이탈리아, 스트리밍 인증 코드를 탈취한 CINEMAGOAL 해적 앱 차단
이탈리아 당국은 넷플릭스, 디즈니+, 스포티파이를 포함한 다양한 스트리밍 플랫폼에 접근할 수 있게 해준 CINEMAGOAL 앱을 중심으로 한 불법 복제 생태계를 해체했습니다.
일반적인 IPTV 서비스 제공업체가 온라인에 자신들을 공개적으로 마케팅하고 운영 방식을 드러내는 것과 달리, CINEMAGOAL은 고객이 기기에 설치하는 앱을 이용해 훨씬 은밀하게 서비스를 제공했습니다.
‘Tutto Chiaro(올클리어)’라는 대규모 저작권 단속 작전 중 이탈리아 경찰은 전국에서 100건의 수색을 진행했으며, 관련 인물을 파악하고 불법 수익 규모를 추정할 수 있는 자료들을 압수했습니다.
재무부 산하의 법집행기관인 Guardia di Finanza에 따르면, CINEMAGOAL 운영자는 시청각 불법 복제, 무단 컴퓨터 접근, 컴퓨터 사기 등을 통해 수백만 유로의 수익을 올렸을 가능성이 높다고 합니다.
CINEMAGOAL 앱은 정식 스트리밍 플랫폼에 직접 연결되고, 해외 서버에서 가져온 유효한 복호화 코드를 사용해 인증했습니다.
이 시스템은 이탈리아 내 가상 머신을 이용해 정식 구독에서 3분마다 유효한 인증·복호화 코드를 캡처하고 이를 고객에게 재배포했습니다. 이러한 정식 구독은 Sky, DAZN, 넷플릭스, 디즈니+, 스포티파이 등에서 허위 신분 정보를 사용해 개설되었습니다.
당국은 CINEMAGOAL이 차단을 회피했을 뿐만 아니라, 사용자가 해적 스트림을 받는 것이 아니라 서비스 자체에서 직접 스트리밍을 받아 품질이 뛰어났으며, 고객의 실제 IP 주소를 숨겼다고 강조했습니다.
“플랫폼이 적용한 보안 차단을 우회할 뿐만 아니라 시청 품질을 향상시켜 최종 사용자가 ‘가로채지는’ 가능성을 줄인, 이전에 본 적 없는 고도화된 시스템”이라고 Guardia di Finanza가 설명합니다.
“위에서 언급한 애플리케이션에 접근할 때는 특정 IP 주소에 직접 연결되는 형태가 아니었기 때문에 최종 사용자를 보다 효과적으로 보호할 수 있었다.”
Eurojust가 주관한 공동 작전에서 경찰은 프랑스와 독일에 있는 CINEMAGOAL 서버를 압수했으며, 여기에는 앱의 소스 코드와 보호된 스트림을 해독하는 기능이 포함돼 있었습니다. 이번 작전에는 200명의 재정 경찰이 참여했습니다.
불법 스트리밍 사업에는 70여 명의 재판매자가 있었으며, 연간 구독권을 €40~€130(미화 $46~$150) 사이에 판매했습니다.
결제는 암호화폐 또는 해외 은행 계좌, 가짜 이름으로 등록된 계좌를 통해 이루어졌습니다.
CINEMAGOAL이 운영된 기간 동안 미지급 구독 수익으로 약 €300 million(미화 $347 million) 규모의 손해를 입힌 것으로 추정됩니다.
당국은 현재 압수한 자료를 분석해 최종 사용자까지 포함한 모든 관련자를 식별하고 총 이익을 추산하고 있습니다.
이미 다수의 구독자를 확인했으며, 최초 1,000명에게는 €154~€5,000(미화 $179~$5,800) 사이의 벌금을 부과했습니다.
Guardia di Finanza는 CINEMAGOAL에 대한 조사가 아직 초기 단계에 있다고 밝혔습니다.
같은 법집행 작전 중 “pezzotto”라는 IPTV 서비스도 확인돼 해체되었습니다.
The Validation Gap: Automated Pentesting Answers One Question. You Need Six.
자동화된 펜테스팅 도구는 실제 가치를 제공하지만, “공격자가 네트워크를 통과할 수 있는가?”라는 한 가지 질문에만 답하도록 설계되었습니다. 이 도구들은 여러분의 방어가 위협을 차단하는지, 탐지 규칙이 작동하는지, 클라우드 설정이 올바른지 등을 테스트하도록 만들어지지 않았습니다.
이 가이드는 실제로 검증해야 할 6가지 영역을 다룹니다.