호요버스(구 미호요)의 인기 게임 ‘원신’에서 게임 해킹을 방지해 주는 안티 치트 파일이 안티 바이러스 백신 프로세스를 취약하게 만든다는 보고가 접수됐다.
IT 매체 PCMag은 사이버 보안업체 트렌드마이크로가 "원신에서 안티 치트 기능을 제공하는 프로그램 내에 ‘myprot2.sys’라는 이름의 드라이버가 사용자 몰래 우회하여 악용되고 있는 현상을 발견했다”고 보도했다. ‘myprot2.sys’는 커널 명령을 사용하여 바이러스 백신 탐지 기능을 무력화시키고, 사용자의 PC를 랜섬웨어에 감염시키게 만든 사실도 확인했다.
트렌드마이크로는 해당 드라이버 파일은 합법적인 코드 서명 인증서를 가지고 있어, 윈도우 시스템에 설치되어도 신뢰할 수 있는 프로그램으로 인식될 수 있음을 경고했다. 또한, 사용자의 장치 내에 랜섬웨어를 배치한 다음 감염을 확산시키는 것을 목표로 하고 있다고도 전했다.
공격에 사용된 ‘myprot2.sys’ 논란은 이번 사례가 처음이 아니다. ‘myprot2.sys’는 2020년 8월에 만들어졌는데, 부정행위 방지 드라이버로서 PC의 특권 리소스에 접근할 수 있는 기능을 포함하고 있다.
같은 해 9월 28일 ‘원신’의 출시와 함께 유저들은 ‘myprot2.sys’ 파일의 백도어 의심 정황을 포착했다. 변조 방어 모듈 치고는 매우 높은 수준의 권한 보유를 갖추고 있으며, 게임을 종료하고 삭제해도 계속 동작이 된다는 것이다.
이에 미호요는 안티 치트 프로그램은 시스템 정보 읽기에만 사용될 뿐 개인정보를 포함한 정보에 대한 처리, 저장을 하지 않는다고 공지했다. 이어 게임 종료 혹은 삭제 후에도 프로그램이 켜져 있는 매커니즘을 철회한다고 덧붙였다.
이번 랜섬웨어 의혹 또한 당시 논란의 핵심이었던 ‘myprot2.sys’ 드라이버가 중심에 있으며, 비슷한 문제가 계속 발생하는 것은 다소 문제의 소지가 있어 보인다. 호요버스는 “정보 보안을 매우 심각하게 생각하고 있다. 우리는 현재 해당 사건을 조사 중이며, 유저의 안전을 보호하고 안티 치트 방지 기능의 잠재적인 남용을 막기 위해 가능한 빨리 해결책을 모색할 것”이라고 말했다.
하지만 호요버스의 답변에도 불구하고, 트렌드마이크로는 드라이버 파일에 대한 코드 서명 인증서가 취소되더라도 랜섬웨어의 위협을 완전히 근절하기는 어려울 것으로 예상했다.
 |
장용권 칼럼니스트 press@gamevu.co.kr
