13일 게임물관리위원회가 진행한 제2회 불법 온라인 게임물 사후관리 강화포럼에서 '게임보안 위협사례 및 대응방안'을 주제로 한 발표가 진행됐다.
발표자 충북대학교 연수권 교수는 게임보안에 대한 정의부터 게임보안 위협에 대한 체계적 관리 방안, 그리고 정부와 기업, 학계 차원에서의 보안 대응 방안에 대해 언급했다. /디스이즈게임 김지현 기자
게임보안이란 게임 프로그램 실행 중 발생하는 해킹에 대응하는 것은 물론 게임 서비스 이용 환경에서 발생할 수 있는 모든 해킹에 대비하는 것이다.
연수권 교수는 "게임 내 보안 위협은 게임 시스템 균형의 붕괴, 개인 정보 유출에서 그치지 않고 게임 산업의 경제를 무너뜨린다. 사설 서버와 핵 프로그램으로 인한 연간 피해액이 2조 4,385억 원에 달한다. 전체 보안 관련 피해를 합치면 규모는 더욱 크다."라며 게임 보안 위협 문제의 심각성을 강조했다.
여기에 최근 모바일 플랫폼으로 게임 시장이 이동하면서 기존에 발생하던 계정도용, 봇, 클라이언트 공격문제 뿐 아니라 apk 리패키징, 인앱 결제 우회 등 새로운 보안 문제들도 등장하고 있다.
게다가 중소 개발사의 경우 사설서버나 봇 등 게임보안 관련 용어를 접할 기회가 적으며 게임보안에 필요한 기술을 익히지 못한 경우도 많다. 특히 게임보안 전문 인력이 적은 중소개발사는 보안 부분을 포기하는 경우도 있다.
연수권 교수는 게임보안 위협을 막는 방안으로 '난독화'와 '코드 가상화'를 언급했다. 이 두 가지 방법은 클라이언트를 배포할 수밖에 없는 개발 환경상 리소스 노출을 막기 위해선 필수적인 부분이다. 연 교수는 "난독화의 경우 아직 해외에서 연구가 진행 중이며, 게임보안 위협을 전부 막을 수는 없다. 그렇기에 게임사는 여러 보호 시스템을 적극적으로 활용해야 한다."라고 말했다.
이어서 그는 "게임보안 관련 정책을 마련해 게임보안 활동에 대한 근거와 기준을 마련해야 한다."며 관리적 차원에서의 게임보안을 강조했다. 특히 게임 보안 전문 인력 양성과 클로즈 베타, 오픈 베타, 정식 오픈 등 게임 개발 단계별 필수 보안 요구사항을 세우고 대책을 마련해야 한다고 말했다.
연 교수는 계정도용 방안도 함께 언급했다. 일반적인 보안 프로그램은 특정 IP가 짧은 시간 동안 여러 번 로그인 시도에 실패하면 이를 계정도용으로 간주, 해당 IP를 차단한다. 하지만 적발되는 횟수 이상의 로그인 시도를 하지 않는 등 시스템의 허점을 노려 보안을 위협하는 해커들로 인해 적발이 쉽지 않은 상황이다.
게다가 게임사의 백신, OTP, 키보드 보안 프로그램 설치는 금융권처럼 의무가 아닌 선택 사항이다. 여기에 OTP의 경우 데이터 망을 이용하기 때문에 해커들의 진입을 완전히 막지도 못한다. 즉 게임보안 위협의 완전한 사전 방지는 불가능한 상태다.
이에 대해 연 교수는 '사후 로그 분석'의 필요성을 강조했다. 가령, 계정을 도용하는 해커의 대부분은 매크로 프로그램을 사용해 10분 이내의 짧은 시간 안에 게임 아이템을 가져간다. 이렇게 아주 짧은 시간 안에 계정 도용 피해가 발생하는 사례는 IP 로그인 시도 횟수에 대한 실시간 로그 분석이 필요하다.
마지막으로 연수권 교수는 정부, 기업, 학계 차원의 게임 보안 대응 방안을 세 가지로 정리했다. 첫 번째는 '정부의 전문 인력 및 기업 양성'이다. 실질적인 보안 업무에서는 악성 코드 분석이나 대응책 마련 등 실질적으로 필요한 부분의 인력 교육이 다소 미흡한 상태다. 특히 자체 솔루션을 개발할 수 없는 중소 게임 기업의 경우 정부 차원에서의 지원이 필요하다.
두 번째는 '기업 간의 게임보안 기술 공유'다. 대형 메이저 게임사의 경우 이미 다양한 방법을 적용해 게임 보안을 관리하고 있다. 대형 게임사의 게임 보안 기술 사례나 모니터링 결과물을 공유한다면 모든 위협을 불가능해도 일반적인 수준의 보안 위협은 대응할 수 있기 때문이다.
세 번째는 학계의 적극적인 게임보안 관련 연구다. 현재 우리나라의 온라인 게임 보안 연구는 타국보다 뒤처진 편이다. 게임 보안 기술을 연구, 기업에서 기술로 전환할 방안을 구상할 필요가 있다.
디스이즈게임 댓글 ()
페이스북 댓글 ()
디스이즈게임
