기록 보관소

2025년 3월 5일에 필자가 스캠 계정에 의해 스팀 계정 탈취를 유도당한 일이 있어 분석 및 사례보존을 위해 글로 남긴다.

서론

어느 날 스팀 계정에 모르는 계정으로 친구 요청이 들어왔다.

슬쩍 보니 Team Fortress 2를 즐기는 유저처럼 보였고, 친구 추가한 정도로 뭘 할 수 있겠냐고 생각해서 받아 뒀던 것에서 시작된 일이었다.

나는 스팀 게임을 잘 안해서 그런 건지는 모르겠지만 별 일 없이 시간이 좀 흘렀다.

스캠 탈취 과정

그러다 3월 5일에 이녀석이 스팀 메시지를 걸어왔다.

(해당 스캠 계정과의 대화 전문은 계정 탈취가 끝난 시점에서 친구 삭제를 당해서 복구할 수 없었다.)

"Yuki ッ" 라는 닉네임이었는데(현시점 구글링으로는 찾을 수 없다) 자신을 22살 캐나다인이라고 소개하면서 꽤나 유창한 영어실력으로 말하는 것이었다.

나도 다행히 어느정도 영어 챗이 가능해서 이런저런 얘기를 하는데, 이녀석의 용무는 이러했다.

1. Team Fortress 2 아이템 거래요청을 나한테 잘못 걸었는데 거래가 성사된 것 같다. 거래내역 확인해달라

2. (거래내역은 커녕 TF2 플레이 사실도 없음을 알려준 후) 진짜 니가 맞냐 프로필 사진을 변경해봐라

3. (프로필 사진 변경 후) 이녀석과 친구가 내가 스캠 계정인줄 알고 신고를 넣어놨다. 빨리 대응해야 내 계정 정지를 막을 수 있다

4. (알겠다고 한 후) 스팀 고객센터 담당의 Skype를 알려주겠다 이녀석과의 대화기록을 가져가서 말해봐라

스팀 계정으로 뭐 잠깐 도와주면 되기도 하고 영어로 대화하는것도 오랜만이라 꽤 재미있게 대화하고 있었어서 아무런 의심 없이 유쾌하고 예의바르게 죽죽 진행해줬다.

이 시점에도 의문점이 없는 건 아니었는데 당시에는 유의미하다고 생각하지 않았다. 나열해보자면

1. 꼬맹이인지 어른인지 물어봤다. (등록된 결제수단 때문에 그런 게 아닐까 싶다)

2. 어휘가 그런 건 아니지만 중간중간 문어체에 가까운 딱딱한 문장구성을 보였다. (좀 배운 친구인가 싶었다. 지금 생각하면 AI 번역기능인듯)

3. 스샷캡쳐에 하이라이트를 굳이 넣어서 친절하게 나한테 가져왔다.

뭔 스샷을 빠릿빠릿하게 가져오는데 생각해보면 외국에는 이정도의 능지와 컴퓨터 이용 능력이 되는 인간이 드물다.

어찌되었든 문제 해결을 위해 고객센터 담당으로 보이는 "John Drury"라는 중년 남성의 Skype 계정에 챗으로 말을 걸었다.

챗에서의 John Drury는 정작 자신을 Report Cancellation Sector의 Steam Support 담당이자 소프트웨어 엔지니어라고 소개했다. 고객지원이랑 소프트웨어 엔지니어를 동시에 담당하는 직무가 어디에 있나 생각이 들긴 했다.

Skype는 다행히 전문 보존되어 있어 스샷으로 John Drury와의 전문을 일단 남긴다. 필자의 빈약한 영어는 양해 부탁.

챗 당시에는 프로필 사진이 달랐다.

더보기

 

John Drury라는 사람과의 대화는 요약하면 아래와 같다.

1. Victim report의 ticket number를 요구했다. (Yuki ッ가 보내준 이미지 안에 있었다.)

2. 여러 사용자로부터의 신고를 확인했다고 말했다.

3. 스팀 라이센스 목록의 스크린샷을 요구했다.

4. 모든 브라우저에서 스팀 로그아웃을 요구했다.

5. 스팀 계정 이메일에 계정 복구 버튼 클릭 후 진입한 URL을 요구했다.

6. 국가와 나이를 요구했다.

이 시점에서야 스캠 의문이 들어 더 이상의 대화는 중단했지만 이미 계정은 이메일이 바뀌어 탈취된 후였다.

이메일을 변경하여 정확히 기억은 안나지만 아이디 복구 이메일이 굉장히 긴 문자열의 아이디를 가진 깡통 gmail 계정이었던걸로 기억한다.

정확한 루트는 모르겠으나, 내가 보낸 라이센스 목록 스크린샷을 증빙하여 내 아이디 기반 계정 회복을 시도했고 내 이메일로 인증 메일을 전송하여 클릭이 일어난 후의 인증 정보를 포함한 URL을 가져갔을 것이며, 인증 이메일을 변경해 계정을 탈취한 듯 하다.

다행히 이전 구매에 사용한 카드 번호를 통해 계정을 복구할 수 있었고 계정에 접속해 보니 Yuki ッ라는 친구는 삭제되어 있었다.

여담

현시점 내용을 복기하며 생각해보니 개발자가 Skype를 통해 단독으로 이런 일을 수행하는것부터가 말이 안되는 것이었다.

귀찮아서 빠르게 처리하고 싶었고 대충 확인하고 빠르게 협조하다 보니 생긴 일이었다.

여담의 여담이지만 Skype는 2025년 5월자로 더 이상 사용하지 않게 되며 Microsoft Teams가 이 역할을 넘겨받는 것으로 보인다. 또 Skype 메시지의 자동 번역 설정은 철회할 방법이 없어 어색한 한국어로 대화 내용이 지속되는게 영어를 읽을 줄 아는 입장에서 굉장히 불편하다.

화면 공유까지 넘어갔으면 어떤 일이 일어났을지 좀 궁금하긴 하다.

참고로 John Drury라는 이름의 사람은 Valve의 Technical Infrastructure 담당인 듯 하다.

https://www.valvesoftware.com/en/people

Valve | Steam Support 라고 소개하고 있는 사칭 계정이 쓰고 있는 사진은

Mobile walla라는 회서의 영업이사 (VP Sales)를 맡고 있는 동명이인 John Drury의 것이다.

https://www.linkedin.com/in/john-drury-8404322/

애초에 처음에 친구 추가를 받은 이유는 Team Fortress 2 플레이시간이 100시간이 넘었기 때문이었는데 이것도차 탈취되었거나 조작된 기록이라는 점에서 요즘 스캠은 준비가 철저하다는 생각이 들었다.

정작 스캠 Yuki ッ 계정은 TF2가 trash game이라면서 비난했지만.. ㅋㅋㅋ

조금 검색해보면 이전부터 수없이 있었던 수법인 듯 하다. 여기에서 하나하나 링크를 달아가며 설명하기는 귀찮지만 Discord 계정으로 유도해서 스캠을 시도했다는 사람, 계정을 탈취당해서 등록해둔 결제수단으로 결제 유도용으로 등록한 비싼 깡통게임을 결제해서 손해를 봤다고 하는 사람, 스캐머를 역스캠해서 IP특정에 성공한 사람(이경우 필리핀으로 나왔다) 등등의 사례가 있었다.

필자는 스캠임을 안 시점에 카드 사용기한이 만료되어 어떤 카드로 갈아탈지 생각중이었고, 평소에 기프트카드 등을 이용하기에 직접 구매를 하는 일이 드물어 금전적 피해는 없었다.

덕분에 카드도 새걸로 바꿨고 별다른 피해는 없었으니 경각심을 일깨우는 정도의 효과가 있었다.

중간에 귀찮아져서 적당히 쓰고 끝내지만 나중에 더 깔끔하게 수정할지도 모르겠다.

Spam message analysis impersonating glu mobile 2D artist offer

서론

어느 날 (정확히는 2022년 6월 26일) 필자의 일러스트 투고 사이트 계정 DM으로 2D artist offer가 왔다.

bitly로 축약되어 offer 주체의 url을 확인할 수 없는 메시지였기에 수상하기도 하고 흥미가 생겨 조사해보았다. (이 글을 쓰는 시점에서는 삭제된 계정이어서 메시지 내용이 보이지 않아 이미지를 첨부할 수 없다)

유도 사이트 (telegra.ph)

먼저 축약된 bitly에서 유도되는 사이트는 아래의 telegra.ph사이트의 페이지이다.

telegra.ph는 메신저로 유명한 telegram에서 제작한 익명 블로그라고 한다. 딱 봐도 각종 불법 행위로 쓰이기 좋은 사이트.

glu mobile은 꽤나 인지도 있는 회사라고 할 수 있는데 이런 익명의 블로그를 빌어 offer 페이지를 만든다는 것 부터가 수상하다.

2022년 6월 5일에 최초 작성된 것으로 보이며 접속만으로는 문제가 없었다.

https://telegra.ph/Offer-for-you-06-04

위 telegra.ph 페이지 내용의 특징은 아래와 같다.

• 내용 중에 예시 작업물을 확인해보고 답신을 보내라는 내용이 있는데 연락 수단에 대한 이야기가 한마디도 없다
• 예시 작업물은 www.glu.com/examples 이름의 링크로 걸려있는데 내용물은 github repository 내부의 파일로 걸려있다
• 아래쪽 링크는 glu mobile 공식 홈페이지로 걸려있다
• 이 페이지를 계속 유지하면서 같은 내용의 다수 github 계정을 이용하여 유사시 링크를 변경한다

.rar 압축 파일 링크 사이트 (github)

github의 repository는 아래와 같이 구성되어 있다.

처음 확인했을때 github 계정은 GluMobiles라는 이름이었는데 지금은 이 계정이 삭제되고 GLUfiles로 대체되었다.
(진짜 glu mobile은 계정 이름이 GluMobile이며 비공개 repository를 가지고 있다)

https://github.com/GLUfiles/base1

내용 중 github 페이지의 특징은 아래와 같다.

• 다른 계정도 readme.md 내용이 다를 뿐 내부 구성은 같다
• 계정주에 의해 새로 커밋이 되기도 한다
• 세 개의 rar 파일 중 Glu examples 파일을 링크한다

원래의 GluMobiles 계정은 어떤 유저가 fork하여 repository를 유지하고 있는데 이 유저의 페이지는 아래와 같다.

https://github.com/MikeTheDead/downloads

rar 파일

github의 rar 파일 특징은 아래와 같다.

• 비밀번호는 모두 111이고 파일 이름에 쓰여있다
• 내용물은 Glu examples라는 이름의 rar 파일인데 jpg, png 이미지 몇개와 1.1.scr파일 (windows screensaver 파일)로 이루어져 있다

여기에서 .scr 파일을 실행하지 말자. 이 파일이 스팸 메시지의 핵심이자 backdoor를 설치하는 실행파일이다.

첨부된 이미지는 아래와 같다.

더보기

 

 

 

대체로 출처를 알 수 없었으나 Glu mobile examples(Password 111).rar 파일과 Glu examples(Password 111).rar 파일은 아래 세개의 이미지와 1.1.scr 파일을 가지고 있다.

예를 들어 2.2.png 파일을 받으면 2.1.png 파일처럼 달라는 의미로 넣어둔 듯 하다.
언뜻 기괴한 느낌도 드는 그림



아래는 Photo examples(password 111).rar 파일인데 NFT 작가들의 이미지라는 공통점이 있다.

더보기

 

 

 

 

조사한 바에 의하면
달 이미지는 Hossein Zare라는 작가의 NFT 이미지이다.
https://linktr.ee/hosseinzare

여자 이미지는 Elena Paraskeva라는 작가의 이미지이다.
https://www.elenaparaskeva.com/5146502-about

사례

루리웹에 인증 글을 올린 사례가 있는듯 하다. 보니까 피해 사례도 있는 것 같다.

https://bbs.ruliweb.com/community/board/300143/read/57174130

일본쪽 사례도 있는듯.

https://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10263805800

https://twitter.com/mii0317_/status/1540706340909113344?s=20&t=4eUlf3uxQyieV1TEhI0Mkw

이 사례를 다룬 블로그도 있다.

https://fireflyframer.blog.jp/32359017.html

마무리

scr 파일에 의한 공격은 2015년 언저리부터 보고되었는데 아직까지도 이를 이용한 사례가 발견되는 것을 보니 새삼 신기한 느낌도 든다.

계정에서 그림계정임을 추출하는 지표가 무엇이었는지는 사례를 더 봐야 유추할 수 있을 것 같다.


내부를 분석해보는건 귀찮아서 여기까지만..

이쪽을 공부하다 보면 흔히 오타쿠 문화라고 불리는 서브컬쳐와 관련된 요소들이 종종 보인다.

이 분야가 묘하게 힙스터스러우면서도 코드가 맞는 모양이다.

그래서 생각나는대로 간단한 설명과 함께 연관성을 조사하고 짚어보기로 했다.

Computer Security 관련 팁은 아니고 순전히 흥미본위의 글이다.

1. Mirai botnet (2016)

Mirai는 무작위 IP검색을 통해 보안 설정이 허술한 IoT 기기를 감염시켜 좀비화하고, 이들을 봇넷(botnet)으로 만들어 DDoS 공격을 위해 사용하는 worm malware이다.

흔히 "미라이 봇넷"으로 알려져 있으며 DNS서버를 공격하여 이를 이용하는 여러 사이트가 마비된 꽤나 유명한 사건이 있었다. 미라이 봇넷 이후로 여러 변종이 생겼는데, 어떤 malware는 암호화폐 채굴을 위한 봇넷을 만들기도 한다.

여기서 mirai는 malware 작성자가 보았던 애니메이션 "미래일기"의 이름을 따서 정했다고 한다.^[각주:1] 흔히들 얀데레 짤로 알려진 캐릭터가 이 애니메이션의 등장인물이다.

2. Armitage (2010~)

Armitage는 GUI를 이용하여 컴퓨터의 취약성 테스트나 remote system에 침입 테스트를 수행할 수 있는 오픈 소스 기반 도구이다.

실질적인 취약성 테스트 기능에 해당하는 Metasploit과 연동하여 frontend GUI를 제공하는 Java 기반 어플리케이션이며, 다른 도구에 비해 시각적으로 알기 쉽게 모의 exploit을 수행할 수 있는 점이 장점. 보안을 공부해본 사람이라면 한번쯤 다뤄보는 Kali Linux의 패키지로 관리되고 있어 꽤나 익숙한 도구일 것이다.

관련 자료를 조사하며 보니 Armitage는 Metasploit의 하위 프로젝트로 존재하다가 2016년에 떨어져 나왔으며, 공식 웹사이트가 지원 중지되고 지금은 Kali Linux의 패키지에서 소스 코드가 관리되고 있었다.^[각주:2]

정황상 Armitage의 최초 개발자인 Raphael Mudge가 2011년 상위집합 상업용 도구인 Cobalt Strike를 제작하였는데, Armitage와 마찬가지로 Metasploit에 종속적인 프로젝트로 존재하다가 Cobalt Strike 3.0 이후로는 Metasploit과의 종속성을 없애고 회사 소프트웨어로 편입한 것으로 보인다.^[각주:3] 이 과정에서 Armitage의 관리를 포기한 것으로 추정되며^[각주:4] 그래서인지 Kali Linux의 Armitage 패키지 버전은 2016년에 멈춰 있다.^[각주:5]

그렇다면 Armitage가 서브컬쳐랑 무슨 상관인가 싶은데, 일단 로고 디자인이 1995년 제작된 동명의 애니메이션 "Armitage III" (아미테이지 더 서드)의 여주인공 나오미 아미테이지와 유사해 보인다. 조사하며 알았는데 국내에는 잘 알려지지 않았지만 영미권에서는 당시 꽤나 유명했었다고 한다. 개발자가 이 작품에서 영감을 받은 듯.

또한 Total Xaker라는 러시아의 보안 관련 매거진 (지금은 폐간된 것으로 보인다) 40호^[각주:6]에 Armitage가 소개된 당시, 표지가 나오미 아미테이지의 피규어 버전인 것으로 보아 직접적인 관련이 있다고 생각했다.

아래 Total Xaker 40호의 pdf파일을 첨부해둔다.

3. TOMOYO Linux (2009~, Linux mainline)

TOMOYO Linux는 MAC(Mandatory Access Control)를 구현하는 리눅스 커널 모듈 형태의 LSM(Linux Security Module)중 하나이다. 리눅스는 기본적으로 소유자나 소유 그룹에 기반한 파일 접근 권한인 DAC(Discretionary Access Control)를 채택하고 있는데, TOMOYO Linux를 통해 추가로 MAC를 도입하여 파일 to 파일의 접근 권한 규칙을 규정하고 이에 따른 access control을 만들 수 있다. SELinux와 같은 기존 LSM보다 MAC를 사용하기 쉽다는 점이 장점.

최초 작성자는 한다 테츠오(半田哲夫)이며 2012년까지 일본의 NTT DATA사의 지원을 받았다고 한다. 지금까지도 버전관리 되고있는 모듈.^[각주:7]

로고에서는 리눅스를 의미하는 펭귄이 보안관 차림으로 있는 모습으로 리눅스 보안 모듈임을 나타내고 있다.

여기서 TOMOYO는 카드캡터 사쿠라(한국명 카드캡터 체리)의 등장인물 다이도우지 토모요에서 따온 것으로 추정된다. 아마도 보안 모듈이 일종의 감시카메라와 비슷한 역할을 한다는 것에서 착안한 것이 아닐까 싶다. 정작 작중에서는 사쿠라의 모습을 찍어두려는 사생팬같은 모습이었지만..

로고의 펭귄 캐릭터가 캠코더를 들고 있는 모습^[각주:8]과 개발자의 TOMOYO Linux 사례연구 pdf^[각주:9]의 수많은 카드캡터 사쿠라 캐릭터 그림들을 보면 확실하다고 할 수 있겠다.

이 외에 추가로 발견하는대로 조금씩 갱신할 예정.

가끔 인터넷방송을 한다. 보통 컴퓨터가 느려지는데, 실시간 encoding의 부하에 의한 현상이므로 encoding만 대신 해줄 수 있는 무언가가 있으면 좋겠다는 생각이 들었다. 그러던 중 집 구석에 박혀서 python 구동기로 사용되고 있는 raspberrypi 4가 눈에 들어왔다. 이친구 분명 4K streaming이 가능한 정도의 스펙을 가지고 있었던것 같은데..

이리저리 검색해보니 hdmi 캡쳐 카드와 v4l2-ctl, ffmpeg와 같은 유틸이 있으면 rpi4로 hdmi 신호를 받아 encoding한 후 RTMP 서버로 보낼 수 있는 방법을 누군가가 정리해두었다. hdmi 캡쳐카드야 그리 비싸지 않으니 한번 시도해볼만할것 같다.

참고 링크

github.com/PrawnMan/HdmiPi-Streaming

streamlabs.kr/2019/11/what-is-a-capture-card/

============================================================================

시도해 본 결과 램이 부족한건지 sd카드 용량이 부족한건지 알 수 없지만 영상과 소리가 제대로 캡쳐되지 않는 현상이 있었다

라즈베리파이로 하는 방식은 보류하고 다른 PC를 찾아서 인코딩용으로 쓰는 방법을 사용해야겠다

그 과정에서 이용한 커맨드 백업

아래 방식과 같이 csi를 사용하는 것도 생각할 수 있는데 이건 어떨지 모르겠다

github.com/pikvm/pikvm#diy-getting-started