 사태는 사이버 공격의 대중화가 가져올 심각한 미래를 보여 주는 사건이라고도 할 수 있다.
이번에는 LCK라는 e스포츠 리그와 일부 스트리머가 그 타깃이 됐지만 향후 더 많은 사람들이 사용하는 서비스와 인프라를 노린 공격이 시도될 가능성도 있다. 만약 국가 안보와 보안이 중요한 기관이나 대중의 수많은 개인정보가 보관된 기업이 대상이 된다면 그 피해는 단순한 불편함이나 불만으로 끝나지 않을 것이다. 디도스 공격을 포함한 사이버 공격에 대한 철저한 대비가 필요한 이유다.
