[GSC 2013] 모바일 게임 서비스 보안
2013년 3월 5일, 동아닷컴이 주최하고 게임동아가 주관하는 '제2회 게임 보안 컨퍼런스(이하 GSC 2013)'가 서울시 서초구 양재동에 위치한 엘타워에서 열렸다. 올해로 2회를 맞이하는 GSC는 최근 온라인 및 모바일 환경에서 자주 발생하는 해킹, 정보유출 등 보안 사고에 대한 방안을 제시하는 행사다. 특히, 각종 사고 사례를 통해 체계적이고, 실질적인 대처 방안을 논의해 많은 관심을 받고 있다. 작년에는 한게임, 넥슨, CJ E&M 등 주요 온라인 게임사의 보안 담당 실무자와 대표 보안 업체 관계자 등 약 100명이 참가했으며, 올해는 규모가 더 커졌다.
이번 GSC 2013에는 HP, IBM, 팔로 알토(Palo Alto), 파이어 아이 등 보안 업체 관계자와 학계 전문가 등이 연사로 참여해 해커들의 최근 공격 동향, 대처 방안 등의 정보를 제공했다. 특히, 최근 이슈가 되고 있는 모바일 게임 관련 보안 문제를 실제 사례 중심으로 설명해 눈길을 끌었다.
이날 행사에서 첫 번째 세션은 '모바일 게임 서비스 보안'에 대한 내용으로, 고려대학교 정보보호대학원 김휘강 교수가 발표를 진행했다.
모바일 게임 보안, PC와는 다른 접근 필요해
김 교수는 모바일 게임 보안은 기존의 PC 게임 보안과는 달리 접근해야 한다고 말했다. PC 게임과 모바일 게임에서 발생하는 공격 형태가 다르기 때문이다. PC 게임 해킹 사례로는 게임 봇을 이용한 계정 도용이나 현금 거래, 디도스 공격, 네트워크 침투를 통한 게임 아이템 복사 등을 들 수 있다. 반면 모바일 게임 해킹 사례로는 치팅(게임 정보를 조작해 게임 아이템을 복사함), 점수 조작이 주를 이룬다. 또한 문자메시지를 통해 가짜 앱 설치나 URL 접속을 유도해 악성코드를 유포하거나, 소액 유료결제를 유도하는 등의 스미싱 공격이 자주 발생하고 있다.
문제는 해킹 대응 조치를 취하기가 PC 게임보다 모바일 게임이 더 까다롭다는 것이다. 온라인 게임사들은 PC 게임에서 문제가 생길 경우 민형사 대응, 사이트 폐쇄, 광고 차단, GM의 수작업 모니터링 등을 수행해 왔으며, 기술적인 보호 조치도 여럿 마련해두고 있다. 예를 들면 아이템을 귀속 처리해 게임 봇이 이득을 얻지 못하도록 하거나, 제자리에서만 몬스터를 반복적으로 사냥하는 매크로를 막고자 몬스터를 이기지 못하도록 조치한다. 반복적인 행위를 하면 일그러진 문자를 입력해 일반 사용자와 게임 봇을 구별하거나, 서버에서 데이터마이닝 방식으로 분석을 해서 비정상적인 유저를 판별하거나, 사용자에게 신고를 받아 문제를 해결한다.
반면 모바일 게임에서 해킹에 대응하기란 상대적으로 쉽지 않다. 우선 많은 사용자들이 스마트폰을 탈옥 또는 루팅(제조사가 스마트폰 기능 상에 부분적으로 걸어둔 제약을 사용자가 임의로 풀어버리는 것)하는데, 이럴 경우 스마트폰 보안이 취약해 해킹에 대처하는 데 한계가 있다. 또한 블루스택(스마트폰에서 동작하는 앱을 PC에서 조작할 수 있도록 하는 프로그램)을 이용해 PC로 모바일 게임을 통제하는 것도 위협 요소가 된다. 이 외에도 PC의 MMORPG 게임과 달리 모바일 게임은 로그(정보화 장비나 네트워크 운영 과정에서 발생하는 모든 내용이 기록된 자료)를 그리 많이 생성하지 않아 비정상적인 유저와 정상 유저를 구분하기 어렵다.
네트워크 부문에서도 해결이 어렵다. 사용자들의 데이터 요금제에 따라 통신 비용이 발생할 수 있고, 네트워킹이 필요 없는 모바일 게임도 있기 때문이다. 또한 애플 앱스토어, 구글 플레이스토어 등의 플랫폼은 결제나 유통에만 그 역할이 치중되었으며, 게임 앱의 무결성을 검증하는 것은 플랫폼마다 다르다. 구글 플레이스토어의 경우 모든 앱의 악성 유무를 다 검증하지는 않는다.
책임 소재에도 논란의 여지가 있다. 예를 들어 게임 내 아이템 구매와 관련해 스미싱이 발생했을 경우 이동통신사, 결제대행사, 게임사별 보안 역할이나 협업에 대한 문제가 뚜렷하지 않다. 모바일 게임에서 소모성 아이템은 환불하거나 환수하기가 어려운데, 사용자에게 피해액을 돌려줄 경우 이동통신사나 결제대행사보다는 게임회사가 손해를 입을 확률이 높다.
게임 서버에서 보안 관리를 하는 것도 쉽지 않다. 우선 모바일 게임사는 대개 영세한 규모로, 큰 인기를 끈 게임을 제외한다면 대규모 인력을 투입하는 데 부담을 느낄 수 있다. 대기업과 비교해 모바일 보안 전문가가 부족하거나 보안에 신경 쓸 여력이 없다. 더구나 보통 모바일 게임의 수명은 3~4개월 정도로 짧기 때문에, 보안에 큰 투자를 할 만한 가치가 있느냐의 문제에 부딪치기도 한다.
그렇다고 모바일 게임 회사가 모바일용 백신, 모바일용 키보드 보안 솔루션을 공급하는 것도 무리가 있다. 사용자들도 PC 게임과는 달리, 모바일 게임 한 판 하려고 보안 프로그램을 여럿 설치하는 것에 거부감을 느끼는 경우가 많다.
스마트폰 시대, 보안 걱정 커졌다
모바일 게임 보안 문제는 피처폰(일반 휴대폰) 시절에도 있었지만 그리 심각하지는 않았다. 피처폰 시절에는 악성 앱 설치를 유도하거나 악성 게임 앱을 배포하기가 어려웠다. 무엇보다 폐쇄적인 이동통신사의 플랫폼으로 인해 많은 사람들이 즐길 만한 게임이 없었다. 따라서 해킹에 성공하더라도 금전적 이익을 얻을 것이 없었다. 그래서 대규모 피해 사례가 없었다.
반면, 스마트폰 시대가 도래하며 모바일 게임 보안 위협이 커졌다. 우선 악성코드를 배포하거나 악성 URL 문자를 보내 접속하도록 유도하는 것이 쉬워졌다. 앞서 언급했듯이 스마트폰을 탈옥, 루팅하는 사용자가 늘며 보안 위협도 증가했다. 또한 '애니팡', '아이러브커피', '드래곤 플라이트' 등 많은 사람들이 열광하는 모바일 게임이 등장했다.
특히 카카오톡, 페이스북 등 SNS를 기반으로 한 스마트폰 게임이 많은데, SNS와 연동된 게임은 그렇지 않은 게임보다 해킹 시 개인정보, 위치정보 등의 유출이나 확산 위험이 더욱 크다. 또한 SNS 기반 게임이 늘어나며, 해커가 SNS 친구를 사칭하고 사용자에게 접근할 우려도 커졌다.
결제 부정 이슈에 능동적으로 대처해야
이에 대해 김 교수는 모바일 게임사 측에 "결제 부정 이슈에 대해서만큼은 능동적으로 대처하라"고 조언했다. 스미싱과 같은 결제 관련 이슈는 위협을 알면서도 모바일 게임사가 직접 통제하기 어려운데, 사용자들의 불만이 가장 크게 일어날 수 있다. 심지어 사용자가 스마트폰을 탈옥하거나 부주의해 금전적 피해를 입었더라도, 다른 사용자들도 이와 같은 사례를 겪었다면 게임사를 탓할 수 있다. 이런 원망을 듣지 않고 지속적으로 성장하려면 결제 부정 해결에 적극적으로 나서야 한다.
결제 부정 이슈에 대응하는 방법으로 '서버 사이드 로그 조사'를 들 수 있다. 이는 결제 로그를 중심으로 결제 내역을 조사하는 것이다. 이를 통해 여러 단말기에서 일정 금액이 반복적으로 결제됐는지 확인할 수 있다. 또한 결제 부분과 관련해 데이터마이닝 기법을 도입하는 것이 좋다고 덧붙였다.
글 / IT동아 안수영(syahn@itdonga.com)