키보드보안-2차 비밀번호-해킹추적시스템 등으로 유저보호


지난해부터 지금까지 국내 개인정보를 빼내가기 위해 각종 악성코드와 해킹툴, 웜 등을 유포하는 곳은 다름아닌 중국이다. 중국 해커들은 국내 주요 사이트의 취약점을 악용해 다양한 악성코드를 유포하고 이에 감염된 유저들이 게임사이트에 접속하게 되면 원격에서 조정해 이들의 ID와 비밀번호를 빼내왔다.

이들은 빼낸 ID와 비밀번호로 계정을 훔치거나 게임아이템, 게임머니 등을 빼내 각종 아이템거래사이트에 이를 처분해 현금화하고 있는 수법으로 돈을 벌고 있다. 특히 본인인증 절차가 지금처럼 까다롭지 않았던 기간에는 주민등록번호만 알고 있어도 가입이 자유로웠기 때문에 중국 포털사이트에는 한국인 주민등록번호가 무차별로 공개됐고 이를 대량으로 거래하는 사이트도 생겨날 정도였다.

한국은 인터넷 속도, 다양한 온라인 게임개발, 수많은 게임유저, 아이템거래 등의 게임환경이 너무도 잘 갖춰져 있는 터라 항상 해외 해커들의 표적이 되고 있다.

모 게임사 관계자는 “해외 해커들이 새로운 해킹기법이 나오면 제일 먼저 한국의 게임사를 뚫어보고 있다. 그래서 이를 막기위한 노력을 계속함에도 불구하고 어려움이 있다”고 토로했다.

2003년 런칭한 넥슨의 인기 온라인게임 ‘메이플스토리’팀은 지난 3월부터 로그분석 기능을 통한 해킹추적시스템을 개발해 시험가동했고, 지난 5월 25일 정식으로 해킹추적시스템을 오픈해 게임유저들의 게임환경을 개선하겠다고 발표했다.

그동안 메이플스토리는 많은 해킹공격을 받아왔다. 국내에만 사용자가 1500만 명에 달하는 이 게임은 주로 보안개념이 부족한 초등학교 학생들이 주요 이용층이어서 더욱 해킹에 취약했다고 볼 수 있다.

특히 메이플스토리 해킹법이 동영상으로 유투브에 시리즈로 올라오는가 하면 인터넷상에서는 메이플스토리를 해킹하기 위한 전문 커뮤니티 카페모임도 상당수 있는 것으로 밝혀졌다. 또한 리니지게임과 같이 아이템이 고가로 팔리지는 않지만 워낙 유저가 많은 터라 대량으로 아이템을 빼내 이를 처분해 돈을 버는 경우가 있었다.

강대현 넥슨 메이플라이브개발팀 팀장은 “그동안 해커들이 메이플의 계정을 빼내가기 위해 제로데이 공격 등 취약점을 이용해 악성툴을 심어놓고 이를 유포하는 등 다양한 방법으로 메이플 유저 해킹을 시도해왔다”며 “하지만 개발팀에서 해킹추적시스템을 개발해 지금까지 실험해본 결과 상당한 해킹방지 효과를 보고 있다”고 말했다.

메이플 해킹방법은 우선 악성코드를 이용해 이용자의 계정과 아이템 등을 빼내 처분하는 방법이 있고, 또 게임상에서 몬스터를 한곳으로 몰아 한번에 많은 사이버머니를 벌 수 있도록 해주는 해킹툴도 있고, 자동 로봇 게임프로그램을 이용해 머신이 사람대신에 자동으로 게임을 24시간 계속해서 할 수 있도록 해주는 해킹툴 등 다양하다.

메이플스토리 관계자는 “메이플스토리는 현재 58개국에 서비스되고 있다. 그래서 이를 해킹하려는 해커들도 글로벌로 움직이고 있어 이를 방어하는 일이 만만치 않은 작업”이라고 밝히고 “이번 해킹추적시스템은 해킹피해 신고가 접수되면 로그 분석을 통해 이상행동을 보인 유저의 과거 모든 로그를 모니터링해 해킹 사실을 밝혀내게 된다. 해킹범으로 밝혀지면 해킹범의 계정은 파기되고 더 이상 메이플에 접속할 수 없게 된다”고 말했다.

강대현 팀장은 “해킹을 하는 유저들은 아이러니하게도 메이플의 VIP 고객들이다. 상당히 애착을 가지고 있기 때문에 이들은 계정폐기를 상당히 두려워하고 있다. 그래서 해킹추적시스템이 해킹을 예방하고 줄이는데 상당한 효과가 있다”고 말했다.

한편 해킹사고가 터지고 1주일 안에 메이플스토리 고객센터에 피해신고를 한 경우에는 아이템 복원도 가능하다. 다만 해킹가해자가 해당 아이템을 팔지 않고 그대로 가지고 있는 경우에만 복원이 가능하다고 한다.

메이플스토리팀은 이외에도 해킹예방차원에서 다양한 보안툴을 제공하고 있다.

키보드해킹을 방지하기 위해 홈페이지 접속시에는 안철수연구소의 마이키디펜스 키보드보안 프로그램을 지원하고 있고, 게임클라이언트 접속시에는 잉카인터넷의 엔프로텍을 지원하는 등 이중 키보드 보안을 실행하고 있다.

강 팀장은 “혹시라도 한 군데가 뚫린다면 한 곳을 차단하고 다른 곳으로만 접속하도록 해야 하기 때문에 2중 키보드보안을 지원하고 있다”고 말했다.

또한 2차 비밀번호 서비스도 도입했다.

메이플 유저들은 1차 자신의 일반 ID와 비밀번호를 입력하고 게임에 접속하게 된다. 그때 캐릭터를 선택하는 과정에서 2차 비밀번호를 입력하게 된다. 이때는 키보드가 아닌 마우스를 사용해 화면에 뜬 화상키보드로 입력을 하게 된다. 이때 화상키보드의 문자와 숫자는 랜덤하게 접속할 때마다 바뀌게 된다.

물론 2차 비밀번호 서비스는 유저들의 선택사항이지만 이를 활용한다면 계정탈취로 인한 해킹 피해는 상당부분 차단할 수 있다고 한다.

메이플스토리는 키보드보안-2차 비밀번호 서비스-해킹추적시스템 등을 활용해 현재 해킹피해 문의건수가 지난 3월 이전에 비해 70% 이상 줄어들었다고 한다. 즉 그동안 100건이었던 해킹이 30건 정도로 줄어들었다는 이야기다.

각국의 해커들이 금전획득이라는 정확한 목적으로 국내 게임사들을 집중 공격하고 있는 지금, 게임사들의 적극적인 해킹방지 노력과 이용자들의 보안의식이 더욱 필요한 시점이다.

Mini-Interview
강대현 메이플라이브개발팀 팀장
 



“다양한 보안정책...유저들이 적극적으로 따라줘야”

메이플스토리 해킹은 어떻게 이루어졌나?
주요 해킹법은 악성코드 유포 등으로 이용자들이 접속할 때 게임 계정을 훔쳐가는 방법이 있다. 그리고 해킹툴을 이용해 아이템이나 경험치를 증가시키는 방법과 자동 게임머신을 이용해 24시간 기계가 게임을 하도록 하는 툴도 있다.

해킹을 차단하기 위한 방안으로 어떤 준비를 했나?
우선 홈페이지 접속과 게임클라이언트 접속 시 양쪽 모두 키보드보안 프로그램을 지원하고 있다. 해킹툴에 의한 키로거해킹을 방지하기 위한 솔루션이다. 그리고 1차 접속 후, 게임시작 전에 캐릭터 선택화면에서 2차 비밀번호 서비스를 실행하고 있다. 유저의 선택사항이지만, 2차 비밀번호는 화상키보드를 이용해 마우스로 비밀번호를 입력하는 시스템이기 때문에 더욱 안전하다고 할 수 있다.
마지막으로 해킹추적시스템도입이다. 모든 유저들의 로그데이터를 축적해놓고 있다가 해킹피해 신고가 들어오면 로그를 분석해 해당 아이템이나 게임머니의 이동경로를 추적하고 해킹 사실이 밝혀지면 해당 해커는 계정이 완전 폐기된다. 또한 1주칠 이내 신고를 하면 해커가 가져간 아이템이나 게임머니를 돌려받을 수 있도록 서비스하고 있다.

해킹피해 후 1주일이 넘어가면 어떻게 되나?
1주일이 넘어서면 해커는 완전 계정 정지 처분을 받게 되지만 잃어버린 아이템이나 머니는 돌려받기 힘들다.

게임사에서 피해자들에게 피해를 당한만큼 복구해주면 되지 않나?
그렇게 할 수 없다. 게임도 하나의 사회다. 이를 임의로 게임사에서 계속해서 만들어준다면 아이템의 희소성이 떨어지고 게임의 규칙이 망가지기 때문에 이 부분은 게임사에서도 어쩔 수 없는 상황이다.

해킹추적시스템의 효과는 어느 정도인가?
3개월 정도 실시했는데 이전보다 해킹피해건수가 70% 정도 줄었다. 해커들도 대부분 메이플스토리를 상당히 즐기고 매일 사용하는 VIP 고객이라고 할 수 있다. 해킹추적시스템을 통해 만약 해킹사실이 밝혀지면 더 이상 메이플스토리를 자신의 계정으로는 할 수 없기 때문에 이를 상당히 두려워하는 효과가 있다. 게이머에게 계정 폐기는 치명적이다. 그래서 해킹을 시도하는 건수가 상당히 줄어들었다고 생각한다.

이러한 보안프로그램은 해외서비스에도 지원되고 있나?
한국이 항상 테스트베드다. 한국에서 어느 정도 실효성을 거두게 되면, 메이플스토리의 경우 현재 58개국에 서비스하고 있는데 점차적으로 해외서비스에도 확대 도입할 예정이다.

보안문제도 개발팀에서 처리하고 있나?
넥슨에는 게임별로 여러 개발팀이 있다. 기술적인 부분 보다는 게임로직을 이용해 보안을 할 수 있는 부분은 개발팀에서 대부분 맡아서 하고 있다. 그 이외에 상당히 기술적인 해킹이나 심각한 보안상황이 발생할 때는 사내 보안팀이 구성돼 있기 때문에 도움을 받고 있다.

게임유저들에게 보안에 대해 한마디 조언을 한다면?
안전한 게임을 하기 위해서는 게임사의 보안정책을 적극적으로 받아들여야 한다. 특히 2차 비밀번호 서비스와 같은 경우는 선택사항이지만 강력한 보안시스템이라고 할 수 있다. 이용자 개개인이 보안의식을 가지고 이러한 보안정책에 적극적으로 동참해줘야 한다. 게임사 입장에서도 이용자들의 보안의식을 강화하기 위해 다양한 이벤트를 준비하고 있다. 또한 해킹피해가 발생하면 즉시 신고센터에 접수하고 일부 이용자들이 게임 계정을 친구들과 공유하는 경우가 많다. 이런 경우 피해를 입더라도 구제를 받을 수 없기 때문에 자신의 게임 계정은 자신만 알 수 있도록 하는데 주의를 기울여야 한다.  
[길민권 기자(reporter21@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>