게임물관리위원회(이하 게임위)가 부산 파라다이스 호텔에서 '2018 불법 온라인 게임물 사후관리 강화포럼'을 진행했다. 

올해로 2회를 맞은 '불법 온라인 게임물 사후관리 강화포험'은 불법 온라인 게임물로 인한 게임산업과 이용자 피해 증가에 대응하여 유관기관 간의 유기적인 사후관리 협력체계를 강화하고자 마련됐다. 이날 포럼 현장에는 경찰청 사이버안전국과 전국 지방경찰청 사이버수사대 등 유관기관을 비롯해 관련 협단체 및 학계, 업계 관계자들이 참석했다.

포럼에서는 충북대학교 연수권 교수가 '게임보안 위협사례 및 대응방안'을 주제로 게임보안에 대한 강의를 진행했다.

게임보안 전문 인력 부족, 가벼운 인식도 개선 필요

게임보안이란, 게임 프로그램의 실행 중 발생할 수 있는 해킹에 대응하는 것은 물론 게임의 안정적인 서비스를 방해하는 모든 상황에 대비하는 것을 의미한다.

연수권 교수는 게임 내 아이템이 현금화될 수 있는 가치를 지니고 있어 해킹의 주요 대상으로 지목된다고 강조했다. 특히 최근에는 암호화폐 채굴 프로그램을 강제로 설치하게 하는 등 해킹의 방법과 범위가 확산되고 있어 게임보안의 중요성이 더욱 커지고 있다.

이어 그는 게임보안의 중요성이 커지고 있지만 게임에 대한 가벼운 인식으로 인해 활발한 논의가 이루어지지 않는 점에 대해 우려를 표했다. 금융권에서는 다양한 보안 프로그램을 제공하고 유저들도 이에 따르는 것과 달리, 게임에서는 유저들도 보안 프로그램을 불편한 것으로 인식하는 것. 그는 게임 내 보안을 철저히하는 한편, 유저들이 게임 이용에 불편을 느끼지 않도록 하는 환경이 필요하다고 말했다.

게임의 특수한 환경을 고려한 별도의 기술이 필요한 점도 게임보안이 넘어야 할 장벽이다. 일반적인 회사에서는 사설서버나 봇 등의 게임보안 관련 용어들을 접할 기회가 없으며 게임보안에 필요한 고난이도 기술들도 많다. 특히 게임보안을 위한 전문인력이 부족해 메이저 게임사의 경우 자체 솔루션을 개발할 수 있지만 여력이 없는 중소개발사의 경우 보안을 포기하는 사례들도 많다.

여기에 최근에는 모바일 디바이스로 게임 시장이 이동함에 따라, 기존에 발생하던 게임보안 관련 문제에 더해 새로운 이슈들이 등장하고 있다. 모바일 디바이스에서는 기존의 계정도용, 봇, 클라이언트 공격 등의 이슈에 더해 apk 리패키징, 인앱 결제 우회 등의 해킹 유형들이 추가로 존재한다.

연수권 교수는 "게임 내 보안 위협은 게임의 생태계를 붕괴시킨다는 점에서 유저와 게임사에게 막대한 피해를 입힌다"라며 "사설 서버와 핵 프로그램으로 인한 연간 피해액만 2조 4385억 원에 달한다. 전체 보안 관련 피해를 합치면 규모는 더욱 커진다"라고 말했다.

게임보안, 어떻게 유지할까

이처럼 유저와 게임사 모두에게 큰 피해를 입히는 게임보안을 막기 위해서는 어떤 노력이 필요할까.

클라이언트를 배포할 수밖에 없는 환경 상 리소스가 노출되는 것을 막기 위해서는 난독화 및 코드 가상화가 필요하다. 연수권 교수는 "난독화의 경우 아직 해외에서 연구가 진행 중이다"라며 "게임보안 위협을 100% 막을 수는 없기 때문에 여러 보호 시스템을 활용해야 한다"라고 말했다.

관리적인 차원에서도 게임보안에 대응해야 한다. 연수권 교수는 게임보안에 대한 정책을 마련해 게임보안 활동에 대한 근거 및 기준을 마련해야 한다고 강조했다. 특히 게임보안 전문 인력을 채용하고 양성하려는 노력이 필요하며 각 개발 단계별로 필요한 보안 요구사항을 세우고 대책을 마련해야 한다.

계정도용 역시 게임보안의 단골 이슈다. 일반적인 보안 프로그램은 특정 IP가 짧은 시간 동안 여러 차례 로그인 시도를 실패하면 계정도용으로 이를 간주하고 해당 IP를 밴 처리한다. 그러나 최근 해커들이 ID와 패스워드를 한 번씩만 사용하는 등 시스템의 허점을 노려 적발하는 것이 쉽지 않은 상황. 

계정을 도용해 로그인에 성공한 해커는 대부분 매크로 프로그램을 사용해 10분 정도의 짧은 시간 내에 계정의 아이템을 가져간다. 연수권 교수는 "10분 정도의 짧은 시간 동안 계정 도용 및 피해가 발생하는 만큼, 실시간으로 IP의 로그인 시도 횟수를 분석해야 한다"라고 말했다.

이 밖에도 게임 내 봇의 경우 해당 캐릭터의 로그를 분석, 임계치를 벗어나는 등 비정상적인 행동을 보이는 로그에 점수를 부여해 특정 점수 이상의 캐릭터를 밴 처리하는 방법으로 해결할 수 있다. 또한 사설 서버의 경우 무단으로 도용한 서버의 동작을 정지시키는 방어 코드를 통해 막을 수 있다.

정부, 기업, 학계의 관심과 노력 촉구

마지막으로 연수권 교수는 정부, 기업, 학계 차원에서 게임보안에 대응할 수 있는 방안을 제시했다.

먼저 정부 차원에서는 게임 보안 전문 인력을 양성해야 한다. 또한 게임보안 관련 피해 사례를 공유하고 이에 대응하기 위한 체계를 마련해야 한다. 특히 자체 솔루션을 개발할 수 없는 영세 게임 업체의 경우 정부 차원에서의 지원이 필요하다.

또한 기업들은 자사가 가지고 있는 게임보안 관련 기술을 공유하는 한편, 모니터링 결과물을 공유해 게임의 사설서버나 계정 도용 등의 문제에 즉각 대응할 수 있는 기반을 마련해야 한다. 학계 역시 게임보안 관련 전문 인력을 양성하는 한편, 관련 기술에 대해서도 끊임없이 연구를 진행할 필요가 있다.

연수권 교수는 "게임사 보안 담당자들의 경우 대부분 게임보안의 중요성에 대해 높은 인식을 가지고 있지만 관리 체계는 미흡한 상태다"라며 "게임 산업에 특화된 게임보안 관리 체계를 수립하는 한편, 이를 지속적으로 운영하는 것도 중요하다"라고 말했다.