게이머발언대

※ 이 글은 시리즈로 연재되고 있습니다.
프롤로그 - /webzine/community/tboard/?n=205465&board=36
1편 - /webzine/community/tboard/?n=205468&board=36
2편 - /webzine/community/tboard/?n=205489&board=36
3편 - /webzine/community/tboard/?n=206092&board=36

온라인게임의 역사 : 보안 전쟁사

당신의 게임 계정을 놓고 벌이는 게임사와 해커(블랙햇)간의 치열한 전쟁일지

창과 방패의 싸움이라고도 한다.

인터넷이 발전하고 그곳에 돈의 흐름이 생겨난 순간부터

인류는 0과 1로 이루어진 가상의 공간에서 치열한 전쟁을 벌여왔다.

누군가는 돈을 뺏기 위해 해킹 기술을 끊임없이 개발하고

누군가는 돈을 지키기 위해 끊임없이 보안 기술을 개발하고 있다.

돈을 뺏으려는 자와.

돈을 지키려는 자의 싸움.

오늘은 그들의 이야기를 다루고자 한다.

쉬어가기 : The Dirty Youth - "Fight" - Official Music Video

//youtu.be/wX1wPLjPhlc

어쩌면 마지막화.

지금까지 글을 쭈욱 읽어보면서 눈치 빠른 분들이라면 '뭔가 이상하다' 싶었던 한마디가 있을 것이다.

사실 필자가 매 화마다 억지로 우겨넣었던 한 마디가 있었다.

이론상 불가능하다

프롤로그 : 당신의 캐릭터는 이론상 절대로 해킹당할 수 없다.

1화 : 비밀번호는 이론상 절대로 뚫릴 수 없는 보안시스템이다.

2화 : 이로써 진정한 '이론적으로 해킹이 불가능한 보안시스템'이 탄생한다.

3화 : 역대 보안시스템을 통틀어 가장 완벽하고 이론상으로도 최강의 보안장치가 된다.

그렇다.

사실 필자는 거짓말을 하고있었다.

당신을 속이고

당신을 능욕했으며

당신에게 거짓된 희망을 불어넣고 있었다.

이제부터 시작되는 필자의 진실된 이야기들.

당신 코앞에 놓여있는 온라인게임의 어두운 현실.

1. 집 컴퓨터로 침투하는 악성코드 : 드라이브 바이 다운로드

~~-------------------------------------------------------------------------------------------~~

앞서 1편에서 키로깅 공격때 이야기 했던 것 같은데 악성코드는 주로 토렌트나 XX파일, OO하드 등의 P2P 서비스를 통해 감염되기 쉽다. 이쪽이 왜 취약하냐면 다운로드 받고 싶은 자료가 있다면 백신프로그램이 막는다 해도 당신은 꼭 다운받을테니까. 원하는 파일을 다운받고자 백신프로그램을 종료했던 경험 한번씩 있지 않은가?

크롬이나 파이어폭스 등을 이용하는 사용자라면 위 사진을 한번쯤 보셨을 것이다. '다음 웹사이트에 악성코드가 있습니다' 혹은 '경고 : 문제가 있습니다' 등의 오류문구가 뜨며 브라우저에서 마음대로 사이트를 차단하는 것. 필자는 얼마 전까지 디시인사이드를 들어가면 꼭 이게 떴던 경험이 있다. (현재는 정상적으로 접속되는듯)

전상훈 빛스캔 최고기술경영자(CTO)는 “국내 웹사이트 180만곳과 해외 웹사이트 30만곳을 관찰한 결과, 평소보다 악성코드를 배포하는 웹사이트 수가 2배 정도로 늘어난 사실을 확인했다”라고 말했다. 빛스캔이 확인한 바에 따르면 MBN이나 한국경제TV 등 방송사 웹사이트도 악성코드 배포에 동원됐다. 또 2주 전부터는 평소와 달리 주중에도 악성코드 유포가 늘었다는 게 빛스캔이 분석한 바다.

‘3.20 대란’ 1주년, 엇갈리는 보안 위협 전망 | BLOTER.NET
- //www.bloter.net/archives/185595

드라이브 바이 다운로드(Drive - by - Download)

이미 알려진 보안 취약점을 이용하여 불특정 다수에게 악성코드를 유포하는 방법

공격자는 보안이 취약한 홈페이지를 변조하여 악성코드를 심어놓는다. 이때 수많은 방문자 중에서 보안패치가 되지 않은 사람만 취약점에 의해 감염되며, 단순 웹서핑만으로도 감염이 되기 때문에 감염 사실을 인지하기 어렵다.

자기는 토렌트도 안쓰고... 그 흔한 토렌트 조차도 안쓰는데 악성코드가 깔리고 계정도용 피해를 입는다면

바로 이 공격에 당했을 확률이 높다. (다시한번 강조하지만 토렌트는 생각 외로 위험한 프로그램이다.)

1. 신뢰할 수 있는 사이트만 접속하고

2. 윈도우(OS), 웹브라우저(인터넷창), 백신프로그램을 항상 최신버전으로 유지하는 것.

3. 감염된 사이트의 관리자가 문제를 수정하는 것

2. 불법 프로그램의 범람 : 세상에 공짜는 없다.

~~-------------------------------------------------------------------------------------------~~

왼쪽 : 국내 유명 여성 랩퍼인 이비아(E.VIA) / 오른쪽 : 왼쪽의 가수 이름을 도용한 불법 해킹프로그램 '이비아'

게임사에게 언제나 큰 골칫거리는 단연 불법 프로그램일 것이다.

크랙과 시디키 생성기는 패키지 게임 시장을 몰락으로 이끌었으며, 지금은 오토마우스를 비롯한 매크로 프로그램들이 온라인게임의 생존을 위협하고 있다. 이 중 오늘 이야기에 좋은 표본이 될 불법 프로그램을 소개하자면 2010년부터 2011년까지 언론에서 떠들썩했던 '이비아 엔진'이 있다.

국내 유명 여성 랩퍼인 이비아(E.VIA)씨의 이름을 무단 도용하여 만들어진 이 불법 프로그램은

메이플스토리의 치트프로그램으로서 진작에 막혔음에도 불구하고 지금까지도 유포가 이루어지고있다.

한가지 의문이 있는데.

엄연히 유료로 팔리는 오토마우스와는 다르게 이런 치트 프로그램들은 인터넷에 공짜로 유포된다.

그들 말에 따르면 물약도 자동으로 먹어주고, 오토마우스처럼 사냥도 해주고 할텐데... 이 편리한걸 왜 공짜로 배포하는가?

[악성]C:\WINDOWS\system32\bit.dll
[악성]C:\Documents and Settings\[UserName]\Local Settings\Temp\server.exe
[정상]C:\Documents and Settings\[UserName]\Local Settings\Temp\Ev27MS.exe

bit.dll 파일은 정상적인 svchost.exe 프로세스에 인젝션(주입)되어 특정서버(116.122.***.***:8000)로 접속을 시도한다.

출처 - //kjcc2.tistory.com/976

이런 불법 프로그램들은 사용자에게 '편리한 기능을 제공한다'는 당근을 제시하면서 악성코드를 동시에 설치해 좀비PC로 만들고 개인정보를 탈취하는데 사용되기도 한다. 다른 예를 들어보자.

몇몇 해킹프로그램들의 경우 아이디, 비밀번호, 2차 비밀번호 등을 요구하기도 하는데 자주하는 질문이랍시고 캐릭터 인증이 필요한 이유를 장황하게 설명하고있지만 불법 프로그램에 자신의 계정정보를 고스란히 입력하는 것이 과연 안전할지 한번 스스로 판단해보자. 무엇을 위해 패킷을 보내고 링크를 전달하는 것일까?

3. 해커 아포칼립스 : 붕괴된 보안, 무제한적 복구정책

~~-------------------------------------------------------------------------------------------~~

키로깅 공격에 비밀번호는 존재 자체가 의미 없어졌다.

악성코드의 발전으로 2차비밀번호는 무용지물이 되었으며

2차 비밀번호의 핵심인 '마우스 입력기'는 행정안전부 장관이 보는 앞에서 무너졌다.

마지막 보루인 OTP마저도 구조적 결함으로 해커에게 무릎을 꿇으면서

이제 온라인게임의 모든 보안시스템은 붕괴됬다.

반면에 아이템의 현금거래가 늘어나면서 온라인게임이 갖는 메리트는 더욱 증가했으며

작업장은 더욱 산업화됬고 해커들의 기술은 더욱 치밀해졌다.

PC방은 여러 사람이 쓴다는 특성상 보안이 허술했지만

불법프로그램의 범람은 이제 PC방을 너머 집으로까지 계정도용 피해를 입히고 있다.

바야흐로 해커 아포칼립스가 시작되고 있었다.

원본 이미지 출처 - 디스이즈게임

넥슨의 메이플스토리가 2013년을 기점으로 10주년을 맞이했다.

그리고 이렇게 10주년을 기념해 메이플스토리에선 다양한 업데이트가 나왔는데 메이플스토리 RED가 그 중 하나이다.

이 중 대표적으로 내세운 것 중 하나가 '메가복구 서비스'라고 하는 메이플스토리만의 독자적 계정도용 피해 복구 서비스.

3일 이내 완벽 복구와 연 최대 5회까지 지원.

최고급 풀옵션 아이템을 무상지원해주고 최대 100만 캐시까지 준다는 그야말로 메가복구 서비스였다.

같은 해 15주년을 맞이한 엔씨소프트의 리니지에서도 개발자 토크를 통해 '피해 아이템 완전복구' 정책이 발표되었고, "어떤 아이템이든 고객 개개인에게는 좋은 추억이 담겨 있는 것들이다. 이들이 오래동안 쌓아온 가치를 한 번에 잃어버리는 일은 없도록 해야한다"는 단호한 의지를 표명하기도 하였다.

모든 것이 뚫려버린 지금.

지킬 수 없다면 복구라도 해줘야 한다는 게임회사들의 필사적인 몸부림이었다.

하지만...

4. 해커 아포칼립스 : 짖밟히는 희망

~~-------------------------------------------------------------------------------------------~~

이미지 출처 - 대법원

캐릭터 복구 시스템 악용해 6억 이득챙긴 유저에 '실형'
게임메카 보도 | 2013-07-04 19:41:25

상습적으로 캐릭터를 삭제하고, 이를 복구 받아 게임회사에 10억 원어치 금전적 피해를 준 2명이 실형을 선고받았다. 수원지방법원 형사11단독은 사기 혐의로 기소된 홍모씨 외 1명에게 각각 징역 1년과 징역 1년 2월을 선고했다.

이들은 지난 2010년 6월부터 2012년 2월까지 약 1년 8개월에 걸쳐 수원시 정자동에 있는 홍모씨의 집에서 자신들의 게임 캐릭터를 실수로 삭제했다고 속여 게임회사로부터 복구 받았다. 이 같은 수법으로 140여 차례에 걸쳐 10억 원 상당의 게임 캐릭터를 받아 챙겨…….

출처 - //www.gamemeca.com/news/view.php?gid=300196

혹시 계정도용(해킹)피해를 당해서 복구서비스를 신청했다가 거절당한 분이 계시는가?

아마 그런 분들이 보면 울화통이 터질지도 모를 이야기다.

그깟 해킹당한거 복구해주면 덧나나?

할지 모르지만 게임사들이 복구에 소극적일 수밖에 없는 것은 복구시스템을 악용하는 사람이 생기기 때문이다.

실제로 복구서비스를 시작한지 얼마 안되었을 2013년 7월에 캐릭터 삭제 -> 복구신청 -> 삭제 -> 복구신청 하는 수법으로 총 10억원 상당의 게임 아이템을 받아챙긴 혐의로 2명이 구속되어 각각 징역 1년, 1년 2월씩 선고받은 사례가 있다. 이렇게 진짜 피해자와 거짓된 피해자를 분간하기 어려운 것은 '온라인 상에서 익명으로 벌어지는 사건사고'들을 일일이 추적하고 복구해줘야 한다는 제한적인 환경이 있기 때문이다.

'리니지'의 유저이면서 행사 사회를 본 가수 김창렬은 취지는 좋지만, 해당 시스템을 악용하는 사람들이 있지 않을까 하는 우려를 전했다. 이에 ‘리니지’ 서비스 운영을 담당하는 서원갑 팀장은 "어떤 아이템이든 고객 개개인에게는 좋은 추억이 담겨 있는 것들이다”면서, “이들이 오래동안 쌓아온 가치를 한 번에 잃어버리는 일은 없도록 해야 한다"고 답했다.

또한, 서 팀장은 "98%의 정상적인 고객이 2% 악용하는 유저 때문에 혜택을 받지 못하는 것보다는 98%에게 혜택을 주면서 2%에 대해서는 엔씨소프트 내부적으로 명확하게 그들을 판단할 수 있는 프로세스를 구축하는 것이 맞다"고 설명했다.

리니지 개발팀 “피해 아이템, 완전복구 해드립니다” / 게임메카 보도
//www.gamemeca.com/news/view.php?gid=457553

출처 - KBS

<복구서비스 출범 2년 전 KBS 뉴스 보도>

"학교 폭력 때문에 스스로 목숨을 끊은 권 모군의 안타까운 소식, 가해학생들은 권군에게 자신들 아이디로 게임을 하라고 쉴새없이 강요"
"경찰은 가해 학생들도 자신들의 캐릭터가 해킹 당하자 숨진 권 군에게 게임을 강요한 것으로 보고 있다."

- 학교 폭력에 자살…온라인 게임이 뭐길래 | 2011.12.30
[바로가기 링크]

도용 복구 서비스를 받지 못해 순수했던 어린 아이들이 상처받고 눈물흘릴 확률

도용 복구 서비스를 악용해 검은 미소를 지을 확률

이론은 불가능을 만들어내지만 현실은 불가능을 가능으로 만든다.

오늘도 보안전문가들은 게이머의 계정을 지키기 위해 수 많은 불가능을 만들어낸다.

오늘도 해커(블랙햇)들은 게이머의 계정을 빼앗기 위해 수 많은 불가능을 가능으로 만들고 있다.

지금까지 매 화마다 '이론상 불가능하다'라는 말을 집어넣었지만 현실은 그렇지 않았다.

오늘도 수 많은 보안 시스템이 나오고 있지만 이들도 언젠간 뚫릴 것이다.

그럼에도 불구하고 오늘도 게임사들은 당신의 계정을 지키기 위해 밤낮으로 보안 강화에 몰두한다.