마인크래프트 플레이어를 위한 7가지 사이버 보안 수칙

해킹 공격이라 하면 대중은 대기업이나 정부 요인, 반정부 언론인 등 사회적 영향력이 큰 개인에게만 벌어질 일로 여기지만, 사실 일반인도 언제든지 경험할 수 있는 일이다. 전화나 문자로 기관이나 가족을 사칭해 돈을 빼앗는 ‘피싱 사기’는 가장 일반적인 해킹 기법 중 하나다.

금융감독원에 따르면 2021년 상반기에만 보이스피싱 피해액은 845억 원, 메신저피싱 피해액은 466억 원에 달했다. 전년동기 대비 전체 보이스피싱 피해액은 감소했지만, 메신저피싱 피해는 급증하면서 전체 피해액의 과반을 넘어섰다.

직접적인 재산상 피해가 발생하는 해킹 공격만 늘고 있는 것이 아니다. 최근 국내외를 막론하고 마인크래프트 관련 커뮤니티를 들여다보면 마인크래프트 계정을 해킹당했다고 하소연하는 플레이어들을 심심찮게 목격할 수 있다.

네이버 데이터랩 빅데이터 분석에 따르면 마인크래프트 계정 탈취 피해와 관련된 키워드의 검색 빈도는 2016년에 정점을 찍은 후 서서히 감소하며 2019년에 5분의 1 수준으로 줄어들었다. 그러나 2020년 2분기에는 1분기 대비 240% 증가한 뒤로 2021년 3분기까지 꾸준히 증가하는 추세다.

이 같은 피해는 대체로 개개인의 부족한 보안 의식에서 비롯되는 만큼, 평소에 올바른 보안 의식을 갖고 있는 것이 매우 중요하다.

타인이 유추하기 어려운
비밀번호 사용

마인크래프트 계정을 포함한 인터넷 계정의 비밀번호는 타인이 유추하기 어렵게 설정해야 한다. 과거에는 주기적으로 비밀번호를 변경하는 것이 중요하다고 알려졌지만, 최근에는 한 번 안전하게 만든 비밀번호를 유출되기 전까지 쓰는 것이 권장되고 있다.

안전한 비밀번호를 만들려면 대문자, 소문자, 특수문자, 숫자 중 2가지 이상을 섞어 8자리 이상으로 구성해야 한다. 이때 동일한 문자가 반복되거나, 키보드 상에서 연속한 위치에 있는 문자를 사용하는 등 특정 패턴(aaaa, 1234, qwer 등)으로 구성해서는 안 된다. 또한 타인이 쉽게 알 수 있는 개인정보(이름, 생일, 주소, 전화번호, 아이디, 이메일 주소 등), 사전적 단어나 유명한 단어를 넣어서는 안 된다.

안전한 비밀번호를 어떻게 만들지 감이 오지 않거나 어떤 패턴으로 비밀번호를 만들지 고민된다면, 2018년 과학기술정보통신부와 한국인터넷진흥원이 발간한 패스워드 선택 및 이용 안내서를 참고해서 만드는 것이 좋다.

비밀번호는
잘 관리하는 것도 중요

애써 만든 비밀번호를 스스로 유출하는 것만큼 안타까운 일이 또 있을 수 없다. 비밀번호는 잘 만드는 것뿐만 아니라 잘 관리하는 것도 중요하다.

하나의 비밀번호를 여러 개의 웹사이트에서 재사용하는 것은 한 번 비밀번호가 유출됐을 때 파급력이 크므로 지양해야 한다.

마인크래프트 계정을 비롯한 인터넷 계정의 비밀번호는 매우 가까운 친구 사이여도 공유하지 않아야 한다.

마인크래프트 계정의 비밀번호는 오직 minecraft.net, mojang.com 및 마인크래프트 런처에만 입력해야 한다. 일부 서드파티 웹사이트는 정품인증과 혜택 제공을 목적으로 마인크래프트 계정의 아이디와 비밀번호를 요구하고 있지만, 절대로 비밀번호를 입력해서는 안 된다.

유명한 모드 중 하나인 옵티파인의 개발자는 2019년 2월까지 후원을 받을 목적으로 플레이어들로부터 마인크래프트 계정의 아이디와 비밀번호를 수집했는데, 적절한 보안 조치가 이뤄지지 않은 탓에 후원한 플레이어들의 아이디와 비밀번호가 유출되는 사고가 발생했다.

마인크래프트 관련 커뮤니티의 운영주체는 대체로 영세하기 때문에 개인정보 유출 사고가 발생해도 피해 보상과 원인 파악이 어려운 만큼, 플레이어들은 처음부터 개인정보를 제공하지 않는 것이 바람직하다.

불법 소프트웨어 사용은
절대 금물

무형자산이라는 이유로 게임에 돈을 쓰지 않는 사람은 지금이라도 정품 소프트웨어를 사용해야 한다. 개인정보를 캐내는 트로이목마와 스파이웨어, 컴퓨터를 인질로 잡아 금전을 요구하는 랜섬웨어는 대체로 불법 소프트웨어에 숨어 있기 때문이다.

안랩에 따르면 2021년 6월 들어서 온라인으로 상용 소프트웨어나 게임 등 유료 프로그램을 불법으로 다운로드 받으려는 사용자를 노려 악성코드를 유포하는 사례가 잇따라 발견됐다. 이 같은 악성코드는 사용자의 컴퓨터에 저장된 브라우저 쿠키, 비밀번호 정보 등을 탈취한다.

정품 소프트웨어를 사용하면서 핵이나 버그판 등을 찾아나서는 일도 금물이다. 시스코 탈로스에 따르면 최소 2010년부터 사이버 범죄에 악용된 트로이목마가 더욱 고도화된 형태로 2021년 현재 게임 핵 프로그램으로 위장한 채 배포되고 있다.

모드는 유명하고
안전한 곳에서 설치

불법 소프트웨어를 사용하지 않더라도 피해가 발생할 여지는 잔존한다. 최근에는 마인크래프트 모드로 위장한 악성코드도 등장했기 때문이다. 게임 본편으로 위장한 악성코드는 저작권 의식이 희박한 플레이어에게만 위협적이지만, 모드로 위장한 악성코드는 모든 플레이어에게 위협적이다.

카스퍼스키에 따르면 2020년 3분기부터 2021년 2분기까지 유포된 악성코드 중 위장에 가장 많이 사용된 게임은 마인크래프트로 나타났다. 이 기간에만 마인크래프트와 마인크래프트 모드로 위장한 악성코드가 3만6336개나 유포됐다.

픽셀몬, 럭키블록 등 인기 있는 모드로 위장해서 악성코드를 유포하는 사례도 급속히 증가하고 있다. 단순히 광고 창만 띄우는 애드웨어가 대다수지만, 마인크래프트 계정의 인증 정보를 탈취하는 스파이웨어도 존재하는 만큼 긴장을 늦춰서는 안 된다.

인터넷 커뮤니티, 블로그에는 변조된 모드가 게시됐을 가능성이 높으므로, minecraftforum.net, curseforge.com 등 개발자가 모드를 직접 게시한 웹사이트(1차 출처)에서 다운로드해야 악성코드에 감염되는 피해를 예방할 수 있다.

맵이나 스킨, 리소스팩도
마찬가지

조심해야 하는 것은 비단 게임과 모드만이 아니다. 마인크래프트 맵이나 스킨, 리소스팩, 기타 소프트웨어를 인터넷에서 다운로드할 때도 조심해야 한다.

안랩에 따르면 2021년 7월까지 활발히 유포된 ‘블루크랩’은 ‘마크 포켓몬 모드’, ‘마인크래프트 포트마이너’, ‘마인크래프트 점프맵’, ‘마인크래프트 도시맵’ 등의 키워드로 자바스크립트 파일 다운로드를 유도하고 플레이어들의 컴퓨터를 랜섬웨어에 감염시켰다.

이메일 계정은
특히 신경 써서 관리

건물 주위에 보안 카메라를 빼곡히 설치하고 문지기를 아무리 많이 세워도, 보안 카메라와 문지기가 없는 문이 하나 있으면 그 건물의 보안은 장담할 수 없다. 인터넷 계정도 마찬가지다. 마인크래프트 계정을 아무리 잘 간수한들, 연결된 메일 계정을 소홀히 관리한다면 메일 계정과 마인크래프트 계정은 물론 다른 인터넷 계정도 탈취되는 피해를 입을 수 있다.

오늘날 마인크래프트 계정을 포함해 많은 인터넷 계정들은 하나의 이메일과 연결돼 있는 경우가 많다. 그리고 인터넷 계정의 비밀번호는 이메일 인증을 통해 재설정할 수 있는 경우가 많다. 그렇기에 주로 사용하는 메일 계정이 탈취되면 더 큰 피해가 발생할 우려가 있다.

주로 사용하는 메일 계정의 비밀번호는 다른 사이트에서 사용하는 것과 다른 패턴으로 설정해야 한다. 메일 계정의 비밀번호가 유출되는 상황에 대비해 OTP(일회용 비밀번호) 등 2단계 인증 수단을 사용하도록 설정하는 것이 좋다.

기업 또는 기관을
사칭한 연락에 유의

게임사, 정부기관 또는 금융기관에서 연락이 오더라도 개인정보를 요구하면 바로 연락을 끊어야 한다. 게임사는 어떤 경우에도 이메일, 채팅 앱 등을 통해 비밀번호, 카드번호 등을 요구하지 않는다. 기관 역시 전화나 문자 등을 통해 주민등록번호, 계좌번호 등을 묻지 않는다.

진짜 게임사와 기관은 인터넷 계정이나 은행 계좌에 해킹이 발생해도 비밀번호 또는 금전을 요구하지 않는다는 사실을 명심해야 한다. 모르는 번호로 전화가 오거나 수상한 이메일 주소에서 메일이 오면, 응답 없이 끊거나 차단해야 한다.

바야흐로 우리는 학업도, 회사일도, 놀이도 사이버 공간에서 한다. 이는 사이버 보안 의식이 그 어느 때보다 더욱 중요해진 사회가 됐음을 의미한다. 매해 10월은 미 국토안보부가 지정한 사이버 보안 인식의 달이다. 이 글을 통해 보안 인식을 기를 수 있었기를 바란다.

어렸을 때부터 개인정보와 게임 계정을 소중히 다루면서 보안 의식을 길러두면 후일 직접적으로 재산 피해를 주는 해킹 시도가 일어나더라도 침착하게 대처할 수 있을 것이다. 특히나 마인크래프트는 문해력과 보안 의식이 부족한 아동과 청소년이 주로 플레이하는 게임인 만큼, 보호자는 적극적으로 자녀에게 기초적인 보안 의식을 교육해야 한다.