지난 2월 10일 넥슨 대회의실에서 버그트럭 오프라인 모임인 ‘버그를 토하자’ 모임이 열렸다. 이날 행사에서 발표를 맡은 강병탁 넥슨 보안팀장은 ‘보안회사의 게임보안팀 vs 게임회사의 게임보안팀’이라는 주제로 발표를 했다. 같은 게임보안을 하고는 있지만 주체와 입장에 따라 보안을 보는 시각도 다르고 하는 일도 다르다는 것을 강조했다.

 
◇게임보안팀이란
우선 게임보안팀의 업무는 메모리핵, 오토, 패킷핵, 스피드핵 등 게임해킹을 차단하는 업무를 하는 팀이다. 이를 위해 게임보안 솔루션 개발, 리버스 엔지니어링 작업을 하게 된다. 보안 카테고리별로 분류해 보면, 안티바이러스 개발, 개발보안(secure coding), 악성코드, 바이러스 분석, 긴급대응 업무를 주로 한다.
 
국내 보안회사 중에서 게임보안팀이 있는 곳은 안철수연구소(Ahnlab HackShield), 잉카인터넷(nProtect GameGuard), 와이즈로직(X-Trap), 웰비아(XignCode) 등이다.    
 
또 게임회사 중 게임보안팀이 있는 곳은 넥슨, NHN, 엔씨소프트, GameHi, Neople, M-Game, Webzen, CCR 등등이 있다. 보안회사는 게임보안 솔루션을 제공하는 회사 위조로 조직이 존재하기 때문에 소수이지만 게임회사는 게임보안팀이 생각보다 많음을 알 수 있다.
 
강팀장은 “게임보안팀의 목표는 당연히 게임해킹을 방지하는 일이다. 하지만 이외에도 다양한 부서들과 엮이는 것도 많고 법적 이슈에 대해서도 잘 알아야 한다. 또 수많은 보고서도 작성해야 한다”고 설명했다.
 
◇보안업체-게임업체 게임보안팀의 컨셉은 달라
보안업체와 게임업체의 게임보안팀은 어떤 차이가 있을까. 강팀장은 해킹툴을 분석할 때도 보는 관점이 다르다고 말한다. 보안회사는 보안솔루션 우회유무나 왜 감지되지 않는지에 집중한다. 한편 게임회사는 게임 컨텐츠 침해유무와 취약한 변수와 패킷을 점검하는데 치중한다는 점이 차이다.
 
예를 들어 치트엔진 대응에 대한 보안회사의 반응을 보면, 툴 자체에 대한 접근방식을 취한다. 여기서는 왜 감지가 되지 않는지가 관건이다. 치트엔진 바이너리 자체에 대한 의문을 풀기 위해 노력하고 왜 메모리가 읽혀질까를 고민한다. 즉 솔루션의 메모리 보호기능에 대한 의문에 초점이 맞춰진다.
 
치트엔진에 대한 게임회사의 반응은 또 다르다. 우선 툴이 무엇을 하는지에 대한 접근이 이루어진다. 건드리는 메모리 번지는 어디일까, 소스코드 상에서의 변수 등을 점검한다. 또 어떤 행위를 발생시키냐에 초점이 맞춰진다.
 
종합해보면 보안회사에서는 게임보안 솔루션의 메인기능 침해 및 감지범위 위주를 분석한다. 메모리 보호기능에서 Process Read/Write 기능이 온전히 보호되는지, SDT Hooking, system dll hooking detection 등을 살핀다. 스캔 기능에서는 detection 되지 않도록 해킹툴을 감추고 있는지, 솔루션이 찾지 못하는 영역에서 가동되는지, Cheat Engine을 왜 탐지하지 못하는지 등을 점검한다. 또 오토 차단 기능에서는 NtUserSendInput() 후킹이 정상적인지, 필터 드라이버를 이용한 매크로를 감지하고 있는지를 본다.
 
게임회사에서는 게임 컨텐츠 코드상의 취약점과 구조상 취약점 분석에 집중한다. 서버에 있어야 할 변수가 클라이언트에 있는지, 메모리 변조로 치트가 가능한지, 변수를 소스코드에서 찾아 어떻게 보완할 것인지, 패킷 프로토콜 취약점이 없는지, 엄한 패킷을 보내서 악의적인 행동이 가능한지, 설계상의 취약점이 없는지 시퀀스는 잘 되는지, 유저 로그를 파악하여 오토 행위가 포착이 되고 있는지, 데이터마이닝 로직 상 헛점은 없는지 등에 집중하게 된다.
 
강팀장은 “물론 서로의 영역을 분석하는 것도 가능하다. 보안회사에서는 게임 컨텐츠 취약점이나 패킷 취약점을 분석해 주기도 하고 게임회사에서는 보안회사의 솔루션 메모리 보호기능에 대해 분석하기도 한다”고 말한다.
 
그렇다면 보안업체와 게임사의 게임보안팀 조직 구성과 각 장단점은 어떤 것들이 있을까?
<기사②에서는 보안업체와 게임사의 게임보안팀 조직 구성의 차이와 장단점에 대해 소개한다.>
[데일리시큐=길민권 기자]