2021.10.07

트위치 데이터 대규모 유출 가능성 "소스 코드∙SDK∙지급 내역 포함"

Brad Chacos | PCWorld
높은 인기를 구가하는 스트리밍 서비스 트위치의 해킹 가능성이 보도됐다. 한 영어권 커뮤니티에서 익명의 유출자가 트위치 소스 코드가 포함된 125GB 용량의 토렌트 파일을 업로드한 것이다. 여기에는 개발자용  베이포(Vapor)라는 이름의 미공개 아마존 게임 서비스 세부 정보까지 포함돼 있었다.
 
ⓒ Rob Schultz/IDG

익명 해커의 주장을 전부 믿을 수는 없다. 그러나 관계자나 전문가들의 분석은 대체로 일치한다. 더레코드의 보안 전문가 캐털린 킴퍼누가 이 토렌트 파일 일부를 다운로드한 후, 유출된 정보가 해커가 인터넷에 공유했다고 주장하는 정보와 일치한다는 의견을 낸 것은 주목할 만하다. 또 다른 보안 전문가 트로이 헌트도 유출된 파일의 결제 정보나 지급 내역이 정확하다고 확인한 트위치 스트리머의 주장을 모은 트윗 쓰레드를 발행했다. 비디오 게임 크로니클(Video Game Chronicles) 역시 익명의 트위치 관계자를 인용하면서 “유출된 정보는 사실이며 여기에는 아마존 스트리밍 플랫폼 소스 코드도 포함돼 있다”고 보도했다.

트위치에 사실 확인을 요구한 상태지만, 유출 정보의 상당수는 정확한 것으로 추정된다. 이 파일에는 다음과 같은 기밀 정보가 포함돼 있는 것으로 알려졌다.

-    3년 간 트위치 콘텐츠 창작자에게 지급된 금액 정보
-    서비스 초기부터 지금까지의 트위치 커밋 히스토리 전체
-    트위치 데스크톱, 콘솔, 모바일 게임 클라이언트용 소스 코드
-    아마존 게임 스튜디오가 개발 중인 미공개 스팀 경쟁 서비스 베이포
-    커스포지(CurseForge), SDK, 트위치가 사용한 AWS 내부 도구 등 트위치 소유의 기타 자산 정보

유출자는 “기존 구도 해체를 통한 온라인 영상 스트리밍 업계 경쟁력 강화”가 목적이며, 트위치 커뮤니티가 “매우 유독한 공간(a disgusting toxic cesspool)”이라고 주장했다.

한 가지 다행인 것은 사용자 비밀번호가 유출 파일에 포함되지 않았다는 것이다. 그러나 유출 파일의 이름이 ‘파트 1’인 것과 킴퍼누가 토렌트로 공유된 파일 안에 사용자 ID와 인증 메커니즘, 관리자 운영 도구, 트위치 백엔드 인프라 중 다양한 화이트 보드 위협 모델 등 트위치 내부 보안 부서 데이터가 포함돼 있다고 확인한 것을 고려하면 아직 안심할 단계가 아니다.

공개된 트위치와 다양한 클라이언트의 소스 코드가 사실로 확인될 경우를 대비해, 개인 사용자는 즉시 트위치 비밀번호를 변경하고 2단계 인증을 설정해야 한다. 향후 사용자 개인 정보가 유출되거나, 이미 유출된 경우 더 악용되는 것을 방지하기 위해서다. 트위치 보안 설정 페이지에서 비밀번호와 2단계 인증을 모두 설정할 수 있다. 

트위치로 방송하는 콘텐츠 창작자라면 더더욱 결제 계좌와 인증서 비밀번호를 강력하고 복잡한 것으로 변경하고 가능하다면 2단계 인증까지 설정할 것을 강력히 권고한다. 유출 정보가 사실로 밝혀지더라도 사용자 정보가 위험에 처하지 않는 것이 최선이겠지만, 어떤 경우에든 소 잃고 외양간 고치는 것보다는 미리 방비하는 것이 낫다. editor@itworld.co.kr 


2021.10.07

트위치 데이터 대규모 유출 가능성 "소스 코드∙SDK∙지급 내역 포함"

Brad Chacos | PCWorld
높은 인기를 구가하는 스트리밍 서비스 트위치의 해킹 가능성이 보도됐다. 한 영어권 커뮤니티에서 익명의 유출자가 트위치 소스 코드가 포함된 125GB 용량의 토렌트 파일을 업로드한 것이다. 여기에는 개발자용  베이포(Vapor)라는 이름의 미공개 아마존 게임 서비스 세부 정보까지 포함돼 있었다.
 
ⓒ Rob Schultz/IDG

익명 해커의 주장을 전부 믿을 수는 없다. 그러나 관계자나 전문가들의 분석은 대체로 일치한다. 더레코드의 보안 전문가 캐털린 킴퍼누가 이 토렌트 파일 일부를 다운로드한 후, 유출된 정보가 해커가 인터넷에 공유했다고 주장하는 정보와 일치한다는 의견을 낸 것은 주목할 만하다. 또 다른 보안 전문가 트로이 헌트도 유출된 파일의 결제 정보나 지급 내역이 정확하다고 확인한 트위치 스트리머의 주장을 모은 트윗 쓰레드를 발행했다. 비디오 게임 크로니클(Video Game Chronicles) 역시 익명의 트위치 관계자를 인용하면서 “유출된 정보는 사실이며 여기에는 아마존 스트리밍 플랫폼 소스 코드도 포함돼 있다”고 보도했다.

트위치에 사실 확인을 요구한 상태지만, 유출 정보의 상당수는 정확한 것으로 추정된다. 이 파일에는 다음과 같은 기밀 정보가 포함돼 있는 것으로 알려졌다.

-    3년 간 트위치 콘텐츠 창작자에게 지급된 금액 정보
-    서비스 초기부터 지금까지의 트위치 커밋 히스토리 전체
-    트위치 데스크톱, 콘솔, 모바일 게임 클라이언트용 소스 코드
-    아마존 게임 스튜디오가 개발 중인 미공개 스팀 경쟁 서비스 베이포
-    커스포지(CurseForge), SDK, 트위치가 사용한 AWS 내부 도구 등 트위치 소유의 기타 자산 정보

유출자는 “기존 구도 해체를 통한 온라인 영상 스트리밍 업계 경쟁력 강화”가 목적이며, 트위치 커뮤니티가 “매우 유독한 공간(a disgusting toxic cesspool)”이라고 주장했다.

한 가지 다행인 것은 사용자 비밀번호가 유출 파일에 포함되지 않았다는 것이다. 그러나 유출 파일의 이름이 ‘파트 1’인 것과 킴퍼누가 토렌트로 공유된 파일 안에 사용자 ID와 인증 메커니즘, 관리자 운영 도구, 트위치 백엔드 인프라 중 다양한 화이트 보드 위협 모델 등 트위치 내부 보안 부서 데이터가 포함돼 있다고 확인한 것을 고려하면 아직 안심할 단계가 아니다.

공개된 트위치와 다양한 클라이언트의 소스 코드가 사실로 확인될 경우를 대비해, 개인 사용자는 즉시 트위치 비밀번호를 변경하고 2단계 인증을 설정해야 한다. 향후 사용자 개인 정보가 유출되거나, 이미 유출된 경우 더 악용되는 것을 방지하기 위해서다. 트위치 보안 설정 페이지에서 비밀번호와 2단계 인증을 모두 설정할 수 있다. 

트위치로 방송하는 콘텐츠 창작자라면 더더욱 결제 계좌와 인증서 비밀번호를 강력하고 복잡한 것으로 변경하고 가능하다면 2단계 인증까지 설정할 것을 강력히 권고한다. 유출 정보가 사실로 밝혀지더라도 사용자 정보가 위험에 처하지 않는 것이 최선이겠지만, 어떤 경우에든 소 잃고 외양간 고치는 것보다는 미리 방비하는 것이 낫다. editor@itworld.co.kr 


X