모바일 게임은 게임서버·게임클라이언트 소스 등에 전수검사·난독화

[보안뉴스 김경애] 네오위즈게임즈(대표 이기원)는 게임포털 피망에서 민족대명절 추석을 맞아 게임별로 다양한 이벤트를 진행한다.

이용자들의 호평을 받으며 인기몰이를 하고 있는 AOS 장르 게임 ‘에이지오브스톰’은 오는 18일부터 22일 연휴기간 중 오후 6시에서 10시 사이 게임에 접속하면 아이템을 구매할 수 있는 1천 코인의 게임머니를 1일 1회씩 지급하는 이벤트를 펼친다.

또한, 밀리터리 FPS게임 ‘아바(A.V.A)’는 오는 10일부터 24일까지 게임을 플레이해 획득한 송편으로 아이템을 교환하는 이벤트를 진행한다. 송편 아이템은 경험치와 보급치, 근접무기 중 하나와 게임머니를 받을 수 있는 보급 신청과 방어구 패키지 등 게임에서 활용도가 높은 아이템과 교환이 가능하다.

이처럼 네오위즈게임즈는 추석연휴가 길어지면서 게임 이용자들이 크게 증가할 것에 대비해 다양한 이벤트와 함께 개인정보보호 관리에도 심혈을 기울이고 있다.

네오위즈게임즈가 가장 중요하게 생각하는 보안 측면은 바로 게임 유저들에게 안전하고 쾌적한 게임 환경을 마련하는 것이다. 안전하고 쾌적하다는 것은 본인 계정 외 다중계정 조작을 통해 부당이익을 취하는 행위인 어뷰징 또는 공격자에 의해 건전한 유저들이 피해를 입지 않도록 유저들을 보호하는 것을 의미한다. 이는 간단명료하지만 전방위적으로 많은 노력이 필요하고, 이를 위해 많은 일들을 수행하고 계획해야 한다는 것이 네오위즈게임즈 측의 설명이다.

현재 네오위즈게임즈의 보안조직은 개인정보보호책임자인 CPO, 개인정보보호관리자, 개인정보보호담당자 및 부서별 보안담당자로 구성되어 있다.

수집하고 있는 개인정보는 아이디, 비밀번호, 이름, 생년월일, 성별 등이다. 이렇게 수집한 개인정보는 개인정보취급방침에 따라 안전하게 처리하고, 보안체계는 미래창조과학부에서 규정한 정보보호관리체계(ISMS)의 통제항목을 준수하고 있다는 것이 네오위즈게임즈 측의 설명이다.

이와 관련 네오위즈게임즈 보안실 최중섭 실장은 “ISMS는 기업이나 조직에 필요한 보안요소를 각 항목별로 분류하고 체계적으로 관리할 수 있도록 잘 짜여진 보안 프레임워크인데, 인증획득 후 제대로 운영되지 못하면 아무 의미가 없다”며,  “ISMS라는 관리체계의 기본에 충실한 것이 최선이라 생각하며, 이를 위해 매년 정기적으로 전사 보안교육을 비롯해 ISMS 운영현황 파악 및 홍보활동 등을 지속적으로 수행하고 있다”고 말했다.

이에 따라 네오위즈게임즈는 개인정보보호를 위한 체계적인 보안관리를 위해 개인정보보호 우수사이트 인증마크인 ePRIVACY 인증, 사이버윤리지수평가참여 인증 등을 획득했으며, ISMS의 경우 2009년에 인증을 획득해 현재까지 유지하고 있다. 지난해에는 전문보안컨설팅 업체와 PIMS 통제항목의 세부적인 리뷰를 통해 개인정보보호를 위한 기술적, 관리적 보호조치 방안들을 이행하고 있다고 네오위즈게임즈 측은 밝혔다.

개인정보의 취급위탁·운영에 대해 네오위즈게임즈는 서비스 향상을 위해 외부 전문 업체에 개인정보를 위탁해 운영하고 있다. 위탁관리의 안전을 위해 위탁계약서 에 서비스 제공자의 개인정보관련 지시 엄수, 개인정보에 관한 비밀유지, 제3자 제공금지 및 사고시의 책임 등을 명확히 규정하고, 당해 계약내용을 서면으로 보관하고 있다고 밝혔다.

도입하고 있는 보안 솔루션에 대해 최중섭 실장은 “보안 시스템의 운영현황은 매우 중요한 핵심 키로 전체를 공개하긴 어렵지만, 네트워크 기반의 침입탐지 시스템과 주요 구간의 침입방지 시스템을 이원화해 운영하고 있다”며, “특히, 핵심 인프라인 DB보안을 위해서 별도의 보안대책을 마련하는 등 다양한 솔루션을 운영하고 있다”고 밝혔다.

그러나 게임업체의 특성상 보안에 대한 애로사항도 적지 않다. 포털사의 경우는 DDoS 공격이나 유저정보 획득 등 공격의 형태를 어느 정도 예측할 수 있는 데 비해 게임사의 경우는 서비스하는 게임의 특성별로 어뷰징이나 불법적인 아이템 획득 시도, 결제 오남용 등 보안위협이 매우 다양하다는 것이다.

그렇다면 게임기업의 특성상 해킹툴 등 보안위협에 대해서는 어떻게 대응할까? 이와 관련 최중섭 실장은 “게임 해킹의 경우에는 별도의 3rd party 안티핵 솔루션 이외에 자체개발한 시그니쳐 기반의 해킹게이트웨이를 통해 게임 어뷰징 의지를 저하시키는데 노력하고 있다”며 “실제로 이를 적용한 게임의 경우 적용 전과 비교하여 효과가 탁월해 앞으로는 이를 확대 적용할 계획”이라고 설명했다.

또한, 그는 “모든 보안 이벤트는 중앙에서 통합관리하고 있어 24시간 상시 모니터링 및 대응체계를 구축이 가능하며, 보다 효율적인 대응을 통해 불량 트래픽으로 인한 네트워크 및 서버의 부하가 상당부분 감소했다”고 덧붙였다.

모바일 게임의 경우에는 게임서버, 게임클라이언트 소스에 대한 전수검사(Eye Checking) 및 난독화를 기본으로 수행하고 있으며, 최종 출시 전에 마지막으로 게임클라이언트의 메모리 변조 검수를 진행한다는 것이 최중섭 실장의 설명이다.

이용자를 위한 보안 서비스로는 피망 서비스 이용자를 위해 지정PC서비스, 보안SMS서비스, 2중 개인암호 설정 서비스, 전화인증 서비스, MOTP, GOTP, 키보드보안소프트웨어 및 무료백신 다운로드 사이트 정보 등을  제공하고 있다고 밝혔다. 이를 통해 이용자 스스로 보안에 대한 인식을 높이고, 보안관리를 통해 안전한 게임 환경 구축을 생활화할 수 있도록 하는 것이다.  

[김경애 기자(boan3@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>