EA(Electronic Arts)가 해킹을 당해 대량 소스코드 도난을 당했다는 보도가 나왔다. 이 공격을 한 해커는 제네시스 마켓(Genesis Market)이라는 지하 사이트에서 1만 원에 EA 슬랙 계정 로그인 정보를 구입했던 것으로 판명됐다.
지난 6월 10일 배틀필드 시리즈와 피파 시리즈 등으로 알려진 EA가 해킹되면서 수많은 소스 코드와 내부 도구가 유출됐다는 사실이 알려졌다. 보도에 따르면 이 사건을 일으킨 해커는 10달러에 구입한 쿠키를 이용해 EA 슬랙 계정에 로그인하고 IT 지원 담당자를 속여 회사 내부 네트워크에 침입했다. 해커는 제네시스 마켓이라는 초대 형태 지하 사이트에서 해당 쿠키를 구입했다고 한다.
쿠키는 컴퓨터가 다양한 정보를 저장하는 작은 파일이다. 사용자가 웹사이트에서 입력한 정보와 로그인 정보 등은 쿠키로 장치에 저장할 수 있다. 또 사용자가 방문한 웹사이트와 관련이 없는 광고 기업은 쿠키를 웹사이트에 이용해 웹사이트는 자사 사이트 이외 사용자 행동을 추적할 수 있다. 이는 타사 쿠키로 최근에는 개인 관점에서 이용이 우려되고 있다.
보도에 따르면 제네시스 마켓을 이용하면 쿠키나 장치 지문 등을 통해 해커는 공격 대상이 되는 브라우저 복제를 만들 수 있게 된다고 한다. 제네시스 마켓에 대한 조사를 실시한 사이버 보안 기업 넷타시(Netacea) 측 관계자는 제네시스 마켓에서 구입한 데이터가 있으면 해커는 2단계 인증을 우회할 수 있는 케이스가 있다고 밝히고 있다. 이는 제네시스 마켓 데이터를 이용해 로그인한 사용자가 일반 사용자로 보이는 데에서 이런 종류 데이터는 해커와 피해자는 거의 구별이 되지 않는다는 설명이다.
또 EA를 공격한 해커는 단순히 쿠키 하나만 구입한 게 아니라 봇넷 일부로 작동하는 봇에 대한 독점 권한을 구입했다. 악성코드 일종인 봇은 보통 법 집행 기관이 해커 행방을 알 수 없게 하거나 디도스 공격 같은 목적으로 이용되는 게 보통이다. 한편 제네시스 마켓에서 봇을 이용해 웹서비스에 관련한 쿠키 정보를 얻을 수 있도록 하고 있으며 5,000개 쿠키와 봇 등 단위로 판매한다. 웹서비스는 페이스북과 애플, 넷플릭스, 깃허브, 스팀, 인스타그램, 어도비, 아마존, 구글, 텀블러, 트위터, 드롭박스, 페이팔, 링크드인, 슬랙, 스포티파이, 레딧, 핀터레스트 등이 포함되어 있다.
EA를 공격한 해커는 제네시스 마켓에서 목적으로 한 웹서비스를 URL 필터링을 한다고 밝혔다. 실제로 제네시스 마켓에서 슬랙 관련 봇을 검색해보면 3,500개 이상이 존재하고 있다고 한다. 또 제네시스 마켓에서 판매되는 봇 총수는 40만 건에 달한다.
봇을 구입한 해커는 이메일 주소와 비밀번호 등 쿠키에 포함되어 있는 로그인 정보를 얻을 수 있기 때문에 해당 웹사이트에 액세스할 수 있게 된다. 또 제네시스 마켓 브라우저 플러그인과 로그인 정보를 이용해 더 세밀하게 피해자를 모방할 수 있다. 더구나 봇이 아직 활성인 경우 정보가 수집되고 있기 때문에 새로운 봇을 구입하지 않고도 데이터가 계속 유입된다. 기본적으로 일찍 구입하면 할인이 되어 결국 70센트로 수백 달러 가치가 있는 정보를 손에 넣을 수 있다는 것이다.
제네시스 마켓 뒤에 존재하는 그룹 중 하나는 원래 스스로 악성코드를 이용하다가 수집한 정보를 판매하고 나중에 다른 사람 뿐 아니라 정보를 판매할 수 있도록 한 것으로 알려졌다. 연구팀은 제네시스 마켓 플러그인을 리버스 엔지니어링해 플러그인을 통한 공격을 모니터링할 수 있다고 말하지만 다른 한편으로는 플러그인을 사용하지 않는 공격에 대한 탐지가 어렵다고 언급하고 있다. 관련 내용은 이곳에서 확인할 수 있다.