"게임 해킹, 해커만 하는 것 아니다"

최근 넥슨 해킹 사건으로 게임 보안이 관심사로 떠올랐다. 상대적으로 높은 수준의 보안 시스템을 자랑하고 있던 대형게임사가 피해를 입으면서 이러한 분위기는 더욱 고조되고 있다. 시장 규모에 비해 게임 보안이 주목받지 못했기 때문에 이번 사건은 게임업계 보안 인식의 중요성을 각인시키는 결정적 계기가 될 것으로 보인다.

넥슨해킹 사건 이 후, 기자와 만난 안철수연구소 게임 보안팀 남성일 책임연구원은 다소 조심스런 모습으로 인터뷰에 응했다. 넥슨해킹은 게임 자체의 해킹이 아닌 개인정보 유출에 대한 이슈지만 게임유저들의 정보유출 피해가 발생하면서 오해하는 사람들이 많았기 때문이다.

“게임 보안에 대해 접근하는 개념이나 인식자체의 변화가 필요합니다. 솔루션을 사용하는데도 왜 뚫리느냐고 묻는다면 보안업계 입장에서는 할 말이 없습니다. 접근 개념자체가 다르기 때문이죠. 솔루션만 사용한다고 모두 완벽한 보안이 이뤄지는 것이 아니라는 점을 인지하고 최소한의 대비책으로 보안기술을 적용해야한다는 인식 자체의 전환이 필요한 시점입니다.”

■동남아 국가, 해킹은 게임 즐기기 위한 요소?

남 연구원은 게임 보안에 대해 접근하는 인식의 차이점에 대해 게임 이용자들과 게임사들의 입장 자체가 다르다는 점을 강조했다. 게임사들은 자신들의 자산인 게임을 보호해준다는 관점에서 보안에 접근하고 있고, 일부 이용자들은 게임을 즐기기 위해 해킹툴을 사용하고 싶다는 욕구가 있어 의견이 상충된다.

그러나 이러한 접근법은 장기적인 관점에서 봤을 때 게임 유저들에게도 좋지 않은 관행이다. 그는 게임업계에서 얼마나 많은 해킹공격이 이뤄지고 있는지 충격적인 이야기도 들려주었다.

“동남아 국가에서는 해킹툴을 이용해 게임을 즐길 수 있다며 PC방을 홍보하는 경우도 있습니다. 쉽게 말해 국내서 최고 사양의 시스템을 제공해준다고 홍보하는 것과 유사한 개념으로 광고를 하는거죠. 해외에서는 아예 게임을 즐기기 위한 한 형태로 해킹시도가 이뤄지고 있다는 말입니다. 게임보안 이슈는 단순히 해커들에 의해서만 생겨나는 것이 아니예요. 일부 유저들이 공격자인 경우도 비일비재하죠.”

그 만큼 게임에 대해 이뤄지는 해킹공격 시도가 많다는 이야기다. 이로 인해 게임 보안과 관련한 이슈는 너무나 많다. 또한 생각 이상으로 현재 게임 보안 솔루션이 적용된 게임의 수 또한 많다. 솔루션을 적용해 이용하고 있는 게임유저만 약 1억 6천만명에 달하는 것으로 추산하고 있다.

■게임 보안, 최신 보안 이슈의 중심

“최신 보안이슈가 가장 먼저 발생하는 분야가 바로 게임 보안입니다. 게임 이용자들이 실제로 고발하거나 적극적인 대응을 잘 하지 않기 때문에 인식이 부족해서 그렇지 다른 보안 영역보다 오히려 방어 기법이나 대응에서는 앞서 나간다고 자부합니다. 게임은 다양한 특수성을 모두 고려해 보안을 적용해야하기 때문이죠.”

그는 게임해킹은 최근 가장 성행하고 있는 지능형 지속가능 공격(APT)과 유사한 성격을 가지고 있다고 설명했다. 그 만큼 어떤 영역에서 어떻게 발생할지 알 수 없을 정도로 다양한 방식으로 해킹이 이뤄지고 있다는 것이다.

그는 최근 게임 보안 분야에서 가장 화두로 떠오르고 있는 이슈에 대해서도 일목요연하게 설명했다. 게임의 방법을 변경하는 메모리 데이터 변조 공격과 비정상 호출 방식이 가장 성행하고 있다. 일반적으로 코드변조 방식은 게임 보안솔루션을 통해 방어도 가능하지만, 수시로 변하는 데이터변조는 솔루션만으론 방어하기가 어렵다.

비정상적인 오토매크로 방식을 이용하는 경우도 있다. 키보드나 마우스를 통해 구현되는 기능들을 해킹툴을 이용해 다른 공격방식과 함께 이용하면 위력이 강해지기 때문이다.

“올해는 비공개 해킹툴을 이용한 대응이슈도 많았어요. 중국에서 만들어진 해킹툴이다 라는 소문만 무성한 해킹툴에 대응해야 하는 일들이 특히 많았습니다. 이것은 현재 게임 보안솔루션만으로 방어하기에는 한계가 있죠.”

이 때문에 그는 완벽한 방어는 힘들더라도 모니터링 시스템을 통한 악성 행위에 대해 신속하게 알려주고, 필터링할 수 있는 정보를 공유하는 방식이 필요하다고 지적했다.

■게임 보안, “게임사와 보안업체 함께 지켜야”

게임 보안을 적용할 때는 고려해야 할 사항이 폭넓다. 일단 게임 개발구조 자체가 단순하지 않고, 게임 유저와 제공자 두 가지 입장을 모두 고려해 보안을 적용해야 하기 때문이다.

예를 들어, 방어기능을 하나 적용하려고 하더라도 취약한 코드가 들어가면 오진이 나거나 오작동을 일으킬 수 있어 다양한 시스템을 모두 고려해야만 한다. 성능 이슈도 빠지지 않는다. 게임은 과부하에 민감하기 때문에 스캔기능과 같은 보안 기능을 추가하게 되면 성능이 떨어지는 경우도 종종있다. 이럴 때 게임 보안을 책임지는 입장에서는 난감할 수 밖에 없다.

“보안으로 인해 성능이 저하되면 고객사에서 성능측정 자료를 요청하는 등 여러 가지 문제들이 많이 발생합니다. 아직 보안업계가 고객들이 원하는 니즈만큼 충족시켜주지 못하는 부분도 있을 겁니다. 그래서 게임 보안 솔루션이 대응해주지 못하는 보안 이슈들에 대해서도 업계가 다양한 서비스를 만들어 제공해야 할 필요성이 있죠.”

남 연구원은 ‘게임사와 보안업체 간의 협력’에 대해서도 강조했다. 보안업체의 일방적인 대응만으로는 다양한 보안위협들에 모두 대응할 수 없다는 것이다. 모니터링 서비스 강화 등을 통해 시스템화 된 서비스 제공의 중요성을 강조했다.

“올해 게임사들 마다 보안전담인력 배치가 늘어났습니다. 이제는 단순히 보안 솔루션만이 아니라 함께 방어할 수 있는 체계가 구축돼 가고 있다는 얘기죠. 그러나 여전히 부족한 보안인력에 대해서는 두말할 나위가 없습니다. 특히 게임 보안은 특성화된 분야이기 때문에 더욱 그렇죠.”