해커들의 새로운 놀이터, 게임 생태계
안녕하세요, 보안클라우드 입니다.
IT업계에서 "PC게임"은 과거 어린 학생들이 주로 하는 취미생활로 취급받았으나, 현재는 남녀노소 가릴 것 없이 누구나 즐기는 거대한 문화산업이 되었습니다. 오늘은 급격하게 성장하고 있는 게임 산업과 해킹 공격에 대해 짧게 이야기 해볼까 합니다.
각종 치트 프로그램가 게임 생태계의 신뢰도를 낮추고 산업시장을 위협하고 있음.
2010년대는 유독 배틀그라운드, 오버워치 등 게임 가상 공간 안에서 총을 가지고 전쟁을 벌이는 FPS 장르 게임이 많은 유저들의 사랑을 받았습니다. 허나 유저 중에는 게이머가 게임 안에서 보다 더 좋은 성적을 거둘 수 있도록 자동으로 적을 조준해주거나 적의 위치를 알려주는 등의 악의적인 프로그램(일명 치팅 프로그램, 핵)을 어둠의 경로로 구입하여 사용하는 유저들도 있었습니다. 그런 불법 프로그램의 경우, 게임 속 다른 유저들의 플레이를 방해하기 때문에 게임 개발사에서는 그러한 불법 프로그램 감지와 해킹 방지를 위해 다양하게 노력 중이나, 해커(봇 개발자)들 역시 배포되는 패치에 맞춰 열심히 불법 프로그램을 배포 및 판매하고 있기 때문에, 개발사와 해커간의 전쟁은 현재까지도 계속 진행되고 있지요.
핵 프로그램 사용 방지를 위한 안티치트 프로그램(PUBG AntiCheat Program, RIOT VanGuard)
치팅 프로그램 개발의 문제는 FPS 장르 뿐만아니라 MMORPG와 같은 다른 게임 장르에서도 마찬가지로 발생했는데, 대표적으로 리니지 게임의 경우에는 불법 프로그램을 사용한 자동 파밍(사냥, 수집 등 컴퓨터가 자동으로 게임을 플레이 하는 것) 기능을 활용하여 한 사용자가 수 백, 수 천개의 계정을 운영하는 등의 불법적인 행위들이 발생하며 게임 산업의 큰 화두가 되기도 했습니다. 이러한 불법 프로그램은 공개적으로 개발된 소프트웨어가 아니기 때문에 이를 사용하는 치트 사용자 역시 해킹 공격의 피해자가 되기도 하는데, 실제로 2019년도에는 "포트나이트"라는 국제적인 인기게임 유저를 대상으로 시르크(Syrk)라는 랜섬웨어가 핵 프로그램으로 위장 유포되어 많은 피해자를 발생 시키기도 했습니다.
핵 프로그램으로 위장한 Syrk 랜섬웨어, 2시간 간격으로 로컬 리소스를 암호화시키거나 삭제
이러한 게임 해킹의 역사는 우리가 아는 것 보다 훨씬 오래 전부터 시작해왔습니다. 1980년대 초반 PC게임의 여명기 시절 게임 해킹의 동기는 좀 더 나은 성능을 원하거나, 그래픽을 자기 마음대로 커스터마이징 하는 등 사소한 이유에서 였습니다. 1990년대 후반부터 2000년대 초반에 이르는 시기는 가히 게임 해킹의 황금 시대였다고 할 수 있는데, 이 시기에 이르러 유행처럼 출시된 온라인 게임은 수많은 사람들을 동시에 수용할 수 있는 시스템을 구축했으나 보안을 고려하지 않은 개발 로직으로 인해 간단하고 쉬운 방법으로 리버스 엔지니어링이 가능하였고, 유료 아이템과 같은 인앱 구매 시스템이 적용되며 게임 해킹의 규모와 수준 역시 과거의 단순했던 동기를 벗어나 "금전적인 이익"을 노리는 해킹 공격들이 성행하고 있습니다. 이러한 이유로 과거의 개발자 뿐만 아니라 오늘날의 게임 개발자들 역시 수많은 봇 개발자와 사용자 커뮤니티에 적절하게 대응하려고 노력하고 있지만, 그 싸움은 쉽게 종결되지 않고 게임 해킹의 역사와 함께 계속 진행되고 있습니다.
그렇다면 해커들은 왜 게임을 해킹할까요?
게임 해킹의 본질적인 매력과 도전적인 면들을 감안하더라도, 현대 게임 해킹 시도는 그 자체가 실용적인 측면과 금전적인 측면에서 이득을 보려는 의도가 있는 행위라 볼 수 있습니다. 한국콘텐츠진흥원의 분석에 따르면 20년도 한국 게임산업 규모는 17조원을 돌파할 정도로 거대한 산업으로 성장하였고, 매일 수천만명의 플레이어들이 게임 내 가상의 재화를 거래하며 이를 통해 게임 내 경제를 활성화 시키고 있습니다.
지난 해 9%라는 무서운 증가세로 꾸준히 성장하고 있는 게임 산업 (한국콘텐츠진흥원, 2020)
유저들은 유료 아이템들을 구매하기 위해 실생활에 통용되는 화폐를 이용하고, 게임마다의 환율을 통해 게임 머니와 실제 화폐가 교환되기 때문에 해커들에게 게임 생태계는 부유한 가상 화폐 거래소와 같은 의미가 됩니다. 더불어 실제 은행이나 주식 거래소 같은 시스템을 해킹하는 것보다는 난이도가 훨씬 쉬우니 해커들에게는 이보다 더 좋은 공격 대상이 없는 셈이죠.
게다가 게임 유저들 상당수가 낮은 연령층에 속하여 온라인 사기와 공격에 대해 무지한 경우도 많고, 피해를 입은 경우에도 게임은 별거 아니라는 사회적인 인식과 사이버상 이루어진 행위에 대한 실질적인 구제가 어려워, 해커들에게는 책임 소재에 대한 부담감을 훨씬 덜 수 있습니다. 은행 계좌에 해킹 공격이 있었다면 해당 은행 및 유관기관들이 수사를 하게 되지만, 게임 계정이 해킹 당했다고 수사기관까지 나서서 사안을 해결하려고 하진 않을테니까요.
현재 사법부에서는 핵 프로그램을 "악성 프로그램"으로 인정하고 있지않지만, 사용 여부에 대한 정당성을 여전히 논란이 많은 상태이다(대법원 2020.10.15 선고 2019도2862 판결).
작년에는 온라인 게임에 대한 핵 프로그램 제작 및 배포에 대해 의미있는 판결이 내려졌는데, 인기게임인 오버워치 에임핵 개발자에 대한 대법원 판결의 요약은 "핵 프로그램은 악성 프로그램에 해당되지 않는다"였습니다. 많은 게이머들에게는 다소 이해기 어려운 판결이었지만 1. 이용자의 컴퓨터에서만 실행하여 다른 이용자들의 트래픽에는 영향을 주지 않고, 2. 조준과 사격만 쉽게 보조해주며, 3. 게임 프로그램 자체를 변경시키지 않는다는 등의 근거로 판결이 내려졌습니다.
이 판결 이후 '핵 프로그램은 불법이 아니니 마음껏 사용해도 되겠다'는 주장들이 나오기 시작했는데 그것은 사실이 아니니 단순 호기심으로 핵 프로그램을 제작 배포하거나 사용하는 행위는 위험합니다. 실제로 정보통신망법에 비해 처벌 수위가 낮긴 하지만, 해당 사건의 1심과 2심 모두 언급했던 게임산업법에 대해서는 유죄로 보았기 때문에 핵 프로그램의 제작 배포는 엄연히 불법행위 라고 할 수 있습니다. 이제는 10대 뿐만 아니라 모두가 즐기는 게임 문화를 즐거운 공간으로 지켜가기 위해 필요한 것은, 무엇보다도 구성원인 게임 유저들의 건전한 참여와 사회 인식의 전환이 중요할 것입니다. 게임이 스포츠로 거듭나는 시대, IT강국으로서 재미 뿐만 아니라 보안적으로도 안전하고 성숙한 게임 산업 발전을 기대하며 글을 마무리 합니다.
지금까지 게임 산업과 해킹 공격에 대해 이야기 해보았는데, 긴 글 끝까지 읽어주셔서 감사합니다.
다음 포스팅에서는 더 유익한 주제로 다시 찾아뵙겠습니다.