게임 개발부터 보안 고려된 API 사용해야

게임 공급업체는 해킹 툴 사용자 단호 대처 필요

안철수연구소는 날로 다양화하고 있는 온라인 게임의 최신 해킹 동향과 대응방안을 제시하고, 게임보안의 필요성을 알리기 위해 11일 코엑스 컨퍼런스센터에서 <제 1회 온라인 게임 보안 세미나>를 개최했다.

이번 세미나는 ‘온라인 게임 보안의 현황과 전망’, ‘온라인 게임 해킹 최신 기법’, ‘온라인 게임 해킹 공격과 방어’ 등의 주제로 진행됐으며 국내 온라인 게임업체 보안담당자 및 개발자 등 150여 명이 참석했다.

특히 이번 세미나는 다양한 보안이슈 가운데 ‘온라인 게임 보안’을 특화해 국내에서 처음으로 열린 세미나로 게임 개발사나 배급업체에 게임보안의 범위와 필요성을 인식시켜주었다는 데 의의가 있다.

‘온라인 게임보안의 현황과 전망’이라는 주제로 기조연설에 나선 강은성 안철수연구소 상무는 “온라인 게임산업이 급성장함에 따라 온라인 게임 아이템 시장의 규모도 8천억 원에 이른다”며 “이에 따라 금전적 이익을 노리는 게임 해킹기술이 고도화하고 비즈니스로까지 성장하기에 이르렀다”고 진단했다.

실제로 안철수연구소가 발표한 <시큐리티대응센터 애뉴얼 리포트 2006>에 따르면 지난해 국내에서 발견된 온라인 게임계정 탈취용 악성코드는 1049개에 이르며 이는 2005년의 236개에 비하면 약 4.4배 증가한 수치다.

또한 일반인들이 커뮤니티 등에서 정상적인 게임을 변조하거나 수정하는 해킹 툴을 쉽게 얻을 수 있으며 일부 제작자들은 금전적 이익을 얻기 위해 특정 게임을 겨냥한 해킹 툴을 판매하는 경우도 적지 않다. 그리고 많게는 수백대의 PC를 갖춰놓고 게임 전담자를 고용해 아이템을 키우거나 수집하는 이른바 ‘작업장’이 한국과 중국에 많이 등장하고 있는 추세이다.

강은성 상무는 “해킹 툴의 피해가 늘어나면 사용자들이 재미를 잃거나 게임의 안전성을 의심하여 결국 이탈하는 결과로 이어진다. 또한 게임 공급업체는 게임 서버의 과부하로 시스템을 계속 증설해야 하므로 불필요한 비용을 지출해야 한다”며 “따라서 온라인 게임 해킹사고는 게임업체의 매출 감소는 물론 신뢰도 실추 등 사용자와 게임업체에 유무형의 손실을 안겨주기 때문에 게임개발 및 공급업체들은 적극적인 보안대책을 마련해야 한다”고 강조했다.

‘온라인 게임 해킹 최신기법’, ‘온라인 게임 해킹공격과 방어’ 순서에서는 해킹과정을 정확히 이해하고 대응하자는 취지에서 각종 해킹 툴의 원리를 설명하고 직접 시연하는 시간을 가졌다. 윈도의 타이머를 조정해 게임 캐릭터 등의 동작을 빠르게 하는 ‘스피드핵’, 사용자의 입력 값을 가로채거나 자신이 원하는 기능을 게임에 심어두는 ‘메시지 후킹’, 마우스 입력을 자동으로 처리해주는 ‘오토 마우스’ 등을 시연해 이해를 도왔다.

아울러 이런 해킹공격을 방어하기 위한 다각적인 방법을 제시했다. 우선 게임을 개발할 때는 보안이 고려된 API(Application Programming Interface)를 사용하고, 주요 실행 파일(.exe, .dll)은 코드 분석을 하지 못하도록 패킹(Packing)한 후에 배포하며, 해커에게 분석의 힌트를 제공할 수 있는 디버그 정보(.pdb)나 디버그 버전 실행파일 등이 제공되지 않도록 배포단계에서 검사를 강화할 것을 주문했다.

그리고 게임개발 및 공급업체에서는 해킹 툴의 범위를 명확하게 하여 장기적 관점에서 해킹 툴 사용자에게 단호히 대처하고, 내부자에 의한 정보유출을 방지하기 위한 관리를 강화하며, 전문 보안업체와 지속적으로 협력해야 한다고 강조했다.

[동성혜 기자(boan2@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>