엔비디아 ‘지포스 나우’ 게이머 신상 대거 유출... 서비스 업체 해킹

[보안뉴스 김형근 기자] 엔비디아의 클라우드 기반 구독형 게임 서비스 ‘지포스 나우’ 이용자 신상 정보가 대거 유출됐다.

해외 보안 전문 매체 사이버시큐리티뉴스는 지포스 나우 공식 서비스 제공사 GFN.AM의 백엔드 데이터베이스가 해커들에게 털렸다고 보도했다.

▲지포스 나우 서비스 이미지 [출처:엔비디아]

이번 공격은 3월 9일(현지시간)에 발생했으나, 업체는 약 두 달이 지난 5월 2일에야 이를 인지해 보안 공백을 고스란히 드러냈다.

조사 결과 3월 9일 이전 가입한 모든 사용자가 직접적 타격 대상이 된 것으로 확인됐다.

유출 데이터에는 이메일 주소, 전화번호, 생년월일, 플랫폼 사용자 이름 등 개별 사용자를 정확하게 식별할 수 있는 핵심 정보가 포함됐다.

특히 구글 계정 연동 사용자는 이름과 성이 통째로 노출돼 향후 사회공학적 공격에 악용될 위험이 매우 크다.

공격자은 보안 모니터링의 허점을 틈타 54일이나 시스템 내부를 활보하며 데이터를 지속적으로 탈취했다.

계정 비밀번호는 유출을 면했으나, 노출된 신상 정보만으로도 맞춤형 피싱 공격의 미끼가 될 수 있는 상황이다. 보안 전문가들은 이번에 유출된 대규모 데이터가 다크웹에서 거래돼 향후 스미싱이나 금융 탈취로 이어질 수 있다고 경고했다.

업체 측은 사고 공개 후 무단 액세스 원인을 지체 없이 제거하고 보안 통제를 강화했다고 발표했으나 2타 공격의 가능성은 여전히 예상되고 있다.

이번 사건은 클라우드 기반 서비스 공급망이 얼마나 취약한 공격 대상이 될 수 있는지 보여주는 사례다.

초기 침입 후 발견까지 두 달 가까이 소요된 점은 기업 보안 감시 기강이 무너져 있었음을 방증한다.