나무모에 미러 (일반/밝은 화면)
최근 수정 시각 : 2024-11-09 22:54:29

2023-2024년 인터넷 방송 연쇄 사이버테러 사건

파일:관련 문서 아이콘.svg   관련 문서: 2024 LCK 스프링 사이버테러 사건
,
,
,
,
,

주의. 사건·사고 관련 내용을 설명합니다.

사건 사고 관련 서술 규정을 유의하시기 바랍니다.

1. 개요2. 증상3. 특징4. 추정 공격자5. 추정 원인
5.1. 리그 오브 레전드 클라이언트 및 부속 기능들의 취약점 유출설5.2. 기타 취약점 설
6. 대응
6.1. T1의 스트리밍 무기한 중지 선언과 라이엇의 총력전 선포6.2. 정치계
7. 피해 사례8. 여담9. 관련 문서

[clearfix]

1. 개요

2023년 12월 말부터 시작되어 인터넷 방송을 대상으로 이루어진 연쇄 분산 서비스 거부 공격(DDoS) 사건.

아프리카TV, 치지직, 트위치 등 방송 플랫폼을 막론하고 디도스로 의심되는 공격을 통해 방송인 또는 연관인의 인터넷을 마비시켜 콘텐츠 진행을 방해한다.

본 문서에서는 2023년 12월부터 발생한 사이버 공격을 주로 서술하고 있지만, 이전부터 인터넷 방송인을 대상으로 한 디도스는 계속 발생하고 있었다.[1]

개별 게임 단위로 따진다면 일부 게임에서 드롭핵이라 불리는 게 있고, 그외에도 배틀그라운드 모바일 게임 내에선 유저들 간 혹은 방송인들을 대상으로 한 디도스 공격이 매우 심각했으나 배틀그라운드 모바일이 국내에서 인지도가 적은 게임이었기에 공론화되지는 않았다.[2] 특히 사설 서버를 구축하고 접속하는 마인크래프트와 같은 콘텐츠를 진행하는 경우 서버 IP가 노출되면 즉시 공격이 들어오는 사례도 있을 정도였다. 하지만 다수 방송인들을 대상으로 이렇게 빈번한 공격이 이루어진 것은 유례가 없는 상황이다.

2. 증상

이 공격을 받은 스트리머들은 모두 공통적으로 모뎀은 정상적으로 작동하지만 인터넷이 안 되는 증상을 호소하고 있다. 또한 디도스가 시작되면 시청자들은 채팅을 치고 있는데 방송 화면 내 채팅창의 채팅이 올라가지 않거나 합방의 경우 디스코드 음성이 로봇처럼 끊겨서 들리는 등의 증상을 호소하고 있다.

디도스 공격방식은 크게 보면 두 가지가 있는데 하나는 프로그램의 취약점을 공격해 프로그램 자체를 다운시켜 버리는 것이고, 나머지 하나는 네트워크 트래픽을 가득 채워 결국 대역폭이 꽉 차 네트워크가 먹통이 되는 것이다. 증상을 보면 후자 쪽 공격방식이며, 이는 곧 공격자 측이 피공격자의 IP 주소를 비롯해 피해자의 PC를 특정하고 공격할 수 있는 정보들을 획득했다는 말이다.[3]

가장 큰 특징은 공격받은 사용자가 대응을 위해 인터넷 회선을 여러 개 개통해서 전환을 하거나 혹은 통신사에 의뢰하여 부여받은 공인 IP 주소를 변경하더라도 얼마 지나지 않아 다시 공격을 받았다는 것이다. 심지어는 컴퓨터를 포맷하는 것도 소용이 없었다. 즉 공격자 측에서 대상의 IP 주소가 바뀌더라도 공격하기 위한 정보를 지속적으로 갱신해서 알아낼 수 있는 방법이 있다는 뜻이 된다.

일반적으로는 개인 PC의 IP 주소‘만’ 알아냈다고 해서 이런 공격을 성공시킬 수 있는지에 대해서는 회의적인 의견이 많다. 그럼에도 불구하고 매우 여러 대상에게 지속적으로 공격이 성공했으므로, 공격자 측에서 개인 IP나 PC의 MAC 주소등 공격을 성공시키기에 충분한 정보를 얻어낸다는 뜻이 된다. 이 문서에서 ‘IP 주소를 얻어냈다’는 것은 이런 의미로 이해하는 것이 편하다.

3. 특징

유독 한국에서만 벌어지고 있다는 점이 가장 큰 특징이라고 할 수 있다. 또한 그 대상을 크게 가리지도 않는다. 주로 시청자 수가 많은 스트리머 중 주목받을 만큼의 큰 이벤트가 있을 때 공격이 이뤄진다. 단, 특정 방송인 또는 프로게이머들은 이벤트고 뭐고 그냥 롤을 켜면 공격받는다.

처음에는 리그 오브 레전드를 플레이하는 스트리머가 대상이었고, 이후에도 LCK가 공격받는 등의 대형 사고가 터져 롤만 공격받는 것이라고 착각하는 사람들이 있는데 전혀 사실이 아니다. 롤은 깔기는커녕 생전 해보지도 않은 스트리머도 공격받았으며, 배틀그라운드로스트아크 같은 국내 게임은 물론이고 스타크래프트마인크래프트[4]등을 플레이하는 와중에도 공격받거나 저챗 방송도 터뜨려 버리는 등 시청자만 많이 있다면 종목을 가리고 있지도 않다.

디도스 공격을 진행할 뿐, 별다른 요구사항이 없는 점도 특이사항이라고 할 수 있다. 당연하지만 보통은 이러한 디도스 공격이나 랜섬웨어 감염 공격 같은 경우에는 공격자 측이 피해자에게 ‘돈을 주면 우리가 이러한 공격을 멈추겠다’고 하는 경우가 대부분이며, 아니면 이런 식으로 관심을 요구하는 관심종자이기에 무언가 덜미를 잡을 만한 자랑하는 글을 올릴 법도 한데 그렇지 않다는 점에서 엄청난 악질이다.[5] 후술할 롤 프로게이머의 경우 불법 도박이라는 이득이 있겠지만 사실 일반 스트리머의 방송은 방해해봤자 별 이득이 없는데도 불구하고 매우 정성스럽게 꾸준히 공격을 하고 있다.

이쯤 되면 디도스 프로그램을 자동으로 돌려 놓는 것이 아닌가 싶은데, 피해자의 반응을 보고 공격 수위를 조절하기도 하는 것을 보면 그런 것은 아니라는 것을 알 수 있다. ’디도스 공격을 해보라‘고 도발하면 즉시 강도 높은 공격이 들어오며, 반대로 제발 멈춰달라고 사정하면 공격 수위를 잠시 줄여주기도 한다. 특히 '나루토 춤'으로 알려진 틱톡발 밈인 一笑江湖 춤을 추면 디도스 공격을 잠시 멈춰서 방송인들이 디도스를 막기 위해 황급히 나루토 춤을 익히는 웃지 못할 상황이 벌어지기도 했다. 에키드나 레이드 같은 단체 합방의 경우에는 당하는 사람들의 반응을 방송을 통해 직접 관찰하려는 것인지 파티 내에서 한두 명 정도만 남기고 남은 사람들을 번갈아가며 터뜨린 전적도 있다.

또한 롤 프로게이머들이 공격받는 양상을 보면 10명이 잡히는 랜덤 큐 중에서 해당 프로게이머는 남긴 채로 같은 큐에 걸린 나머지 9명 중 몇 명인가를 공격하는 사례가 많다. 이는 공격자 측에서 특정인을 타겟으로 정했을 경우, 해당 사람들과 큐가 잡힌 나머지 9명에 대한 정보 또한 매우 신속하게 얻어서 공격을 성공시킬 수 있다는 것을 의미한다.

4. 추정 공격자

여러 정황을 통해 한국인 개인, 혹은 넓게 봐서 그 지인 몇 명으로 추정되고 있다. 다만 이후 2024 LCK 스프링 사이버테러 사건이 터지면서 개인과 지인 몇 명이더라도 단순히 툴을 이용하기만 하는 수준의 비전문가는 아닐 거라는 의견이 대두되고 있다. # LCK 롤파크 공격 때 아무 대비도 없이 있다가 맞은 게 아니라 나름의 대비를 하고 있었음에도, 라이엇의 방어에 대응해 공격 패턴이 실시간으로 다변화되어 들어왔다는 증언이 나왔기 때문이다.

일단 피해자들이 어떠한 금전적, 혹은 다른 방식의 요구를 받지 않으며 반응에 따라 공격 수위를 조절하는 것으로 보아 단순히 피해자 개인 내지 다수 대중의 반응을 보고 즐기는 쾌락범죄라고 추정된다. 물론 피해자들이 금전을 요구받았는데도 단합하여 입을 다물고 있는 것일 수도 있으나 공격받은 대상이 워낙 많으므로 그럴 가능성은 낮다. 만약 공격자가 서로를 모르는 불특정 다수라면 그들 중 한 둘은 피해자들에게 금전을 요구하거나, 내가 디도스 공격자라고 자랑하는 글을 올리는 돌발행동을 할 법한데도 불구하고 그러한 사례가 보고되지 않았으므로, 최소한 개인이거나 서로를 통제할 수 있는 아는 사람들끼리의 네트워크일 확률이 매우 높다.

디도스 자체는 컴퓨터에 대해 아무 것도 모르는 초등학생이더라도 프로그램과 방법만 알려주면 손쉽게 실행할 수 있다. 따라서 핵심은 어떻게 공격했냐가 아니라 피해자들을 어떻게 특정해내서 IP주소 및 기타 정보들을 취득했냐 쪽에 가깝다. 만약 이 방법, 혹은 프로그램이 널리 퍼졌을 경우 단순 스트리머들 뿐만 아니라 다른 사람들까지도 공격받고 있을 가능성이 높다. 그럼에도 불구하고 집요하게 한국의 인터넷 방송을 주로 공격한다는 것은 이러한 공격 방식이 외부에 유출되지 않고 본인들끼리 통제하며 잘 간수하고 있는 것으로 보인다.

다른 곳도 아니고 인터넷 방송을 공격한다는 점은 이 취약점이 게임에서 유래해서일 가능성이 높아서이긴 하지만 그것 이외에도 단순히 가장 공격당하는 측의 반응을 보고 즐기기 제일 쉬운 쪽이 스트리머이기 때문으로 추정된다. 한국인만 공격받는 이유 또한 단순히 그들이 반응을 보고 즐길 수 있는 대상, 혹은 흥미가 있는 대상이 한국인 뿐이어서일 가능성이 높다.

다만 롤 프로게이머들이 공격받는 양상은 조금 다른데 이들은 본인이 공격당하지는 않으면서 대신 같은 큐에 잡힌 팀원이나 적이 공격받는 경우가 많다. 후술하겠지만 이는 불법 도박이 원인으로 추정된다.

불법 도박 사이트의 운영자들, 혹은 그 관계자들이 범인에게 돈을 주고 승부조작을 의뢰하여 디도스를 걸게 했다는 식의 의혹이다. 이 의혹이 사실이라면 어째서 스트리머들에게 금전적 요구를 하지 않는지에 대해서도 설명된다. 굳이 잡힐 가능성이 높은 방법으로 돈을 받느니[6] 자신이 이런 식으로 디도스가 가능하다는 것을 내세워 승부조작이 가능할 정도의 디도스를 거는 것 또한 가능하다고 하여 돈을 받았다는 이야기다.

위에서도 말했듯 단순히 반응을 보고 즐기는 것이라면 프로게이머를 직접 공격하는 게 제일 좋은데도 불구하고 프로게이머 본인을 놔두고 같은 큐에 걸린 일반인을 공격한다는 점을 볼 때 일단 불법 도박과 엮인 것은 기정사실이라고 볼 수 있으며, 이 때문에 프로게이머를 타겟으로 해서 불법 승부조작을 하는 사람과 스트리머를 공격하는 사람이 별개일 가능성도 있다.

공격을 행하고 있는 인원이 정확히 몇이나 되는지는 알 수 없지만, 방송을 보는 시청자들 사이에서는 상당히 감정적이며 딱히 머리가 좋은 타입은 아니라는 것이 중론이다. 아무런 이해타산 없이 단순히 시청자가 많은 유명 방송인의 방송만을 골라 무지성으로 저격하고 있으며, 방송인의 도발에도 쉽게 넘어가 이를 악물고 공격을 하고 있기 때문. 쉽게 말해 실질적으로 본인에게 이득이 되는 행동을 단 하나도 하고 있지 않으나, 불법 도박 사이트에서 돈을 받았다는 의혹이 맞다면 자신이 이렇게 디도스를 걸수 있다는 능력 증명용으로 했다고 하면 맞아 떨어지니 진실은 알 수 없다.

5. 추정 원인

5.1. 리그 오브 레전드 클라이언트 및 부속 기능들의 취약점 유출설

현재까지는 가장 가능성이 높은 원인으로 지목되고 있다.

5.1.1. 리그 오브 레전드

다른 게임들에서도 의심 사례가 발생하기는 했지만, 유독 리그 오브 레전드가 원인으로 지목받는 가장 큰 이유는 바로 방송하는 스트리머와 같은 큐에 잡힌 사람들도 공격받기 때문이다. 방송하는 스트리머들이야 다른 여러 프로그램이나 경로를 통해 IP 주소 등 공격에 필요한 정보를 수집할 수 있다고 쳐도, 해당 인원들과 무작위 큐로 잡힌 나머지 9명에 대한 공격이 즉시 들어간다는 것은 롤 클라이언트에서 해당 인원들에게 공격이 필요한 정보들을 즉시 수집할 수 있다는 것 외에는 설명이 되지 않기 때문이다.

확실한 원리는 드러나지 않았으나 친구 추가 관련 API나 관전 시스템 등이 연관되어 있을 것이라고 추정되고 있다. 뜬금없이 라이엇이 2023년도에 대대적으로 플레이어 닉네임을 라이엇 ID와 태그로 변경하는 작업을 거쳤으며, 방송인들을 대상으로 한 디도스 공격이 심해지자 관전 시스템을 막아버리거나 정상적으로 작동하지 않는 등의 변화가 있었기 때문이다. 다만 라이엇이 공언한 것은 아니기 때문에 어디까지나 추측의 일환일 뿐이다.

라이엇 게임즈는 23년 1월 리그 오브 레전드를 비롯해 전략적 팀 전투와 구버전 치트 방지 플랫폼의 소스 코드가 유출된 것을 인정한 적이 있는데, 이 때 유출된 소스 코드가 원인으로 지목되고 있다. 유출 당시의 기사. 다만 이례적으로 한국 서버에서 문제가 불거지고 있는 터라, 한국 서버 및 클라이언트에 해당되는 구조적인 취약점이 따로 있을 것으로 보인다.

실제로도 이와 관련된 프로그램을 판매하는 디스코드 캡처가 떠돌고 있다.[7][8] 물론 해당 캡쳐본이 사실이라고 확인된 것도 아니고, 실제로 디스코드 방을 캡쳐했다고 하더라도 저런 프로그램 판매는 사기가 워낙 많아서 저런 판매글이 올라왔다는 것이 곧 한국 서버 및 클라이언트에만 문제가 있다는 것을 증명하지는 않는다. 하지만 '한국 서버만 가능하다'고 명시한 캡쳐본이 대중들에게 사실로 받아들여질만큼 한국 클라이언트에만 문제가 있다는 점이 널리 받아들여지고 있다는 증거이기도 하다.

굉장히 특이한 점이라면, 직접적으로 공격을 당하는 일반적인 스트리머들과는 달리 프로게이머들은 대체로 디도스로 직접적인 공격을 당하지 않고, 대신 팀원이나 적군 중 불특정 다수가 디도스 공격을 당하는 경우가 많았다는 점이다. 이는 어뷰징을 통해 성행하던 불법 도박이 원인으로 추정되고 있다. 이러한 불법 도박은 특정 프로게이머를 대상으로 해당 선수가 방송할 때 그 판의 승/패를 예측해 배팅하는 것으로 알려져 있다.[9] 그런데 해당 프로게이머의 개인 컴퓨터에 문제가 생기면 그 판의 배당이 무효가 되기 때문에 프로게이머에게 직접적인 영향을 줄 수 없으니, 그 대신 해당 프로게이머의 아군 혹은 적군에게 디도스를 걸어 해당 경기의 승부를 조작하여 이득을 취하는 편법을 쓰고 있다는 것이다.

물론 이것도 ‘대체적으로’ 그렇다는 것이지, 밑의 사례에서 보듯 페이커와 같이 큐가 잡힌 젠지 2군 선수들에게도 공격이 들어가는 걸 보면 프로게이머인지의 여부는 전혀 중요하지 않고 단지 ‘어느 프로게이머를 대상으로 불법 도박이 진행되고 있냐’가 중요한 것으로 보인다.[10] 또한 시간이 지나면서 프로게이머들이 해당 공격에 대한 비판적 의사를 내비치자 보복성으로 해당 프로게이머들에게도 공격이 지속적으로 이뤄지고 있다.

한국 서버에만 유독 불거지고 있는 문제이기에, 라이엇 게임즈는 해당 취약점이 무엇인지 파악하고 있을 가능성이 높다. 타 서버와 한국 서버 및 클라이언트를 비교해서 차이점만 골라내면 되기 때문이다. 그럼에도 불구하고 문제가 여전히 해결되지 않고 있다는 것은 해당 취약점이 수정하기 매우 까다롭거나 혹은 구조상 아예 해결이 불가능한 케이스일 가능성도 점쳐지고 있다.

한국 서버가 아닌 일본 서버에서 플레이해도 공격받은 사례가 나오고 있으나, 해당 사례는 공격받은 사람이 이미 공격받았던 전례가 있기에 다른 서버에서도 발생하는 문제라고 확언하기 힘들다. 이미 공격을 받은 이상 공격자가 해당 대상을 공격할 수 있는 충분한 정보를 확보했다는 뜻이기 때문이다. 또한 일본 서버는 한국 서버와 마찬가지로 후술할 XIGNCODE를 통해 개발된 데마시아를 안티 치트 프로그램으로 사용하고 있기에 해당 취약점일 가능성도 있다.

이후 인터넷 방송인 김민교가 롤 중국서버를 시작한 이후 디도스 공격을 받지 않고 있다. 물론 공격자 측에서 그냥 공격을 멈췄을 수도 있으니 중국 롤은 문제가 없는 것이라고 확언할 수는 없지만, 해당 스트리머가 디도스 공격자를 도발한 후 거의 쉴새없이 공격을 받고 있었으므로 자의로 공격을 중단했을 가능성은 그다지 높지 않다. 즉 중국 롤을 플레이한다면 공격이 불가능한 상황이라고 볼 수 있다. 다만 중국 롤은 텐센트가 입맛대로 손을 많이 댄 클라이언트라서 구조 자체가 한국이나 일본 같은 해외 서버들과는 다르기 때문에 어느 쪽 문제라고 하기에는 애매한 점이 있다. 24년 03월 01일 김민교의 중국 롤 서버가 아닌 김민교의 개인 컴퓨터에 디도스를 걸어 강제 닷지시키는 방향으로 공격자의 공격 방향이 틀어졌다.

5.1.2. XIGNCODE

디도스가 걸린 게임의 공통적인 보안 프로그램인 XIGNCODE를 원인으로 제기하는 의견도 있다. XIGNCODE의 취약점 유출로 인한 제로 데이 공격이 이뤄지고 있다는 것이다. 해당 프로그램 자체가 한국 기업에서 개발한 프로그램이기에 많은 한국의 게임사가 채용하고 있으며 반대로 해외 게임사 중 채용하고 있는 경우는 드물기 때문이다.[11]

이것이 위의 리그 오브 레전드 클라이언트 취약점 유출설과 연동되는 이유는 한국에 도입된 안티치트 프로그램인 데마시아가 XIGNCODE 3을 기반으로 제작되었기 때문이다. 위에서 언급했듯 유출됐다고 '공언'된 소스 코드 중 '구버전 치트 방지 플랫폼'이 있다는 것이 위 주장에 힘을 실어준다. 일개 안티치트 프로그램이 어떻게 이런 문제를 일으키냐고 반론하는 사람도 있는데, XIGNCODE 항목에 들어가보면 알겠지만 이미 해당 프로그램은 매우 악명이 높아서 이것 때문에 문제가 생겼다고 해도 납득이 될 만한 수준이다. 특히나 가장 문제가 되는 것은 스파이웨어 취급을 받을 정도로 과도한 정보 수집인데, 대표적으로 해당 프로그램은 안티치트를 명목으로 48시간 내에 접근한 모든 파일을 스캔하는 것으로도 유명하다. 이렇게 과도한 수준의 정보 수집이라면 컴퓨터의 IP 주소 및 맥 어드래스를 전부 수집한다고 해도 이상할 것이 없고, 앞에서 무슨 조치를 취하건 결과적으로 컴퓨터에 XIGNCODE가 깔려있기만 하면 조건이 충족되기 때문이다. 넥슨의 경우 크레이지 아케이드는 이 프로그램을 도입하는 순간 최적화가 끔찍히 나빠졌다고 하고, 크레이지레이싱 카트라이더같은 경우에도 파일 스캔이 너무 과도해 대기실을 불러오지 못하고 게임이 망가지거나 취약점을 이용해 상대방에게 런타임 에러를 일으켜 접속을 강제로 끊게하는 핵이 존재했다. 이로 인해 이골이 난 넥슨은 2017년 즈음 자체 안티치트 프로그램인 Nexon Game Security로 교체했다.

해당 프로그램을 적용한 회사들의 목록을 보면 카카오게임즈, 넷마블, 크래프톤, 스마일게이트 등으로 다양한데 '롤을 깔지 않았는데도 공격을 받았다'고 증상을 호소한 방송인들이 플레이 한 게임들이 대부분 배틀그라운드로스트아크라는 점이 이에 해당한다. 사실상 넥슨NC 빼고 한국 게임사들의 대부분이 이걸 사용한다고 봐도 무방하니, 롤을 아예 설치하지 않았더라도 국내 게임사의 게임을 깔아놨다면 해당 취약점에 노출되었을 가능성이 있다. 녹두로의 경우 디도스 테러가 유행하기 한참 전인 2023년 3월부터 롤 관련 컨텐츠를 하지 않는데다가 4월에 PC를 바꾸고 나서는 롤 자체를 깔지 않았기 때문에 만약 리그 오브 레전드 자체의 취약점 때문에 발생한 문제라면 녹두로는 문제를 겪지 않았어야 한다. 해당 스트리머가 설치한 국산 게임은 겟엠프드P의 거짓이 있는데 P의 거짓의 개발사 네오위즈는 XIGNCODE를 사용한다.[12] # 또한 28일에 공격받은 김민교도 한국이 아닌 일본 서버에서 플레이하다 공격을 받았는데, 일본 서버는 한국과 마찬가지로 XIGNCODE를 기반으로 한 데마시아를 안티 치트 프로그램으로 사용하고 있으므로 이 쪽도 설명이 가능해진다. 또한 김민교는 데마시아를 탑재하지 않고 있는 중국 서버[13]에서 플레이 했을 때는 디도스 공격을 당하지 않고 있어 XIGNCODE가 뚫린 것이 맞다는 강한 확신을 주고 있다.

만약 XIGNCODE의 문제가 맞다면 적어도 리그 오브 레전드에 대한 사이버테러는 근시일 내에 멈출 가능성이 있다. 라이엇이 안티 치트 프로그램을 라이엇 뱅가드로 바꿀 예정이기 때문이다. 허나 뱅가드 역시 XIGNCODE와 유사한 단점 및 취약점이 존재하므로 안심할 수는 없으며 이 때문인지 도입도 '사용자 추이를 지켜본 다음 4월 전체 지역으로 확장'이라는 표현을 사용하며 미뤄졌다. # 또한 위 항목의 핵 판매 디스코드 글이 사실이라면 뱅가드나 데마시아를 사용하더라도 우회할 수 있다고 밝히고 있기에 문제가 해결되지 않을 수도 있다.

혹 XIGNCODE가 원인이라면 어느 부분에서 문제를 일으켰냐에 따라 문제가 더 커질 여지가 있다. 이전에 문제가 되었던 구형 게임들은 대부분 피어 투 피어 혹은 그리드 컴퓨팅 같은 식으로 PC끼리 직접 통신을 했기에 IP 주소를 비롯한 여러 정보를 얻어내기가 매우 쉬운 구조였다. 그러나 현재 문제가 되고 있는 리그 오브 레전드 같은 게임들은 대부분 데디케이티드 서버 방식을 채택하고 있는데, 이는 클라이언트 - 클라이언트 끼리 직접 통신하는 게 아니라 아닌 클라이언트 - 서버 - 클라이언트로 간접적으로 통신하는 방식을 취하기 때문에 ‘대체적으로는’ 상대방과 연결된다고 해서 IP 주소를 직접적으로 얻어낼 수는 없다.[14] 그럼에도 불구하고 같은 판에 걸린 다른 사람이 공격을 받는다는 것은 결국 XIGNCODE 취약점을 통해 수집한 IP를 저장하는 각 게임사의 서버가 뚫렸을 가능성이 있다. 즉, XIGNCODE관련 서버 모듈에서 취약점이 발생한 것에 가까워진다.

하지만 14.10 패치 이후로 뱅가드로 안티치트 프로그램을 변경했지만 여전히 괴물쥐등의 스트리머가 디도스 공격을 받는 모습이 나와 이쪽이 취약점일 가능성은 많이 낮아졌다. 다만, 디도스 공격을 받는 스트리머의 컴퓨터에 XIGNCODE가 완전히 제거가 안 되어 있을 가능성도 있으며, 만일 XIGNCODE를 사용하는 다른 게임도 설치되어있는 경우에는 해당되는 게임을 전부 다 제거해줘야 XIGNCODE가 제거되기 때문에[15], XIGNCODE 취약점에 의해 여전히 공격받을 가능성도 있다.

5.2. 기타 취약점 설

리그 오브 레전드 말고도 다른 게임을 플레이하는 스트리머에게서도 해당 공격이 들어왔기 때문에 꼭 롤이 원인이 아니라는 추측도 있다. 그러나 후술할 원인들은 하나 이상의 큰 논리적 허점이 존재하기 때문에 단독 원인으로 꼽는 것은 부적절하다. 다만 꼭 디도스 공격 및 이를 위한 사전 정보 수집이 한 가지 루트로만 이뤄져야 하는 것은 아니기 때문에 후술할 문제 하나 이상이 복합적으로 작용했을 가능성도 있긴 하다. 쉽게 말해 롤에서도 정보를 털리고, 후술할 방법으로도 정보를 또 털렸을 수도 있다.

6. 대응


이 테러의 원인제공자로 의심되고 있는 한국 라이엇 게임즈를 비롯해 인터넷 방송 플랫폼인 아프리카TV네이버가 대응에 나섰음을 밝혔었다.

그러나 2024 LCK 스프링 사이버테러 사건라는 초유의 사건이 발생하면서, 여론을 잠재우기 위해서 언론상에 대응한다고 언플만 잔뜩 해놓고 실제로는 손을 놓고 있었던 것이 아니냐는 의혹이 제기되고 있다.

이 사건과 관련하여 경찰 등 수사기관이나 인터넷 관계부처의 대응에 관한 보도는 전무하다. 겜플의 기사에서는 '수사망'이라는 표현을 사용했으나, 이는 실제 공인된 수사기관의 수사망은 아니다.

6.1. T1의 스트리밍 무기한 중지 선언과 라이엇의 총력전 선포

특히 이 디도스 공격은 T1측에 집중되고 있었다. 물론 T1말고 다른 팀이 공격받지 않은 것도 아니며 2024 LoL Champions Korea Spring/플레이오프 2라운드의 T1 대 한화 전에서 T1이 3:0으로 패배하고 난 뒤 인터뷰에서 페이커가 "디도스 때문에 솔랭을 돌리지 못해 공평한 기회를 얻지 못했다"고 발언했다가 사과하는 일도 있었을 정도이다.

다만 T1이 어째됐든 LCK 내에서 가장 인기가 많은 팀이라는 점은 부정할 수 없는 사실이고 위에서도 서술됐든 '쾌락 중시형' 범죄인 이번 디도스의 특성상 날이 갈 수록 T1측에 대한 공격이 심해진 것도 사실이다. 거기에 페이커나 케리아를 비롯해서 T1 선수들이 디도스 공격범에게 비판적인 입장을 표명하자, 이에 보복하려는 심보였는지 공격이 더욱 T1 쪽에 집중됐다.

결국 T1 측은 6월 8일 입장문을 통해 "T1 LOL 선수단의 스트리밍을 무기한 중단하겠다"고 선언하기에 이르렀다.# 특히나 이 공격이 악질이었던 것은 T1측이 디도스 공격을 방어하자 선수들과 큐가 잡히는 일반인들을 무차별 공격해서 솔랭을 할 수 없도록 만들어버렸다는 점이다.

라이엇 게임즈는 "아무튼 우리 잡고 있다고"라며 입장 표명을 한 번 한 게 전부였으나, T1이 스트리밍을 중단한다는 폭탄선언을 하자마자 부랴부랴 "디도스 공격범을 잡기 위해 총력전을 펼치겠다"#라는 입장을 표명했다. 다만 여태까지 해결하지 못하고 있었던 문제를 선언 한 번 했다고 할 수 있을리도 만무하고, 다른 팀들도 전부 문제를 겪고 있을 때는 아무 입장 표명 없이 뒷짐만 지고 있다가, T1에 피해가 집중되자 그제서야 꼴랑 입장 표명을 하나 한 것이라 욕을 먹고 있다. 거기에다가 게임 보안 프로그램을 데미시아에서 라이엇 뱅가드로 급히 바꾼 이유도 디도스를 막기 위함이라고 짐작되는데, 정작 디도스는 전혀 막지 못하고 있으며 오히려 뱅가드가 온갖 패악질을 부리고 있는 탓에 더더욱 라이엇에 대한 비판 여론이 많다.

이후 몇 달이 되도록 디도스 공격에 대한 대책은 준비되지 않고 있으며 이에 T1도 계속 스트리밍을 송출하지 못하고 있다.

6.2. 정치계

7. 피해 사례

===# 2023년 12월 #===
===# 2024년 1월 #===
===# 2024년 2월 #===
===# 2024년 3월 #===
===# 2024년 4월 #===
===# 2024년 8월 #===
===# 2024년 9월 #===
===# 2024년 10월 #===
===# 2024년 11월 #===

8. 여담

9. 관련 문서



[1] [단독] "아싸, 날렸다" 유튜버 타깃 디도스 공격… "방송하려면 돈" 요구도 / JTBC 뉴스룸 (2022. 6. 6.)[2] 어느 한 배틀그라운드 모바일 방송인이 해커가 보낸 링크를 클릭하고 그 해커는 링크를 이용해서 IP를 갖고 사설 해킹툴을 통해 디도스 공격을 했었다. #2[3] 기술적 의미로는 디도스는 후자만을 의미하지만 편의상 스트리머에게 시행되는 해킹을 디도스로 퉁쳐서 부르는 듯.[4] 다만, 마인크래프트는 보통 사설 서버를 파고 게임을 하기에, 해당 서버 주소만 알면 터뜨리기 쉬워 이전에도 사례가 많았으므로 이 공격 방식 때문에 터지는 것인지는 불확실하다.[5] 무슨 말도 안 되는 소리인가 싶겠지만, 2023년 미국 국방부 기밀문건 유출 사태와 같이 단순히 자신이 이렇게 대단한 사람이라고 관심 받고 싶어서 기밀을 유출하는 멍청한 짓도 벌일 정도로 인간의 과시욕은 무시 할 게 못 된다.[6] 대포통장 같은 불법적인 방법이 아니라면 계좌 추적으로 바로 잡히고, 암거래의 대표주자로 꼽히는 비트코인이라고 무적은 아니다. 비트코인 지갑은 기본적으로 누가 소유주인지 알 수 없지만 지갑에 들은 비트코인을 거래소에서 돈으로 바꾸는 과정에서 신원이 노출된다. 즉 해당 지갑에서 어느 거래소로 비트코인이 빠졌는지 확인하고 추적이 가능한데, 비트코인을 받으려면 지갑 주소를 공개해야만 한다.[7] 파일:롤 클라이언트 디도스 툴 디스코드 캡처.jpg[8] 파일:롤 클라이언트 디도스 툴 디스코드 캡처1.png[9] 그래서 원래는 이러한 불법 도박 단체들이 프로급의 큐에 잡히는 아이디를 사거나 혹은 해당인을 매수해서 고의 트롤링을 하는 것으로 승부조작을 했다고 한다.[10] 한 판 한 판 배당 금액이 엄청난 페이커와 T1선수들, 그리고 쵸비, 쇼메이커 정도가 롤을 하게 되면 자기 자신은 디도스에 큰 영향을 받지 않고 있다. 그러나 이 선수들 모두 계약상 방송은 켜야하는데, 정작 롤을 하면 타인에게 피해를 주는 딜레마에 빠져 있기에 최근에는 방송을 켜고 롤이 아닌 점프킹, 테트리스 등 다른 게임으로 방송 시간을 보내고 솔랭은 뒤에서 조용히 하고 있다.[11] 채용하고 있는 해외 게임사들도 대부분 한국 게임을 퍼블리싱 하고 있는 회사들이다. 그나마 아시아권에서는 조금 활발하게 쓰이며, 일본의 스퀘어 에닉스가 채용한 것이 대표적이다.[12] 다만 P의 거짓은 멀티 플레이가 없기 때문에 XIGNCODE가 필요하지 않은 환경이므로 실제로 탑재되어 있는 지의 여부는 확인되지 않았다.[13] 라이엇이 아니라 모회사인 텐센트에서 운영/관리하고 있고 클라이언트도 다른 지역과는 다른 독자적인 것을 사용한다.[14] 대체적이라고 한 이유는 데디케이티드 서버를 사용하는 게임이라고 해도 일부 기능에서는 P2P 통신을 사용하는 경우가 있기 때문이다.[15] 이마저도 레지스트리는 남아있는 경우가 많아, 레지스트리는 수동으로 제거해주던가, 완벽하게 제거할려면 언인스톨 툴로 제거해야된다.[16] 특히 KT의 경우 통신사에서 의도적으로 바이러스를 배포한 사례가 있는 만큼, 의도적으로 배포한 보안 문제가 KT 이외의 제 3자에 의해 악용되고 있을 가능성도 있다.[17] 일례로 고작 이미지 생성 사이트였던 NovelAI의 소스코드를 뜯어내기 위해서 취약점 공격을 한 사례가 있듯이, 제로 데이 공격이 꼭 돈과 연관되어 있는 일에만 쓰이는 것이 아니라는 것을 알 수 있다.[18] 그럴 리는 없지만 만약 통신사 자체의 문제점이 맞을 경우 해당 취약점이 북한에 넘어가는 즉시 국가 전체가 지금 당장 일제히 마비되어도 전혀 이상하지 않는다는 것이므로, 휴전국인 대한민국 안보가 초비상 상태가 된다. 통신사의 실책임이 밝혀질 경우 트위치 한국 사업 철수 사건을 가볍게 씹어먹는 수준으로 엄청난 파란이 발생할 수 있으나, 역으로 말하면 이런 취약점을 잘못 팔아먹었다가는 국가기관이 움직여 팔아먹은 사람을 무슨 수를 써서라도 수색할 것이 뻔해 이런 짓은 오히려 하지 않을 가능성이 더 높다.[19] 무엇보다 같은 통신사 망을 사용하고 있는 2부리그 LCK CL은 정작 디도스 공격 없이 정상적으로 생중계 방송되고 있다.[20] 이는 트위치 철수 및 망 사용료와 연관되어 있던 통신사에 대한 불신의 목소리가 높았던 것도 있지만, 대체로 특정 지역에 거주 중이라는 점에 집중된 것.[21] 이로 인해 불만을 가진 시청자들이 인신성 모욕 등을 하기도 했다.[22] 마크 서버 운영 경험으로 디도스를 겪어본 바 있는 악어는 이번 상황도 마찬가지였다며 디도스를 강하게 의심했었다. 하지만 당시만 해도 서버가 아니라 개인 IP에 대한 디도스는 쉽지만은 않을 것이라는 의견이 주를 이뤘었다.[23] 평소에도 이런 경우가 있었고 이쪽으로 매우 유명하였다.[24] 그나마 연승이 끊기고 시청자들의 분위기가 롤보다는 리썰컴퍼니 합방을 원하는 방향으로 흘러가면서 이후 방송은 무사히 대체되어 진행되었다.[4사동출] 노돌리, 명훈[4사동출] [27] 1세트: 25분 50초 / 2세트: 38분 17초 / 3세트: 37분 33초 / 쉬는 시간: +@[28] -20점[29] 이후 상술한대로 스타크래프트 대회 도중 디도스 공격을 받았던 마다옴과 롤 솔랭 방송을 하다가 역시 공격을 받은 클리드가 실제로 디도스 위로풍을 받기도 하였다.[30] 아프리카TV의 김민교고세구가 연속으로 디도스 공격을 당했던 것과 유사하다.[31] JSA vs 묵섭대 경기가 있었는데 감봉간 CK를 이유로 시조새와 섭이가 합의해 7시나 8시가 아닌 4시에 경기를 했다.[32] 당시 철기대와의 대학대전이 있었고, 무찌와 경기할 당시 스타, 프릭샷만 먹통이 되는 상황이 터져 결국 수장 신상문이 몰수패 선언을 했고, 이후 PC방 경기도 불가능해서 8세트 추첨경기서는 철구 측이 추첨볼에 안 넣고, 9세트 에결서는 소속 대학인 우끼끼즈의 밴카드 멤버가 되며 빠졌다. 대전 이후 정상으로 돌아왔다는 걸로 봐선 고의적인 디도스 공격인 듯.[33] 스타CK는 암묵적으로 9/5 단판 혹은 7/4로 2경기 진행 후 결판이 안나면 에이스 매치로 겨룬다.[34] 상술된 타임라인에서 볼 수 있듯, 페이커는 새 시즌이 시작된 1월부터 디도스 공격을 받고 있던 피해자 중 한 명이었다.