미국 시장조사업체 ABI 리서치의 온라인게임 산업에 대한 보고에 따르면, 세계 온라인게임 시장의 규모는 2010년 145억 달러(약 16조 6,530억 원)로, 향후 매년 평균 14.8% 성장을 거듭해 2015년에는 290억 달러(약 33조 3,060억 원)에 이를 것으로 전망됐다. 이와 같이 온라인 게임 시장이 빠르게 성장하면서, 역기능적인 측면 역시 부각되기 시작했다. 정보화 사회가 발전할수록 시스템 침입이나 해킹을 통한 사이버 범죄나 개인정보 도용에 관한 이슈 역시 함께 증가하게 된 것이다. ABI 리서치에서도 역시, 온라인 게임의 성장 배경은 인터넷 연결 기기의 발달에 근거한 것이며, 사이버 공간에서는 여러 사람이 많은 정보에 접근할 수 있는 만큼 개인정보나 데이터 관리에 크게 신경을 써야 할 것이라고 지적했다.
온라인 게임에서의 개인정보 침해현황 및 대응방안
모든 시작에는 시행착오가 있듯, 초창기 게임회사를 비롯한 많은 인터넷 업체들이 개인정보보호를 위한 시스템을 충분히 갖춘 상태에서 출발한 것은 아니었다. 과거 오픈 마켓 사이트와 정유회사에서의 개인정보 유출사건과 같이 정보보호에 대한 사회적 경각심을 갖게 한 계기가 된 사건들이 있었으며, 아이디 및 비밀번호가 암호화되지 않고 노출된 44명에 대해 1인당 10만원씩 손해배상 하도록 판결이 난 모 게임사의 사례도 등장했다.
이런 사례들을 통해 게임업체는 많은 교훈을 얻을 수 있었고, 현재는 보안에 대한 투자를 게을리 하지 않고 있다. 특히, 요즈음 각 메이저 게임사들이 갖추고 있는 보안 시스템의 현황을 보면, 게임업계에 대해 잘 모르는 사람들은 그 방대한 관리적·기술적 보안 프로세스에 대해 크게 감탄하곤 한다. 네트워크 보안, 서버 보안, 어플리케이션 보안, 직원 개인 PC 보안은 물론이며, 내부에서는 개인정보보호 책임자를 포함한 별도의 보안팀을 두어서 정기적인 보안점검, 보안교육, 그리고 각 서버에 대한 접근권한 관리는 물론 물리적인 출입통제와 도난방지까지 기술적·관리적 보안대책에 대한 투자를 아끼지 않고 있다.
아직도 부실한 사이트가 문제
.gif)
사실 이처럼 게임사에서 보안 시스템을 강화하고 내부 통제를 철저히 해도 더 큰 문제가 되는 것은 보안이 취약한 다른 사이트에서 감염되어 넘어온 경우가 많기 때문이다. 일반적으로 대부분 사람들의 심리와 편의상 인터넷 상에서 회원가입을 하는 경우 아이디와 비밀번호를 동일한 것으로 통일하는 경우가 많기 때문에, 보안이 취약한 어느 한 사이트의 내부 시스템이 해킹 당해(쇼핑몰이든 팬사이트든) 아이디와 비밀번호가 유출된다면 해커는 그 계정 리스트로 게임사에 로그인을 시도하게 된다. 실제 동일한 아이디와 비밀번호로 타 사이트에 로그인을 할 수 있는 매치율은 70% 이상에 이른다고 한다. 그만큼 타사 사이트를 해킹하여 특정 게임사에 로그인을 하고 아이템 등을 탈취하는 사례가 적지 않게 발생하고 있다. 심지어, 해커가 타사를 해킹하여 입수한 계정 리스트를 특정 게임사의 자유게시판에 당당하게 업로드 하는 사건도 있었다. 이처럼 게임사가 아무리 내부 보안을 강화하고 기술적 보안 프로세스를 업그레이드해도, 부실한 타사 사이트에서 해킹한 계정정보를 이용하여 정보탈취가 가능할뿐더러, 누출된 정보를 기반으로 연쇄적인 피해나 사이버 범죄가 발생할 수 있음을 인지해야 한다.
유저들 개인 PC 공격으로 추세가 변화
다음으로 문제가 되는 것이 유저들의 개인 PC를 표적으로 한 공격이다. 유저 개개인이 PC 에 백신을 설치하지 않거나 윈도우 보안 업데이트를 하지 않아서 발생하는 사례로, 사실상 해커 입장에서는 아무래도 보안 시스템이 강화된 게임사의 서버를 해킹하는 것보다 보안에 대해 잘 몰라 무방비 상태일 가능성이 큰 개인 PC를 해킹하는 것이 훨씬 쉽기 때문에 이렇게 유저 개개인을 노리는 경우가 더 많아지고 있다. 안철수연구소의 ‘2010년 악성코드 통계 리포트’에 의하면, 지난해 악성코드 감염 건수는 1억 4,609만 7,262건으로 알려졌으며, 그 중 온라인 게임 계정을 탈취하는 악성코드는 전체 악성코드 중 13.8%(940만 4,556건)을 차지한 것으로 조사됐다. 최근 인터넷 메신저 피싱이나 메신저 쪽지를 이용한 악성코드를 조심하라는 얘기도 많은데, 메신저를 통하여 전파되는 악성코드 역시 온라인 게임 계정을 탈취하기 위한 목적으로 제작된 것들이 매우 높은 비율을 차지한다. 게임 계정을 탈취하는 악성코드가 생각 이상으로 많고, 대부분 모두 개인유저 PC에서 정체불명의 파일을 실행하는 등 아무런 보안의식 없이 PC를 관리하는 유저들을 노린 경우가 대부분이다.
계정탈취는 작업장 피해로도 이어진다
‘오토’라는 것은 게임자동사냥 프로그램으로, 정당한 권한 없이 게임 캐릭터의 속도를 증가시키거나 에너지 소모 없이 사냥 등의 행위를 계속할 수 있도록 하는 프로그램을 지칭한다. 이는 정상적인 방법으로 게임을 즐기는 유저들에게 피해를 주는 행위로, 일부에서는 이러한 오토 프로그램을 수십, 수백대 규모로 집단적으로 사용하여 아이템과 게임머니를 불법으로 취득, 유통하는 전문적인 ‘작업장’이 운영되고 있는 실정이다. 특히, 많은 계정이 필요한 작업장에서 직접 생성할 수 있는 계정의 숫자에는 한계가 있기 때문에, 계정 탈취를 통해 아이디 및 비밀번호를 확보하는 사례가 증가하고 있다. 또한 이와 같은 계정 정보는 비정상적인 방법으로 입수한 게임머니나 아이템 등을 불법적으로 거래할 때도 도용되어 사이버 범죄로까지 이어지기도 한다.
온라인 게임 업체에서의 보안대책 및 유저 보안 솔루션
앞서 언급한 것과 같이 해커의 주요 관심 대상은 기업의 서버보다는 유저의 개인 PC이기 때문에, 실제 최근 게임사에서 구축하고 있는 보안 시스템은 내부 통제를 위한 것보다는 유저 PC를 보호해 주기 위한 방향으로 더 많은 투자가 이뤄지고 있다. 게임사에서 제공하는 솔루션 몇 가지를 살펴보자.
OTP(One Time Password)
보통의 비밀번호는 같은 값이 오랜 기간 동안 반복되어 사용되기 때문에 사용자가 관리를 부실하게 하면 언제든지 유출될 수 있지만, OTP는 로그인 할 때마다 변경되는 1회용 비밀번호로 한번 사용하고 나면 즉시 폐기되는 안전한 보안장치다. 보통은 은행권에서 많이 사용하는 것으로 알려져 있지만 실제로는 온라인 게임 업계에서 유명 게임이라면 거의 다 이 서비스를 제공할 정도로 활발하게 사용되고 있으며 고가의 아이템을 보유한 사용자들은 거의 필수적으로 OTP를 이용하고 있다.
PC 등록 서비스(지정 PC)
해커가 계정을 탈취하게 되면, 물리적으로 다른 PC에서 로그인을 한다는 점을 착안하여 사용자 본인이 사용하는 PC를 등록하여, 본인이 등록하지 않은 PC에서는 계정 접속을 할 수 없도록 하는 시스템이다. 계정을 탈취당했더라도 사용하지 못하도록 후 처리한다는 개념에 가까운 서비스이며, 넥슨이나 엔씨소프트 등 많은 게임사에서 채택하고 있는 보안서비스 중 하나다.
캐시 보안설정, 아이디 가입잠금
자신이 보유한 게임 머니를 안전하게 관리할 수 있도록 지정한 게임 내에서만 캐시를 사용할 수 있도록 지정하는 서비스다. 넥슨 같은 경우는 게임 포털 안에서 많은 게임을 서비스 하고 있기 때문에 통합 서비스 개념으로 하나의 캐시로 메이플스토리나 카트라이더 등 모든 게임에서 아이템 구매가 가능하다. 그래서 유저 본인이 메이플스토리만 플레이한다면 계정 도용이 되더라도 다른 게임에서는 캐시를 사용할 수 없도록 보안 설정을 할 수 있다. 또한, 이미 지정한 아이디에서 캐릭터를 추가적으로 생성하는 것을 금지하도록 설정하는 옵션도 제공하고 있어서 해커가 별도의 캐릭터를 만들어낼 수 없도록 조치하고 있다.
고블린패드
.gif)
고블린패드는 던전앤파이터에서 제공하는 계정보호 수단으로, 미니 게임을 이용하여 2차 비밀번호를 입력하는 시스템이다. 게임에서 지정하는 숫자를 가진 벙커 안으로 고블린을 이동시키는 것이 원리이며, 그 숫자는 매번 랜덤으로 변경된다. 또한, 화면 캡쳐 방지를 위하여 고블린이 벙커 주변으로 가까이 갔을 경우는 숫자를 모두 감춰버림으로써 인증번호를 볼 수 있는 확률을 최소화하는 효과도 있다. 보통의 은행권이나 포털 사이트에서는 구축하기 힘든 게임사만이 가질 수 있는 독특한 보안 방법이다.
키보드보안 & 개인방화벽 & 보안카드
키보드보안이나 개인방화벽은 이미 은행권에서 많이 사용하고 봐 왔으므로 별다른 설명은 생략한다. 추가적으로 부연할 부분은, 게임사에서도 이미 은행권 이상으로 키보드보안이나 개인방화벽을 각 사이트마다 구축해놓고 있으며, 심지어는 인터넷 뱅킹시 사용하는 보안카드를 제공하는 게임사도 있다.
기업·사용자·정부 모두 보안의식을 키워야
게임 업계는 인터넷 포털 사이트나 은행권 등 보안 솔루션을 도입하고 있는 여러 업계 가운데에서도 비교적 활발하게 새로운 보안 솔루션을 구매하고, 적극적인 도입을 검토하는 편에 속한다. 게임사의 내부 보안을 위한 방화벽이나 IPS, DDoS 방지 솔루션은 물론, 유저 PC 를 보호하기 위한 새로운 기능 적용에 대해서도 보다 기민하게 대응하고자 하고 있기 때문이다. 하지만 유저 PC에 대한 보안은 기업만의 노력으로는 한계가 있다. 해커들이 계속해서 게임 유저를 타깃으로 삼고 있는 것은, 이미 게임사 내부의 기술적 보안 프로세스에서는 구멍을 찾기 힘들다는 얘기인 동시에, 사용자의 PC에서는 여전히 취약한 부분이 많다는 반증이기도 하다. 따라서 게임사와 사용자가 함께 노력해서 개인정보 유출을 막아야 할 때다.
더불어, 매년 대규모의 해킹 사고가 발생하는 것은 1차적으로는 기업과 사용자의 책임일 수 있지만, 한편으로는 인터넷 선진국을 자칭함에도 불구하고 법적인 인터넷 보안체계가 없는 제도적인 한계에도 기인한다. 인터넷 서비스를 하면서도 보안에 신경 쓰지 않는 사이트에서 유출된 정보가 타사 사이트로까지 연쇄적인 피해로 번질 수 있는 만큼, 개인정보를 다루고 있는 쇼핑몰 등 많은 사이트에 대한 정부 차원의 관리 시스템 구축이 필요한 때다.
방송통신위원회에서 개인정보의 기술적·관리적 보호조치 기준을 개정하고, 웹사이트에서 노출되는 개인정보 노출 대응 시스템에 대한 운영도 진행 중이긴 하지만, 보다 적극적으로 구체적인 기준을 제시하는 것이 선행되어야 하며, 이에 대한 대응 역시 대폭 강화시켜야 한다. 또한, 해킹 당한 계정이나 게임머니, 아이템 등이 거래되지 않도록 아이템거래 사이트에 대한 모니터링도 더욱 강화해 거래상들의 방조행위를 보다 적극적으로 차단해야 한다.
이처럼 소중한 개인정보를 안전하게 지켜나가는 데에 왕도가 없음을 공감하고, 기업, 개인 사용자, 그리고 정부가 모두 함께 적극적으로 협력해 더욱 안전한 환경 속에서 건강한 인터넷 생활을 영위해 나갈 수 있도록 노력해야 할 것이다.
<글 : 강 병 탁 | 넥슨 게임보안팀장(window31@nexon.co.kr)>
[월간 시큐리티월드 통권 제170호(sw@infothe.com)]
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
