게임메카

리니지 트로이목마로 인해 수면 위로 떠오른 보안 문제는 2007년에는 개발자 게임소스 유출까지 확대되며, 게임업계의 핵심 과제로 급부상했다.

게임업계가 본격적으로 ‘보안’에 관심을 가지게 된 것은 2004년 전후다. 리니지 트로이 목마로 인해 인터넷 해킹과 정보 유출이 위험수위에 이르렀다는 위기의식 아래, 넥슨/엔씨소프트/네오위즈 등 대기업들이 보안전문팀을 마련하며 내부 정비에 나섰던 시기다. 대표적으로 엔씨소프트는 퍼블리싱 게임의 경우, 보안팀의 승인 없이 게임 홈페이지 오픈이나 서비스 자체가 불가능하다.

법의 사각지대 노린 아이템거래사이트 공격, 협박

게임업체 보안 전문가들이 올해 들어 가장 주목하고 있는 문제는 바로 중국발 해킹이었다. 특정 게임을 목적으로 조직적으로 일어나는 중국발 해킹은 더 이상 보이지 않는 위협이 아니라고 보안 담당자들은 입을 모았다. 이미 엔씨소프트를 비롯한 많은 게임업체들이 중국을 통한 접속 자체를 차단하고 있는 상황이다.

실제로, 안철수 연구소는 올해 보안 문제에서 특히 악성코드 제작자들이 금전 거래를 목적으로 개인정보를 빼내기 위해 특정 웹사이트를 해킹한 뒤 악성코드를 심는 경우가 많았다고 전했다. 조시행 시큐리티대응연구소장은 “최근의 보안 위협은 공격 대상이 불특정 다수에서 한 회사, 한 커뮤니티 등으로 집중되고, 개인 범죄에서 조직 범죄로, 자료의 변조, 파괴에서 정보 유출 쪽으로 바뀌고 있다.”고 분석했다.

특히, 올해 3분기 아이템베이, 아이템매니아 등 대형 온라인 게임 아이템 중개거래사이트들이 받은 중국발 해킹공격은 그 수준이나 규모 면에서 차원이 달랐다. 당시 이루어진 대규모 인터넷 공격으로 인해 동시다발적으로 다수의 사이트가 마비됐다.

당시 아이템중개거래사이트가 받은 DDoS(분산서비스거부) 공격의 규모는 약 17기가 상당이었다. 평소에도 이 정도 규모의 트래픽을 감당해내려면 서버 운영에만 수십억의 비용이 드는 수준이다. 실제로, 당시 아이템중개거래사이트는 위협을 느낀 ISP 업체로부터 일방적인 호스팅 거부를 당했다.

이른바 법의 ‘사각지대’에 있는 불법 성인사이트나 도박사이트를 대상으로 이루어지던 ‘인터넷 사이트 공격을 빌미로 한 협박’이 게임업계로 넘어온 것이다. 이는 대형 게임사이트와 달리 대규모 인터넷 공격에 대처해 본 적이 없는 소규모 게임업체에는 큰 위협에 해당한다.

중국발 해킹, 전문 해킹그룹을 통한 조직적 해킹 늘어

넥슨의 연수권 보안팀장은 현재 중국 해킹 기술 발전은 우리가 상상하는 이상이라며, 특정 게임을 목표로 한 해킹그룹의 공격이 이루어지는 상황이라고 말했다.

“우리가 중국 쪽 해킹사고에 대응해서 새로운 보안프로그램을 추가해도 30분만에 그걸 깨는 프로그램이 나온다. ‘나는 한국의 어떤 게임사이트를 해킹했다’는 내용의 전문해킹잡지나 동영상이 아무런 제재를 받지 않고 유통된다. 중국은 국내와 다른 것이 해킹에 대한 규제가 심하지 않아 해커들이 자유롭게 공격할 수 있다”

CJ인터넷 정찬규 보안팀장 역시 중국발 공격의 심각성을 피부로 느낀다고 전했다. “한국에서 메인드인차이나는 불량품이라고 조롱 받는 일이 비일비재하지만, 해킹기술에서 메이드인차이나는 이미 세계 최고 수준이다.”라고 말했다.

여기에 중국이 아닌 기술이 발달한 인도나 브라질 등 제 2, 3의 국가를 통한 대규모 해킹 공격이 이루어질 가능성도 있다고 보안담당자들은 경고했다.

네오위즈 서홍원 보안팀장은 대다수의 인터넷 사용자들이 아이디와 비밀번호를 여러 사이트를 통해 공유하고 있기 때문에 각별한 주의를 요구한다고 전했다.

“인터넷에는 매우 많은 바이러스와 웜이 돌아다닌다. 하루에 한 번씩 금융사이트를 가서, 보안 프로그램을 다운로드 받아야 한다. 사용자의 경우, 기본적으로 백신은 사용해야 한다. 일년에 3-4만원, 한 달에 3-4천원의 정도의 비용이 든다. 그 비용이나 노력을 아까워하면 이제까지 내가 쌓아온 소중한 게임정보와 자산을 잃어버릴 수 있다. 이것도 게임회사와 마찬가지다. 보이지 않는 것에는 투자하지 않는다는 생각을 버려야 한다.”

NHN 김재동 서비스보안팀장 역시 인터넷 보안의 시작은 사용자 PC의 안전이라고 지적했다. 나아가 정부나 해당 산업이 공동으로 무료 백신 혹은 기타 툴 등의 확산을 통해 안전한 인터넷 환경을 만들도록 노력해야 한다고 강조했다.

내부 기밀 유출, 개발자의 양심에만 맡길 수 없다

올해는 보안 문제가 ‘리니지3 개발정보 유출’ 사건을 통해 인터넷 해킹만이 아닌 게임회사의 내부 기밀 유출로 확대되며 그 심각성을 알린 바 있다. 일반적으로 생각하는 ‘보안’은 온라인 해킹이나 사이트 관리에 해당하지만, 넓은 의미에서의 보안은 회사 내부 정보나 핵심기술의 유출 방지 및 사내 시스템 관리까지 포괄한다.

더 쉽게 이야기하면 중요한 게임정보 및 소스 유출이 경쟁 회사에 넘어가는 것을 막거나 인터넷 메신저를 통한 정보 누출, 회사 출입인 관리 등까지 모두 보안에 해당된다.

현재, 대형 업체의 게임보안은 어느 정도 궤도에 오른 상황이지만, 중소 업체를 비롯한 많은 게임업체들의 보안에 대한 수준은 매우 낮은 것으로 보고된다.

적극적인 기밀 유출뿐만 아니라 개발자들이 이전 게임회사를 퇴사하면서 자신의 작업을 포트폴리오화는 차원에서 무단으로 유출하는 경우도 비일비재하다.

네오위즈 서홍원 보안팀장은 내부 기밀 유출을 막는 방법에도 한계가 있다는 사실을 지적했다.

“한 달에 백 만원 받는 개발자가 천 만원 줄게, 억 줄게 한다면 흔들릴 수 밖에 없다. 특히 그 회사가 처우가 안 좋은 회사라면 개발자 입장에서 고민할 수 있다.”면서 “무조건 직원들의 양심에만 맡길 수 없고, 회사 입장에서 직원들에게 로열티를 주어야 한다. 직원들이 얼마나 회사를 자랑스럽게 생각하느냐 같은 기본적 문제로 인해 보안 수준이 결정될 수 있다.”고 서팀장은 말했다.

보안은 매출을 극대화하는 방법이자 수단

현재, 온라인 게임 산업은 완전히 새로운 개발이나 개혁이 아닌 향후 산업의 안정적 기반을 다지는 차원에서 구성원들의 신뢰를 회복해야 한다는 공동의 문제를 안고 있다.

이것은 마치 자연환경을 보호하는 차원과 마찬가지다. 눈에 띄는 직접적이고 빠른 효과는 없지만, 보안과 운영은 온라인 게임이 정상적으로 작동하기 위한 안전하고 완벽한 ‘생태계’를 구축하는 작업이다.

CJ인터넷 정찬규 보안팀장은 게이머뿐만 아니라 게임업체 전반에 대한 보안의식이 강화되어야 한다고 강조했다. 보안의 성과는 ‘사고’가 나지 않는 한 직접적으로 보이지 않기 때문에 비용절감 차원에서 가장 먼저 예산이 축소되는 경향이 있다.

“국제적인 기준으로 이야기하면 중소기업은 매출의 10%, 대기업은 매출의 3%를 보안에 투자해야 한다지만 이 수치는 현실적으로 불가능하다. 그러나 더 이상 보안을 보이지 않는 영역에 대한 투자로만 보아서는 안 된다. 오히려 매출을 극대화하는 방법이며 수단이다.”

보안전문가들은 보안을 강화하기 위해서는 경영진의 의지, 회사의 의지가 가장 중요하다고 말했다. 또, 서비스 경험이 오래된 회사의 경우에는 상대적으로 대처하기가 쉽지만, 신생개발사의 경우 게임 이외에 신경 쓸 여력이 없는 현재의 상황도 염려했다. 대부분의 사람들은 아이디와 비밀번호를 공유하기 때문에 연쇄해킹사고의 가능성은 늘 열려 있다.

엔씨소프트 김광진 팀장은 다음과 같이 전했다. “보안은 매일 하는 양치질과 같다. 이가 썩어야지만 양치질을 하는 게 아닌 것처럼 보안도 문제가 발생해야지만 대처가 이루어지는 게 아니다. 매일 방지해야 한다.”

온라인 게임업체들은 급격하게 성장했다. 처음에는 수익 때문에 보안을 생각하지 못했고, 몇 차례 사고로 인해 이 같은 성장통이 밖으로 드러났다. 보안은 보안담당자 한 두 사람의 노력으로 이루어지는 것이 아니다. 게임업계 구성원이나 게이머의 협조 없이는 완벽한 게임 보안이란 영원히 불가능하다.