G-스타 2013 컨퍼런스에서 흥미로운 주제를 하나 발견했다. 바로 보안과 해킹에 대한 윈디소프트의 세션이었다. 게임은 IT 부문에서 해외에서 통하는 몇 안 되는 분야, 컨퍼런스 주제 대부분은 해외 시장 관련 된 것이다. 대부분 해외 진출 방법이나 마케팅 등 비즈니스에 대한 이야기들 가운데 윈디소프트는 게임 업계가 해외 시장 진출 시 통과 의례처럼 거치는 해킹과 보안에 대한 것이다 보니 자연 눈길이 갔다. 특히 프리 서버에 대한 이야기는 평소 들어보지 못했던 주제라 더욱 관심이 생겼다. 이에 발표를 맡은 윈디소프트 신승민 이사의 프리 서버 해킹에 대해 이야기를 정리해 보았다.

서버를 통째로 훔쳐가는 간 큰 도둑들

온라인 게임 업계 업계 역시 해킹으로 인한 불법복제로부터 자유롭지 못하다. 온라인 게임 명가인 대한민국 대표 업체들 역시 국내외에서 운영되는 프리 서버(Free Server)들 때문에 골치를 앓고 있다. 액션, 캐주얼, RPG, 전략시뮬레이션 그리고 모바일 플래시 등 다양한 장르의 게임을 만들어 글로벌 시장에 서비스하고 있는 윈디소프트 역시 온라인 게임 서버를 통째로 복제하는 해커의 위협은 신규 게임을 런칭하기 전 언제나 큰 고민 거리다.

온라인 게임은 클라이언트와 서버가 서로 맞물려 작동하는 구조다. 이런 구조적 특징으로 불법 복제가 어렵지 않을까? 해커에게 불가능이란 없다. 온라인 게임의 경우 서버를 통째로 불법 복제하여 사설로 운영하는 방식의 해킹이 이루어진다. 게임 서버는 생각보다 쉽게 위험에 노출된다. 가장 간단한 방법은 실제 물리적 서버나 하드디스크가 유출되는 것이다. 해외 시장에 진출한 업체들이라면 낯설지 않은 사건이다. 현지 데이터센터에 서버를 넣어도 내부자의 도움으로 서버나 하드디스크가 탈취되는 일들이 잦았다. 다음으로 테스트 서버 오픈이나 해외 게임 수출 시와 같이 순간 적으로 보안이 허술한 틈을 노려 게임 소스를 탈취하는 방법이다. 다음으로 좀 고난도 기법인 역공학(Reverse Engineering)을 이용하는 것이다. 게임 클라이언트와 서버가 통신하는 과정에 나오는 패킷 정보들을 분석해 이를 토대로 프리 서버를 만드는 것이다.

이처럼 방법도 많고 한번 프리 서버가 개설되면 유저들 사이에 활발한 정보 공유를 통해 그 확산 속도 역시 빠르기 때문에 게임 업체로써는 여간 골치거리가 아니다. 특히 게임 런칭을 준비하는 단계에서 게임 업체 개발진들이 받는 스트레스는 상당하다.

난독화 만으로는 불안해

윈디소프트의 경우 프리 서버에 대응하기 위해 클라이언트 실행 파일에 난독화 기술을 적용했다고 한다. 그리고 불법적인 계정 탈취를 막기 위해 인증 서버를 주기적으로 업데이트 하는 방식을 이용했다고 한다. 하지만 이 것만으로는 안전을 보장하기에 마음이 놓이지 않았다고 한다. 프리 서버를 만든 해커들이 게임 업체 서버가 아니라 자기 서버로 로그인 하도록 유인할 경우 마땅한 대비책이 없었기 때문이다. 아주 단순한 방식이지만 게임 서버를 탈취 당했을 때 손쓸 방도도 없다는 것도 문제였다고 한다. 그렇다고 손을 놓고 있을 수는 없는 일, 윈디소프트는 어떻게 하면 게임 서버를 보다 안전하게 보호할 수 있는지 정보를 구하던 중 암호화 솔루션에서 문제 해결의 실마리를 찾았다고 한다.

암호화 솔루션으로 문제 해결

윈디소프트는 인증 서비스를 암호화 할 경우 보안 효과가 상당하다는 것을 내부 검토를 통해 확인하였다. 과거 서버에 난독화만을 반영했을 때와는 차원이 다른 보안이 가능함을 직접 체감한 것이다. 윈디소프트가 검토한 보안 시나리오는 세이프넷의 Sentinel HASP LDK의 API 이용해 게임 서버에 라이선스가 있어야만 사용자가 게임 구동에 대한 권한을 획득할 수 있도록 하는 것이었다. 쉽게 말해 정식 서버가 아닌 프리 서버로 연결될 때 게임 클라이언트가 구동이 안 되도록 하는 것이다. 다음으로 살핀 것은 게임 서버에 하드웨어 동클 키를 꼽아 하드웨어 분실 시에도 소스 코드 유출을 방지하는 것이었다. 2달 간에 걸친 사전 검토를 마친 윈디소프트는 실제 게임 서비스에 적용에 들어갔다. 윈디소프트는 우선 API 차원에서 게임 서버와 HASP LDK를 연동했다. 윈디소프트는 또한 서버를 통째로 잃어 버리는 경우는 대비하여 라이선스 갱신을 한 달 간격으로 설정하였다. 서버가 유출되더라도 라이선스 갱신을 하지 못할 경우 실행 자체가 되지 않게 조치를 취한 것이다. 한편 윈디소프트는 향후 모바일 게임에도 난독화, 암호화 기술 적용을 고려 중이라고 한다. 앱에 대한 해커들의 소스 코드 분석을 차단하기 위한 방안으로 난독화, 암호화 기술 적용을 고려하고 있는 것이다.

중국 시장 진출을 위한 팁

윈디소프트 신승민 이사는 중국 시장에서 서비스 하고자 하는 기업들이 프리 서버 등 해킹의 위협에서 벗어나기 위한 팁을 네 가지로 정리해 소개했다. 이 네 가지 포인트를 핵심으로 라이선스 관리 서버 만은 꼭 현지가 아니라 국내에 서버를 두길 당부했다.

첫 번째: 해킹은 게임 영역이 아니라 보안 전문 영역이다. 따라서 보안 전문가와 함께 대응이 필요하다.

두 번째: 게임 보안을 위해 보안 솔루션이 필요한데 실제 이 솔루션이 어떻게 적용 및 운영되고 있는 지 잘 꿰고 있어야 한다.

세 번째: 게임 로그 관리는 운영 로그뿐 아니라 보안 로그도 꼭 챙겨 해야 한다.

네 번째; 사전에 철저히 준비하고 현지 퍼블리셔와 긴밀히 협의할 수 있다면 중국이건 이디건 해킹을 막을 수 있다!