노키아 엔지니어 "윈도8 게임 해킹된다"

일반입력 :2012/12/12 14:04

손경호 기자

iOS 운영체제(OS)에 이어 윈도8용 유료 게임 애플리케이션(앱)을 공짜로 이용하고, 게임 내에 아이템이나 캐시 등도 무료로 쓸 수 있는 방법이 공개돼 파장이 일고 있다.

11일(현지시간) 씨넷, 더버지 등 외신은 노키아의 윈도폰7인 루미아 시리즈 개발을 담당하고 있는 엔지니어 저스틴 엔젤이 자신의 블로그에 윈도8이 갖고 있는 보안취약점을 활용하는 방법을 공개했다고 보도했다.

이는 잠재적으로 마이크로소프트(MS)의 윈도 스토어에 앱을 올리려는 수많은 개발자에게 동일한 문제로 작용할 전망이다. 실제로 그는 윈도8용 게임 앱들에서 어떻게 이러한 방법을 사용할 수 있는지에 대해 상세히 공개했다. 앞서 지난 7월 애플 앱스토어의 네트워크 취약점을 이용해 비슷한 방식이 등장한 바 있다.

그가 제시한 방법은 5단계를 통해 이뤄진다. 보안취약점을 별도로 찾아내는 대신 엔젤은 윈도8이 태생적으로 안고 있는 결함을 이용하면 유료게임을 공짜로 이용할 수 있다고 밝혔다. 그는 실제로 한 게임 앱에 자바스크립트 코드를 삽입하는 방식으로 게임아이템을 공짜로 사용하고, 레벨을 마음대로 조작할 수도 있다는 내용을 블로그에 게재했다.

윈도8 게임의 절반 가량을 차지하고 있는 평가판 앱을 마치 유료결제한 앱처럼 쓸 수 있는 방법도 공개됐다. 엔젤은 윈도8폰 내에 'Token.dat'라는 파일 안에 평가판에 대한 라이선스 정보가 들어있다는 점을 확인했다며 이를 쉽게 수정할 수 있었다고 밝혔다.

실제 사용자가 평가판 앱을 다운로드 받은 뒤 그 안에 담긴 일부 기능을 수정하면 마치 유료결제한 앱처럼 사용할 수 있다는 설명이다. 이 문제를 해결하기 위해서는 개발자들이 평가판과 실제 제품을 별도로 만들어 윈도8 스토어의 구매시스템을 통해 보호받아야 한다고 그는 덧붙였다.

이에 대해 MS 대변인은 윈도8을 해커로부터 보호하기 위한 많은 다른 방안들이 준비돼 있다며 사용자들과 개발자들 모두의 이익에 부합하도록 보호조치를 취할 것이라고 밝혔다.

현재 취약점을 활용하는 방법을 올려놓은 엔젤씨의 블로그는 급격히 증가한 트래픽 탓에 서버가 다운된 상태다.

관련기사

애플도 수개월 전 비슷한 문제를 겪었다. 아이폰, 아이패드용 게임 앱을 다운로드 받은 뒤 게임 상에서 아이템이나 캐시를 구매할 수 있는 네트워크 상의 취약점이 발견돼 실제로 사용됐기 때문이다.

러시아 해커 알렉세이 보로딘은 자신의 홈페이지에 이 같은 내용을 올려 3만명 가량의 이용자들이 이러한 방법을 사용한 것으로 알려졌다. 이는 사용자들이 게임 개발자의 서버로 위장한 가짜 도메인네임시스템(DNS)에 접속하도록 한 뒤 전자서명 인증을 받는 식으로 무료로 게임 아이템이나 캐시 등을 이용할 수 있게 했다.