온라인게임의 역사 : 보안 전쟁사

※ 이 글은 시리즈로 연재되고 있습니다.
프롤로그 - /webzine/community/tboard/?n=205465&board=36
1편 - /webzine/community/tboard/?n=205468&board=36
2편 - /webzine/community/tboard/?n=205489&board=36
3편 - /webzine/community/tboard/?n=206092&board=36
4편 - /webzine/community/tboard/?n=206240&board=36

온라인게임의 역사 : 보안 전쟁사

당신의 게임 계정을 놓고 벌이는 게임사와 해커(블랙햇)간의 치열한 전쟁일지

창과 방패의 싸움.

뭐든지 뚫는 창은 존재하지만

뭐든지 막는 방패는 이 세상에 존재하지 않았다.

더 이상 방패는 없었다.

- 1 -

캐릭터를 들어가봤습니다.

왠걸.. 캐릭터하고 돈은 다 털렸고 9만원어치 캐시옷들이 다 없어졌네요

7년동안 키웠던 캐릭인데.. 에휴

- 2 -

오늘 오후에 해킹당해서 40000 캐시가 다 털렸다.

염색어쩌고 선물해서 빼간듯한데..

이게 대체 뭐길래 개당 팔천원이 넘는단말인가?

10개짜리가 사만팔천원인가 칠천원이야

시발 이게 뭔데... 아오 빡쳐

- 3 -

친구랑 재밌게 게임좀 할려고 부랴부랴 접속한 캐릭터 그리고 잃어버렸는데도 불구하고

그나마 있던 소중한 본캐. 어이가 없어서 진짜 눈물이 나오려 하네요.

이번에 신상 패키지도 사고싶었는데 정말 욕나오고 짜증이납니다.

- 4 -

더 이상 복구나 해킹범 제재는 바라지도 않지만 여기가 얼마나 오래갈지는 눈에 훤히 보이네요

이런식의 안이한 대응과 보안으로는...

정말 IT 강국 1위라는 대한민국을 먹칠하는 짓인 것 같습니다.

- 5 -

결국 자기들은 책임이 없고 오직 모든 것이 유저 책임이라는거다.

그리고 OTP 등록은 니가 선택한것이라고 했는데 참 어이가 없어서..

<인터넷에 올라온 실제 사례를 바탕으로 재구성했습니다.>

쉬어가기 : All Time Low - Time-Bomb

//youtu.be/xkgNsE9Uhzc

" 한 명의 죽음은 비극이지만 백만 명의 죽음은 통계일 뿐이다. - 이오시프 스탈린

한 유저의 해킹이 비극이라면 과연 백만 유저의 해킹은 통계일 뿐인가?

오늘도 수많은 유저들이 계정도용 피해를 당하고 있고 수 많은 이들이 허탈함에 빠진다.

이 허탈함은 이윽고 분노가 되어 보안에 신경쓰지 않은(혹은 복구를 해주지 않은) 게임사를 탓하거나

자신의 계정을 해킹한 해커(블랙햇)에게 닿을 수 없는 분노를 외친다.

누군가는 허겁지겁 보안강화에 나서며 복구받을 방법을 찾아보지만

누군가는 게임을 접어 추억이 서려있던 온라인게임의 사회에 작별을 고한다.

한명의 유저가 떠났다.

이것은 0과 1로 이루어진 게임의 세계에선 죽음과 같다.

그렇다면 이러한 죽음들이 게임사에겐 그저 통계에 불과한 것인가?

1. 해킹의 이유

~~-------------------------------------------------------------------------------------------~~

" 악의 승리를 위해 필요한 것은 오직 선량한 사람들이 아무것도 하지 않는 것뿐이다. - 에드먼드 버크

출처 - 디스이즈게임(/webzine/news/nboard/4/?n=51498)

" 해커의 특징은 정말 돈이 되는 일만 한다는 것이다. 아이템 복사를 위한 서버 외에는 정말 아무것도 건드리지 않았다. 계정 정보 등에는 접근조차 하지 않았고, 쓸데없는 서버다운도 없었다. 말 그대로 철저하게 현금화가 되는 DB만 변조했다.

- 전승현 보안담당자(판교 글로벌 R&D센터 / 네오위즈 오픈 컨퍼런스에서)

해커(블랙햇)의 목적은 결국 돈이다.

유저를 해킹하던 게임회사의 서버를 해킹하던 결국은 돈으로 결정된다.

사실 돈을 벌려면 게임보단 인터넷 뱅킹 쪽이 나을텐데...

왜 굳이 게임이야기를 하냐고 하면 이쪽이 나름대로 갖고있는 매력이 있기 때문이다.

1. 아이템이라는 가상의 재화를 턴다는 점에서 은행이라는 '현실적인 돈'보다 위험부담이 적다.

2. 아이템 현금거래가 극도로 발달하여 돈으로 바꾸기 쉽다.

3. 게이머들 대다수가 보안에 무신경하다.

인터넷 뱅킹은 돈과 직접적인 관련이 있어 쓰는 사람 대다수가 보안에 민감하지만

게임은 연령층도 연령층이거니와 '가상의 재화'라는 점 때문에 사용자부터가 보안에 무신경하다. 대부분 그깟꺼 털려봤자지라는 마인드인데 아이템베이, 아이템매니아 등의 현금거래 사이트가 생겨나면서 해커에겐 그야말로 눈먼 보물상자가 되어버린 것이다.

아마, OTP 왜 안쓰냐는 질문에 '귀찮아서요' 라고 대답할 안타까운 친구들이 여기도 꽤 될 것이다.

2. 다시한번 시작되는 보안

~~-------------------------------------------------------------------------------------------~~

" 우리는 전투에서 졌을 뿐 입니다. 전쟁은 아직 끝나지 않았습니다. - 샤를 드 골

출처 - 플레이포럼 (//www.playforum.net/webzine/news/view/1183)

얼마전 게임계에 웃지못할 소식이 하나 있었다.

넥슨에서 자신들이 서비스중인 넥슨플레이를 홍보하기 위해 아프리카 유명 BJ인 대도서관과 협력하여

100명의 유저가 넥슨플레이를 설치하면 100만원 상당의 넥슨캐시를 유저들에게 지급하는 이벤트를 열었다.

문제는 여기서 대도서관이 스케일을 좀 더 키워 '10분안에 1천 명이 설치하기'를 제안했고 여기에 '추천 수 1천개를 받아야 한다'는 조건이 더해져 내기를 하게 된 것. 넥슨캐시 1천만원이 걸린 이 내기는 무려 30초만에 끝났고, 넥슨에서는 본래 계획보다 10배에 달하는 캐시를 유저들에게 지급하게 됬다는 나름대로(?) 훈훈한 일화였다.

커피가 쌓여있는 책상에서 머리를 쥐어뜯고있는 넥슨 직원의 모습이 압권.

~~(그리고 이어지는 시말서)~~

이토록 넥슨 캐시 1천만원까지 뿌려가며 홍보에 열중하는 넥슨플레이는 뭐하는 물건일까?

넥슨플레이는 카카오톡 처럼 유저들간의 SNS 서비스를 제공하고, 여기에 이벤트, 점검, 업데이트 소식을 알려주거나 '플레이락' 이라는 잠금해제 기능을 통해 사용자에게 소정의 넥슨캐시를 주면서 자사의 서비스를 홍보하는 앱이다. 편의점 충전 기능이 있어 핸드폰 하나만 들고 편의점에 가면 편리하게 넥슨캐시도 충전할 수 있다. ~~(근데 편의점 직원이 잘 모를지도?)~~

하지만 이 녀석이 진짜 대단한건 보안시스템이다.

공공장소에서 안전하게 로그인이 가능한 'PC방 로그인'과, 언제 어디서나 로그아웃이 가능한 원격 로그아웃, 실시간으로 로그인 정보를 확인할 수 있는 로그인 알림 기능, 기존의 OTP를 개선한 플레이패스까지 자신들의 모든 보안서비스를 한 곳에 담아냈다.

특히 PC방 로그인의 경우는 아이디와 비밀번호를 입력하는 절차가 완전히 생략되어 OTP 번호만 입력하게 된다. 기존의 키로깅 공격이 사실상 무효로 돌아가며, 해커로썬 어느 계정으로 로그인 하는 것인지부터 찾아내야 하는 번거로움에 빠지게 된다. 또한 깜빡하고 로그아웃을 안했거나 누군가 임의로 접속했을 때 이를 강제종료 시킬 수 있는 '원격 로그아웃'과, 로그인 시도를 매번 알려주는 경보장치인 '로그인 알림'은 죽이 잘 맞는 콤비로 통한다.

결국 앞서 말한 '소정의 캐시 제공'이나 카카오톡과 흡사한 SNS 기능은 당근이 되고

실제론 사용자들이 굳이 찾지 않아도 자연스럽게 보안서비스를 접하게되는 전략인 셈이다.

(단, 서비스 자체는 미리 홈페이지를 통해 가입해야 한다.)

▲ 말끔하게 잘 정리된 피망의 보안센터

꼭 넥슨같이 필사적으로(?) 보안서비스를 알리지 않아도 대부분의 게임 포털 사이트들이 별도의 '보안센터' 페이지를 구축하기 시작했다. 특히 네오위즈에서 운영하는 피망 같은 경우, 아기자기한 그림들을 통해 한눈에 알아볼 수 있도록 말끔히 정리해주고있다.

재활용이 가능했던 기존의 OTP도 개선되어 이제는 '정말로 한번만 쓰고 폐기되는' 시스템으로 변화하기 시작했으며, 정해진 PC에서만 로그인이 가능한 '지정 PC' 시스템이 새롭게 출범하고, 악성코드로 인해 해킹당하는 사용자들을 위해 백신프로그램까지 안내해주는 친절함이 나타나기 시작했다.

비록 언젠간 뚫릴 보안일지라도 보안 전문가들은 언제나 새로운 방패를 만들고있으며

조금이라도 더 자신의 계정을 지키고자 한다면 이제는 손쉽게 서비스를 받아볼 수 있게 되었다.

3. 이기적인 자들의 전쟁

~~-------------------------------------------------------------------------------------------~~

결국 해커(블랙햇)와 보안전문가(화이트햇)의 싸움은 해커가 언제나 이길 수밖에 없다.

공격과 수비가 명확한 싸움이고, 공격자가 공격하기 전까진 어떠한 전략 전술적 수단도 예측이 어렵기 때문이다.

그동안 필자가 총 5화에 걸쳐 수 많은 보안시스템을 설명했지만 그중 4화에 걸친 '과거의 시스템'은 모두 뚫리지 않았는가?

하지만 돌려서 생각하면 그동안 수 많은 보안 시스템이 나왔고 해커들이 해야할 수고는 점점 늘어나고 있다.

- 비밀번호를 알아내기 위해 키보드 보안프로그램을 뚫어야 하고
- 복잡한 패턴과 화면 캡쳐 차단을 뚫어내야 2차 비밀번호를 알아낼 수 있고
- 24시간 대기하며 사용자의 키보드 입력값을 알아내야만 OTP 입력값을 알아낼 수 있다.

요즘 쓰이는 새로운 보안시스템이 적용되면 해커가 해야할 일은 더 늘어난다.

어설픈 해커들이 떨어져 나가고 숙련된 베테랑 해커만이 살아남는다.

- 모든 보안정보를 알아내도 '지정된 PC'를 해제하지 않으면 접속이 안되고
- 'PC방 로그인' 시스템을 뚫지 못하면 어떤 계정으로 로그인하는건지 알 수도 없다.
- OTP는 이제 '한번 쓰이면 재활용이 안되서' 새로운 방법을 모색해야 한다.
- 백신프로그램을 어떻게든 하지 않으면 악성코드를 침투시키는 것도 쉽지 않고
- '로그인 알림'으로 해킹시도를 탐지한 주인이 '원격 로그아웃을' 시키기 전에 아이템을 옮겨야 한다.

계정을 지키기 위한 복잡한 절차가 수십가지가 넘어가더라도, 정말로 믿을 수 있는 컴퓨터에 한해서 지정PC를 설정하면 이 과정을 생략할 수 있다. 해커가 쓰는 PC는 지정PC가 아니니까 모든 복잡한 과정을 다 해야하고 말이다.

물론 모든 보안시스템이 뚫리는 날도 올 것이다.

해커들은 언제나 똑똑하고 '돈을 벌어야 한다'라는 목적이 있기 때문에 더욱 필사적이기 때문이다.

하지만 생각해보라.

지금 이 시간에도 별다른 보안시스템 없이 아이디, 비밀번호, 2차비밀번호 3개로 끝나는 무신경한 사람은 얼마든지 있다.

비밀번호를 1234567, qwer1234 이런식으로 설정해놓고 다니는 한심한 사람도 게임의 세계에선 널리고 널렸다. 해커들도 손가락 한두번 까딱하면 해킹이 가능한 이들을 노리지 보안시스템을 꼬박꼬박 이용해서 복잡한 시스템을 뚫어야 할 당신을 노리는 비효율적인 짓을 할 확률은 무척 적다.

" 백만 명이 해킹을 당한다해도 당신이 해킹당할 필요는 없다. - 채플리스

백만명의 계정이 해킹을 당해 백만명의 사람들이 눈물을 흘리며 복구 서비스의 문을 두드리겠지만 굳이 당신까지 그럴 필요는 없다.

어차피 해킹당할 불쌍한 유저는 이 세상에 널리고 널렸으니까. 그런 사람들은 결국 자신의 부주의로 인해 피해를 본 것이다.

동정할 필요도 없다. 당신을 대신해서 해킹을 당해주는 정말 고마운 존재들이다.

그들을 위한 동정과 구원은 보안담당자와 GM들이 열심히 해주고 있으니 신경쓸 필요도 없다.

대신 보안센터의 문을 두드려보자. 조금은 귀찮겠지만 당신을 해킹해야할 해킹범은 수백배로 귀찮아진다.

'나만 해킹 안 당하면 돼!' 하는 이기적인 생각이 게임 세계를 지배하는 순간.

보안전쟁은 해커(블랙햇)의 패배로 끝날 것이고 게임의 세계는 좀 더 안전해질 것이다.

그 때까지만 좀 더 이기적인 생각을 가져보자.

오늘도 유저들의 계정을 지키기 위해 밤낮으로 일할 그들을 위해서.

- 그동안 온라인게임의 역사 : 보안전쟁사를 읽어주셔서 감사합니다. -

참고자료