“모바일 게임은 최소 3개월 안에 수익을 내야 하는 구조다. 그래서 최소한의 보안적용도 하지 않은 채 구글플레이스토어와 앱스토어에 올라온다. 그런 이유로 발 빠른 해커들은 출시된 게임의 해킹툴을 손쉽게 제작해 인터넷상에 공개하고 있다. 중국에서 운영하는 블랙모드에는 웬만한 게임들을 해킹해서 사용할 수 있는 툴들이 무방비로 올라오고 있다. 회원가입도 필요없고 일정 시간 광고만 보면 누구나 해킹툴을 사용해 게임을 할 수 있다. 정상적으로 비용을 지불하고 게임을 하는 사용자들만 바보가 되는 구조다.”

신재원 블랙펄시큐리티 연구원은 최근 게임유저들에게 가장 인기 있는 게임들 중 3개의 모바일 게임을 분석한 결과를 데일리시큐와 공유하면서 이렇게 말했다.

모바일 게임 개발사들은 빠른 시간에 수익구조를 맞추기 위해 위·변조방지 솔루션이나 보안프로그램 적용도 하지 않고 출시하고 있고 해킹툴이 올라오거나 불법적인 사용자가 접속을 해도 게임 유저수 상승을 위해 방관하고 있는 상황이다. 그 결과 정상적으로 게임아이템을 구매해 사용하는 유저들만 결국 피해를 보게 되는 현실이다.

신 연구원은 “정상적인 게임 유저에 대한 피해 책임은 아무도 지지 않는 상황이다. 불법해킹툴을 제작하지 못하도록 게임 개발사와 게임 배급사 그리고 구글과 애플이 검증을 해야 함에도 불구하고 어느 누구도 책임을 지지 않고 있어 이런 구조가 계속 되고 있다”고 지적했다.

최근 신 연구원은 국내 정식 출시된 게임 3종에 대한 보안성 테스트를 실시했다. 2017년 출시된 유명 RPG 게임 2종과 2019년 출시된 방치형 전략 시뮬레이션 게임을 분석했다. 모두 많은 유저들을 확보하고 있는 인기 게임들이다.

그 중 방치형 전략 시뮬레이션 게임만 보안을 강화해 출시된 것으로 조사됐다. 개발시부터 보안을 적용했고 인증 구조도 잘 돼 있어 아직까지 블랙모드에도 해킹툴이 올라와 있지 않은 게임이다. 게임개발사들이 지향해야 할 게임 개발 구조를 갖춘 것으로 보여진다.

나머지 두 개 RPG 게임은 허술한 보안으로 해킹에 취약한 것으로 조사됐다.

신 연구원은 “두 게임은 해킹에 매우 취약한 상황이다. 아마 게임 개발사도 알고 있을 것이다. 문제는 해킹툴을 사용하는 유저들을 차단하면 게임 유저 순위가 하락하기 때문에 이를 방관하고 있는 것이다. 해킹툴 사용한 불법 유저들은 돈이 되는 아이템을 손 쉽게 획득해 아이템거래소에 팔아 이득을 취하고 있으며 정상적으로 결제를 하고 아이템을 구매해 게임을 하는 유저들은 상대적으로 피해를 볼 수밖에 없는 상황이다”라고 설명했다.

모바일 게임 개발사들이 자신들의 이익을 위해 정상적인 유저들에게 피해를 주고 있는 상황이라 이 부분에 대한 게임업계의 보안 강화 노력이 필요한 상태다.

특히 소형 게임 개발사도 게임 개발시 보안 적용에 투자를 해야 하지만 게임을 배포하는 대형 유통기업도 게임 출시전에 보안성 강화가 이루어질 수 있도록 보안검사 체계를 강화해야 할 것으로 보인다.

신재원 블랙펄시큐리티 연구원은 “모바일 게임 앱의 보안성이 취약하면 해킹을 통해 악성앱으로 변조될 수도 있다. 엄청난 게임 유저들이 악성앱으로 변조된 게임앱을 다운로드한다면 스마트폰 해킹으로 이어져 큰 피해가 발생할 수 있기 때문에 게임 업계의 노력과 이를 관리 감독할 수 있는 기관이 필요하다”며 “수십억에서 수백억의 이익을 취하면서도 기본적인 보안솔루션 적용과 보안개발에 대한 노력도 기울이지 않아 정상적인 유저들에게 피해를 주고 악성앱으로 변질 될 수 있는 상황을 만드는 것은 빨리 개선돼야 할 게임업계의 잘못된 구조다”라고 비판했다.

★정보보안 대표 미디어 데일리시큐!★