배틀그라운드 같은 대형 온라인 게임에서 핵은 갑자기 하늘에서 떨어지지 않는다. 눈에 보이는 건 에임봇이나 ESP처럼 즉각적인 치팅 기능이지만, 그 뒤에는 계정 탈취, 대량 자동화, 결제 사기까지 이어지는 촘촘한 생태계가 있다. 그 생태계의 중추에 크리덴셜 스터핑이 놓여 있다. 유출된 이메일과 비밀번호 조합을 자동화로 무차별 대입해 계정을 뚫는 방식, 게임 업계에서 벌어지는 핵 유통과 계정 거래의 연료다. 핵은 부정 이득의 도구이고, 계정은 현금화의 수단이다. 이 둘을 붙여주는 접착제가 바로 재사용된 비밀번호다.
현장에서 본 연결고리
보안팀으로 일할 때 주말 자정 무렵 로그인 실패 그래프가 들쑥날쑥하다가 갑자기 톱니처럼 규칙적인 파형으로 바뀌는 날이 많았다. 전국의 플레이어가 동시에 비밀번호를 틀릴 리가 없으니, 이건 봇이 때리는 신호다. 몇 시간 지나면 비정상적인 헤드샷 비율, 새벽에만 접속하는 해외 IP, 갑자기 늘어난 환불 요청이 잇따른다. 내부 대시보드에서 계정 접속 지역과 결제 시점이 엇박자로 벌어지면 거의 항상 그 뒤에는 크리덴셜 스터핑이 있었다. 그 계정 일부는 배그핵을 돌리다가 반영구 정지를 배그핵 맞고, 일부는 인게임 재화를 외부 마켓에서 팔아 현금화된다. 돌려 말할 것 없이, 유출된 크리덴셜이 핵 생태계의 연료 공급선이다.
크리덴셜 스터핑은 어떻게 작동하는가
작동 원리는 단순하지만, 범위와 속도가 문제다. 공격자는 과거 유출에서 모은 이메일과 비밀번호 쌍을 하나의 사전처럼 취급한다. 로그인을 시도하면서 장치 지문, 프록시 회전, 헤더 조작으로 정상 사용자처럼 보이도록 위장한다. 속도는 초당 수십에서 수백 회다. 잘 만든 툴은 계정 잠금 한도 직전의 실패율을 유지해서 레이트 리밋에 걸리지 않는다. 한 서비스에서 뚫지 못해도 다른 서비스에서 맞을 가능성을 노린다. 다계정 운영을 전제로 만든 게임 계정 시스템은 이 공격에 취약하다. 로그인 실패를 과하게 제한하면 정상 사용자도 막히고, 느슨하게 두면 봇이 파고든다. 이 균형점 잡기가 어렵다.
게임사 입장에서 더 까다로운 점은 성공률의 변동성이다. 대형 유출 직후에는 성공률이 1에서 2퍼센트로 튀고, 그 다음 주에는 0.2퍼센트로 떨어진다. 숫자만 보면 낮아 보이지만, 시도 횟수가 수백만이면 탈취 계정은 금세 수천 개가 된다. 공격자는 이 계정을 토대로 배그핵을 배포한다. 새로 가입한 계정보다 탈취 계정이 더 값진 이유는 이미 레벨과 스킨, 결제 이력이 있어 신뢰 점수가 높기 때문이다. 제재 회피에 유리하다.
데이터 유출과 재사용된 비밀번호의 진짜 비용
비밀번호 재사용은 설명이 필요 없는 위험이지만, 체감은 쉽지 않다. 이메일 하나와 비밀번호 하나가 여러 서비스에서 동시에 작동할 때 공격자의 수익 모델이 급격히 유리해진다. 한 번 로그인에 성공하면 공격자는 두 가지 노선을 탄다. 핵을 설치해 계정을 쓰고 버리거나, 계정 자체를 판다. 전자는 손에 묻히는 방식, 후자는 리셀링으로 위험 분산을 노린다. 어느 쪽이든 핵심은 초기투자 대비 수익이다. 도난 데이터는 테라바이트 단위로 돌아다니지만 유효 조합은 그 중 극히 일부, 그래도 어뷰저 입장에서는 충분하다. 성공 계정 하나로 수십 달러의 재화를 훔치거나, 아이템을 옮기거나, 핵 구독에 담보로 쓰면 원가를 회수한다.
여기서 개인정보 유출이 다시 의미를 가진다. 단순한 크리덴셜만이 아니라 이름, 생년, 전화번호가 붙은 데이터는 계정 복구 과정까지 뚫는 데 쓰인다. 고객센터에서 묻는 확인 질문에 대해 반쯤 맞는 답을 할 수 있고, 공격자는 남은 빈칸을 사회공학으로 메운다. 어떤 현장에서는 생년월일 두 자리만 정확히 맞아도 복구 링크를 보낸다. 이런 사소한 허점이 계정 탈취의 지속성을 보장한다.
공격 인프라의 진화
크리덴셜 스터핑은 더 이상 단일 툴이 아니다. 프록시 제공업체, 모듈식 툴, 서드파티 캡차 우회 서비스, 장치지문 위조 도구가 시장처럼 연결돼 있다. 공격자는 값싼 가정용 IP 대역을 대여해 프록시로 쓰고, 세션 단위로 회전한다. 정교한 도구는 헤더의 수십 가지 필드를 정상 브라우저와 동일하게 맞춘다. 일부는 브라우저 자동화를 완전히 숨긴다. 게임 런처나 웹 로그인 페이지에서만 막아서는 충분하지 않다. 모바일 앱 로그인까지 노리면 MFA 우회를 곁들인다. 알림형 푸시 인증을 반복 전송해 사용자가 실수로 승인을 누르게 만드는 방식은 예상보다 잘 통한다.
여기서 독특한 흐름이 하나 더 있다. 배그핵 배포자 일부는 핵 자체에 정보탈취 기능을 숨긴다. 사용자가 핵을 설치하자마자 브라우저 쿠키, 세션 토큰, 디스코드 토큰을 긁어 원격 서버로 보낸다. 이것만으로 계정 접수에 성공하는 경우가 많다. 피해자는 핵을 설치하기 전보다 설치한 직후 더 쉽게 계정을 잃는다. 이중의 아이러니가 생긴다. 핵을 쓰다 계정이 정지되면 불만을 토로하지만, 실제로는 핵이 계정 탈취의 발화점이기도 하다. 배그핵을 찾는 과정 자체가 개인정보 유출의 입구인 셈이다.
왜 게임 계정이 표적이 되는가
게임 계정이 이메일이나 은행보다 덜 민감하다고 생각하는 사람은 꽤 많다. 그 판단은 금방 바뀐다. 고레벨 계정은 시세가 붙는다. 아이템과 스킨은 외부 마켓에서 현금처럼 거래된다. 일정 레벨 이상의 계정만 입장 가능한 모드나 토너먼트가 있으면 프리미엄이 붙는다. 또 다른 이유는 수사 강도의 차이다. 신용카드 도난은 곧장 법적 조치로 이어지지만, 계정 탈취는 피해자가 많아도 사건 단위의 피해액이 작아서 느리다. 공격자는 리스크가 낮고 회전율이 높은 시장을 선호한다. 게임 계정이 여기에 딱 맞는다.
운영사의 방어가 약하다는 점도 빼놓을 수 없다. 로그인 시점에서의 강한 인증보다는 게임 내 치팅 탐지에 인력이 집중되는 경우가 있다. 안티치트가 치팅 행동을 감지해도 로그인 자체에서 이미 털린 계정을 구분하긴 어렵다. 행동 패턴으로 감지하는 모델을 돌리려면 데이터가 많이 필요하고, 잘못하면 정상 사용자를 오탐한다. 이 균형을 맞추느라 실제 차단보다 지연이 길어진다. 공격자는 그 틈을 놓치지 않는다.
핵 유통 채널과 악성코드 묶음 판매
배그핵을 구하는 경로는 대부분 비슷하다. 검색엔진, 유튜브 설명란, 텔레그램 채널, 해외 포럼을 타고 들어간다. 무료 버전이나 크랙 버전은 거의 예외 없이 악성코드가 실려 있다. 설치하면 게임 내 치팅 기능은 겉으로 보이지만, 뒤에서 돌아가는 건 별개다. 최근 1년 사이에 봤던 사례 가운데 절반은 정보탈취형 악성코드였다. 브라우저 저장 암호, 세션 쿠키, 게임 런처 토큰을 긁는다. 여기서 모은 데이터가 다시 크리덴셜 스터핑의 재료로 들어간다. 결과적으로, 유출된 데이터가 핵을 낳고, 핵이 또 다른 유출을 만든다. 순환고리가 완성된다.
유료 핵이라고 해서 안전하다는 보장도 없다. 기능성만 나을 뿐, 설치자 입장에서는 신뢰할 통제권이 없다. 업데이트 명목으로 임의 코드를 지속적으로 내려받는 구조라면 위험은 더 커진다. 유료 핵 판매자는 라이선스 서버에 접속하는 클라이언트에서 장치 정보와 계정 식별자를 가져간다. 법적 위험이 있을 때 고객의 계정 목록이 곧 자산이 된다. 어떤 판매자는 단속 소식이 돌자 고객 데이터베이스를 통째로 팔아치우고 잠적했다. 이쯤 되면 사용자는 핵과 계정을 함께 잃는다.
사용자, 개발사, 사기꾼이 뒤엉키는 피해 양상
피해는 항상 복합적으로 나타난다. 월요일 아침 고객센터에는 무단 접속 신고가 몰리고, 화요일에는 결제 환불 분쟁이 늘어난다. 수요일에는 보안 로그에서 해외 로그인 실패가 바닥을 치고, 목요일 저녁에는 특정 서버에서 핵 신고가 폭증한다. 회계팀과 운영팀, 보안팀이 각각 다른 사건을 처리하는 느낌이지만, 실제로는 같은 파이프라인의 다른 지점이다. 유출된 크리덴셜이 계정을 열고, 핵이 게임 내 피해를 만들고, 그 흔적을 지우려고 계정 복구 요청이 들어오며, 결제 사기와 환불이 뒤따른다. 전선이 넓고, 각 팀의 우선순위가 엇갈리면 대응 속도가 떨어진다.
한 번의 크리덴셜 스터핑 캠페인은 24시간 안에 끝나는 경우가 많다. 이유는 단순하다. 방어측이 서명과 규칙을 업데이트하고, 공격자는 새로운 프록시와 자격 증명을 찾는다. 이 술래잡기가 몇 주, 몇 달 반복된다. 수치로 보면 하루 평균 로그인 시도는 평시 대비 3배로 튀고, 성공률은 0.5퍼센트 안팎을 오간다. 핵 신고는 그 다음날 최고점을 찍는다. 신규 제재는 일주일 내에 몰리고, 계정 복구 요청은 그 다음 주에 정점을 지난다. 이런 선후관계는 대체로 일정하다. 예외는 대형 세일 기간 같은 특별 이벤트다. 트래픽 자체가 급증하므로 공격자가 섞여들기 더 쉽다.
개인 사용자를 위한 최소한의 방어선
아무리 강한 안티치트를 얹어도 계정이 털리면 소용없다. 개인 사용자는 스스로 지킬 수 있는 최소한의 습관을 마련해야 한다.
- 각 서비스마다 다른, 길고 예측 불가능한 비밀번호를 쓰고 비밀번호 관리자를 활용한다. 가능한 서비스에서는 앱 기반 또는 하드웨어 기반 다중요소 인증을 켠다. SMS는 차선책으로만 쓴다. 핵이나 크랙을 설치하지 않는다. 탐난다면 테스트 계정, 격리된 환경에서 실험하되 민감 정보가 있는 브라우저와 동거시키지 않는다. 계정 활동 알림을 활성화하고 알 수 없는 로그인 알림이 오면 즉시 비밀번호를 바꾸고 세션을 종료한다. 이메일 계정을 루트 자격으로 취급한다. 복구 메일과 2차 인증의 관문이므로 가장 강한 보안을 적용한다.
개발사와 퍼블리셔가 취할 수 있는 실전 전략
한 번에 끝나는 비법은 없다. 그렇다고 수동 제재에만 의존하면 늦다. 환경에 맞게 다음 조합을 현실적으로 설계하는 편이 낫다.
- 로그인 단계에서의 가변적 마찰을 도입한다. 위험 점수가 높을 때만 추가 인증이나 퍼즐을 띄우되, 장치와 시간대, 과거 행동을 함께 본다. 레이트 리밋을 단순 IP 기준이 아니라 계정, 장치, 대역, 자격 증명군 단위로 적용한다. 실패 패턴의 동조화에 반응하는 정책이 효과적이다. 비정상 세션의 강제 종료와 토큰 무효화를 자동화한다. 의심스러운 토큰으로 결제 시도가 들어올 때 결제 전 차단을 우선한다. 계정 복구 절차를 강화하되, 오탈자나 언어 문제로 정상 사용자가 막히지 않도록 보완 경로를 둔다. 복구 정보에 대한 과도한 의존은 공격자에게도 유리하다. 안티치트와 계정 보안 데이터를 교차 분석한다. 신규 장치에서 고위험 로그인 직후 고의적 리포트가 몰리는 패턴을 조기 차단 룰로 승격한다.
탐지와 프라이버시 사이의 줄타기
강력한 디바이스 지문과 행동 분석은 효과가 좋다. 하지만 규제와 사용자 신뢰를 고려하지 않으면 역풍을 맞는다. 하드웨어 식별값을 과도하게 수집하면 법적 논쟁이 생기고, 일부 국가는 이를 민감정보로 본다. 지문 자체를 저장하지 않고 원웨이 해시나 가변 솔트를 쓰는 방법, 장치 특성의 서브셋만 조합해 확률적 식별을 하는 방법이 대안이 된다. 모델의 설명 가능성도 중요하다. 오탐을 줄이려면 규칙 기반과 학습 모델을 병행하고, 운영자가 현장에서 판별할 수 있도록 실무적 피처를 제공해야 한다. 예를 들어, 실패 횟수 같은 단일 지표보다 로그인 간 체류시간 분포, 동일 프록시 군의 계정 분산도 같은 지표가 판단에 유용했다.
CAPTCHA는 마지막 방어선으로 남겨두는 것이 좋다. 과도한 CAPTCHA는 전환율을 망가뜨린다. 보안팀과 퍼포먼스 마케팅팀이 함께 KPI를 공유해야 한다. 방어 지표만 보면 좋게 보이지만, 신규 가입과 과금이 줄면 사업 전체로는 손해다. 실제로 한 런처에서 고강도 챌린지를 상시 적용했을 때 신규 결제가 8에서 12퍼센트 줄었다. 반대로 위험점수 기반으로 시간대와 국가를 가려서 적용하니 피해는 거의 같고 전환 하락은 2퍼센트 이내로 감소했다.
법과 정책, 그리고 현실의 간격
핵 유통과 계정 탈취는 대부분 관할 외부에 서버가 있어 단속이 어렵다. 게임사 내부 규정과 약관 강화는 필요하지만, 실제 억지력은 한계가 있다. 그러나 결제사와의 협업으로 환불 사기를 줄이는 건 상대적으로 효과가 좋다. 로그인 지표와 결제 위험 평가를 공유하면, 탈취 계정의 첫 결제를 보수적으로 다룰 근거가 생긴다. 거래소와 마켓플레이스에 대한 신고 채널을 정비해 판매자를 차단하면 핵 판매자의 현금화 경로가 줄어든다. 여기서는 속도가 생명이다. 일반 법무 절차로 몇 달을 끌면 공격자는 이미 새 상호로 돌아온다.
데이터 유출 통지 제도도 변수다. 일부 국가는 통지를 받으면 즉시 패스워드 리셋과 착각 잠금 모드를 가동한다. 이런 프로세스는 대규모 오탐을 낳기도 한다. 현실적인 대안은 유출 데이터와 내부 로그인 시도를 교차 참조해, 일치하는 조합에서만 강제 갱신을 요구하는 방식이다. 사용자 입장에서는 덜 귀찮고, 공격자 입장에서는 한 번에 막히는 느낌을 받는다.
비용과 선택, 완벽 대신 체력전
현실에서 모든 계정을 보호하는 건 불가능하다. 목표는 피해를 억제하고, 공격자의 단가를 높여 수지를 맞지 않게 만드는 것이다. 강한 인증은 비용을 낳고, 고객지원도 부담을 늘린다. 그래서 제일 중요한 판단은 우선순위 설정이다. 고가치 계정군에 더 많은 마찰을 부여하고, 저가치 군에는 온보딩 경험을 지키는 선택이 합리적일 때가 많다. 한 게임사가 시도한 방식이 기억난다. 레벨, 결제 이력, 희귀 스킨 보유량을 기준으로 은밀한 등급을 매기고, 상위 10퍼센트 계정에만 비정상 로그인 시 하드 챌린지를 적용했다. 결과적으로 전체 전환율에는 거의 영향이 없었지만, 고가치 피해는 절반 가까이 줄었다.
내부팀의 협업 구조도 이런 체력전에서 차이를 만든다. 보안팀이 모델을 만들고, 운영팀이 룰을 다듬고, 고객지원팀이 설명 스크립트를 준비하는 루프가 빨리 도는 조직은 기민하게 반응한다. 반대로 기능별 사일로가 강하면 공격자는 항상 한발 빠르다. 로그 공유, 사례 리뷰, 가설 검증 주기를 짧게 가져가면, 정밀한 도구가 없어도 성과가 난다.
지평의 변화, 그리고 현실검증
패스키와 FIDO 기반 인증은 계정 탈취의 난도를 크게 끌어올린다. 피싱과 크리덴셜 재사용을 동시에 무력화한다. 이미 몇몇 대형 게임 런처가 점진적 도입을 시작했다. 다만 현실은 플랫폼 지원과 사용자 습관이 천천히 바뀐다는 점을 잊기 쉽다. 초기에는 선택형으로 제공하고, 보상을 얹어 전환을 유도하는 식이 합리적이다. 하드웨어 밴은 또 다른 논의다. 핵 사용자에게 장치 단위 제재를 내리면 얌전히 떠나는 사람도 있지만, 장치 지문 위조 도구가 상업화되어 효과가 오래가지 않는다. 계정 보안 강화를 병행하지 않으면 밴과 재가입이 끝없는 회전문이 된다.
클라우드 게이밍과 스트리밍은 양날의 검이다. 클라이언트 측 공격면이 줄어 핵 유포는 어려워지지만, 계정 단일화로 탈취의 보상이 커진다. 한 계정이 여러 게임에 열쇠가 되면 크리덴셜 스터핑의 수익률도 상승한다. 이 환경에서는 더욱 강한 인증과 세분화된 권한이 필수다. 결제, 트레이드, 고가치 행동에는 추가 서명을 요구하는 방식이 적합하다. 실제 사용성에 부담을 주지 않기 위해 타이밍과 빈도를 섬세하게 조절해야 한다.
실무에서 통하는 자가점검 질문
팀이 작은 곳일수록 복잡한 프레임워크보다 간단한 질문이 도움이 된다. 우리 로그인 실패의 80퍼센트를 설명하는 상위 5개의 프록시 대역은 무엇인가. 강제 세션 종료가 실제로 모든 플랫폼에서 일관되게 동작하는가. 위험 점수가 높아졌을 때 마찰을 추가하는 로직이, 같은 장치에서의 재시도에 대해 어떻게 진화하는가. 계정 복구 경로는 공격자에게 더 쉬운 우회로가 되어 있지 않은가. 신고 증가와 로그인 이상 징후 사이의 시간차는 얼마나 되며, 이를 줄일 수 있는 조직적 조치가 있는가. 이런 질문에 자신 있게 답할 수 있을 때, 수치의 변동이 일시적 요행인지 구조적 개선인지 가늠이 가능하다.
마무리
배그핵 유통과 개인정보 유출은 별개로 보이지만, 현장에서 보면 한 줄로 이어지는 사건이다. 유출된 크리덴셜은 계정을 열고, 계정은 핵의 운반체가 된다. 핵은 추가 유출을 낳고, 다시 계정이 털린다. 이 반복을 끊는 가장 현실적인 지점은 로그인, 즉 크리덴셜 스터핑의 비용을 높이는 일이다. 사용자는 비밀번호 관리자와 다중요소 인증을 습관화하고, 핵 설치라는 유혹을 데이터 유출의 입구로 이해할 필요가 있다. 개발사와 퍼블리셔는 위험 기반 인증, 세밀한 레이트 리밋, 토큰 위생, 교차 분석이라는 기본기를 견고하게 다져야 한다. 완벽함이 아니라 체력전의 승리를 목표로 삼을 때, 배그핵 시장이 빨아들이는 계정의 양을 현실적으로 줄일 수 있다.