[GSC 2012] 다양한 보안 주제로 게임 업계 관심 이끌어
2012년 4월 4일, 서울 삼성동 그랜드인터컨티넨탈 호텔에서 '제 1회 게임 보안 컨퍼런스(Game Security Conference, 이하 GSC)'가 열렸다. 최근 게임업체들의 보안 관련 관심도가 높아지고 있는 가운데 열린 이번 컨퍼런스는 동아닷컴이 주최, 게임동아가 주관하고, 안철수 연구소, 팔로 알토(Palo Alto) 네트웍스, VMware, 소프트포럼, 한국 맥아피, 싸이버원, RSA 시큐리티, 한국 주니퍼 네트웍스 등 유명 보안 솔루션 회사와 넥슨, 엔씨소프트, NHN, 네오위즈게임즈 등 국내 유명 게임업체 보안 담당자 100여 명이 참석해 높은 관심을 드러냈다.
오전 9시부터 시작한 이번 행사는 경찰청, 팔로 알토, VMware, 소프트 포럼이 각각의 주제를 가지고 게임업체 담당자들 앞에서 공통세션을 진행했으며, 오후에는 온라인 게임과 모바일 게임으로 나뉜 트랙세션으로 진행했다. 특히, 8개 게임업체를 선정해 보안 업체가 1:1로 보안 관련 컨설팅을 진행하고, 최고의 보안 컨설팅 업체를 선정하는 ‘나는 보안이다’라는 스페셜 프로그램은, 게임사와 보안 업체가 서로 윈윈할 수 있는 좋은 계기가 되었다는 평가다.
안드로이드의 환경적 특징과 게임보안
안철수 연구소의 김기영 실장은 “국내 모바일 게임 시장은 빠르게 성장하고 있다. 스마트폰 출시 이후 게임업체는 크게 두 가지, 애플의 iOS와 구글의 안드로이드 버전으로 개발하는 것을 염두에 두고 있다. 그러기 위해서는 먼저 이 두 모바일 운영체제의 생태계와 특징, 다른 점을 알아야 한다”라며, “iOS와 안드로이드는 개발 코드 및 애플리케이션(이하 앱) 구동 방식도 다르고 앱 스토어 운영 방식도 다르다. 간단히 말해, iOS는 폐쇄적인 반면 안드로이드는 개방적이다”라고 설명을 시작했다.
그는 “iOS의 폐쇄적인 구조는 악성코드나 불법 앱 등의 차단을 완벽하게 해내고 있다. 게임 앱 뿐만 아니라 다른 앱에서도 거의 없다고 봐도 무방하다. 애플이 전부다 검증하는 방식이기 때문이다. 하지만 안드로이드는 다르다. 안드로이드가 출시된 이후 불과 몇 달 만에 몇 만 건에 달하는 악성코드가 검출되었다. 앱을 안드로이드 마켓에서만 내려받아 설치하는 것이 아니기 때문이다. 사설 마켓에서 내려받을 수도 있고, 사용자가 직접 구해서 바로 설치할 수도 있다. 결과적으로 앱을 검증할 수 있는 안전성이 iOS보다 떨어질 수밖에 없다”라고 말했다.
결국 그의 말에 따르면, 불법 앱이나 악성코드에 감염된 앱 등을 안드로이드에서 검증할 수 있을만한 방법이 현재로서는 마땅찮다는 뜻이다. 이어서 그는 “안철수 연구소에서는 안드로이드 앱을 검증하는 서비스와 솔루션을 준비 중이다. 검증을 거쳐 악성코드 등이 검출된 앱은 사용자와 해당 앱 개발자, 그리고 마켓 운영자 등에게 알려주는 방식이다. 또한, 게임 내 메모리를 변경하거나 게임 치트 등을 못하도록 차단하는 등의 솔루션도 준비 중이며, 이미 몇몇 안드로이드용 마켓을 운영 중인 곳에 탑재하려고 한다. 아마 올 하반기에는 완성된 솔루션을 선보일 것으로 기대한다”라며, “안드로이드 관련 게임의 보안은 처음부터 시작한다는 생각이다. 하나씩 하나씩 준비해 나가도록 하겠다”라고 말했다.
DB/네트워크 모니터링을 통해 보안을 강화
안철수 연구의 김기영 실장에 이어 한국 맥아피의 오진석 과장이 발표를 이어갔다. 그는 “모든 침해 사고의 25%는 데이터베이스(이하 DB)와 관련되어 있다. 즉, 특정한 시스템을 노리는 공격의 타깃은 DB다”라며 DB의 보안을 강화해야 한다고 말했다.
이어서 그는 “보안사고 중 내부의 주요 정보가 외부로 유출되는 패턴은 거의 비슷하다. 영화에서 보는 것처럼 해커가 외부에서 내부 보안 시스템을 뚫고 필요한 정보를 빼내가는 경우가 있다. 하지만 실제로는 이와 같은 경우는 그리 많지 않고, 시도 자체도 드물다. 일반적인 정보 유출사고의 시나리오는 내부에서부터 시작하는 경우가 많다. 정보를 유출하려는 내부 사용자가 외부와 접촉하면서 정보가 유출되거나, 내부에 감염된 PC(사용자)를 통해 유출된다”라고 설명했다.
그는 이처럼 내부에서 외부로 정보가 유출되는 경우를 대비해야 한다고 말했다. “아예 접근을 차단하는 보안도 있지만, 내부의 정보를 담은 데이터 이동 경로를 파악하는 것도 보안 대책이 될 수 있다. 그리고 내부에서 이동하는 데이터 이동 경로뿐만 아니라, 네트워크를 통한 데이터의 이동 경로도 확인 할 수 있어야 한다”라며, “맥아피는 DB 메모리를 모니터링하는 솔루션을 제공해 외부로 정보가 유출되기 전에 미리 파악할 수 있다”라고 강조했다,
온라인 게임 해킹 기술의 트렌드
안철수 연구소는 두 개의 트랙세션을 준비했다. 핵쉴드/전략제품 개발실의 김일용 선임은 그동안 국내에서 일어났던 게임 관련 해킹 기술의 사례를 자세하게 소개하며, 변화해온 해킹 기술의 트렌드에 대해서 설명했다. 그는 “초창기 PC 게임, 예를 들어 삼국지나 프린세]스 메이커 등의 과거 게임은 게임 내 데이터를 직접 변조하는 방식으로 이뤄졌다. 이 때는 (지금 들으면 기억할만한) 해킹 툴 프로그램이 유행했다. PC툴, 치트 오 메딕, 게임핵2.0 등이 그것이다”라고 발표를 시작했다.
이어서 그는 “PC용 패키지 게임이 점차 사라지고, 온라인 게임이 등장하면서 데이터를 직접 변경하는 방식은 사라졌다. 온라인 게임은 데이터를 자체 서버에서 저장하기 때문에 그 데이터를 직접 바꾸는 것이 쉽지 않기 때문이다. 이 때부터 나온 것이 코드변조/API 후킹 방식이다. 게임 내 정상적인 실행 흐름을 바꿔 비정상적인 실행 흐름을 만드는 것이 목적이다”라며, “그 이후에 나온 것이 디버그 레지스터(Debug Register)를 이용하는 것이었다. 게임 내 특정 동작을 수행할 때 해킹툴로 변경해 실행되도록 하는 방식이다”라고 설명을 이어갔다.
그는 “디버그 레지스터를 이용하는 방식 이후에 나온 것이 비정상 함수 호출 방식이다. 이는 공식적인 용어는 아니고, 안철수연구소에서 내부적으로 사용하는 용어로, AFC(Abnormal Function Call) 기법이 주를 이룬다. 예를 들어 설명하자면, 윈도에 처음부터 들어 있는 지뢰찾기라는 게임이 있다. 이 지뢰찾기는 사용자가 지뢰를 클릭하면 찾지 못한 지뢰를 모두 보여주며 다시 시작해야만 한다. 즉, 사용자가 틀렸을 때 지뢰를 모두 보여주는 명령어가 프로그램 내부에 있는 것이다. 이를 이용해 처음부터 지뢰를 미리 다 보이게 해주는 것으로, 게임 내 있는 명령어를 불러오는 것이다”라고 말했다.
마지막으로 그는 “지금의 게임 해킹 방식은 과거로 다시 돌아가고 있다. 데이터 변조에 코드 가상화 기법을 접목해 나타난다. 코드 가상화란 명령어 코드를 제대로 보이지 않게 만들어 분석을 어렵게 만드는 기술이다. 기존 명령어를 아예 다른 명령어로 보여주는 것이다. 물론, 방어 기술이 없는 것은 아니다. 데이터의 실행 루트를 감시하면 알아낼 수 있다”라고 설명했다.
설명을 끝낸 이후 그는 게임업체 담당자에게 한가지 당부도 전했다. 그는 “보안은 해킹 기술이 발전하는 속도보다 느릴 수밖에 없다. 그리고, 해킹에 대한 대처가 게임사/배급사마다 정책이 다르기 때문에 일괄적으로 대응하기가 어렵다. 예를 들어, 해킹 툴이 발견되었을 때 게임이 종료되길 원하는 게임사가 있는 반면, 사용자 정보만 원하는 게임사가 있는 식이다. 때문에 보안업체와 게임업체의 협력 대응이 필요하다”라고 말했다.
이번 GSC 2012의 트랙세션은 총 5개 업체에서 6개의 주제를 발표했다. 참고로 위의 3가지 세션 이외에도 RSA 시큐리티 정정화 과장이 ‘APT 공격에 따른 대응전략’, 한국 주니퍼 네트웍스의 황인각 수석이 ‘사용자 인식 기반의 능동적 게임센터와 모바일 오피스 보안 전략’, 싸이버 원의 이정상 이사가 ‘게임업체 보안관리 전략’ 등을 발표했다.
글 / IT동아 권명관(tornadosn@itdonga.com)