2020-02-27 03:40 (목)
[인터뷰] 강선명 게임빌 실장 “보안 불모지에 보안 씨앗 심듯…”
상태바
[인터뷰] 강선명 게임빌 실장 “보안 불모지에 보안 씨앗 심듯…”
  • 길민권
  • 승인 2015.03.20 06:52
이 기사를 공유합니다

“보안 기술도 중요하지만 몸 담고 있는 분야에 해한 관심과 애정 갖고 있어야”
게임도 이제 모바일 시대다. 여전히 성장하고 있는 시장이며 그 잠재력도 크다. 지난해 한국콘텐츠진흥원에서 발간한 ‘2014년 대한민국 게임백서’에 따르면, 2013년 기준 국내 게임시장 규모는 9조 7198억 원. 이중 5조 4523억 원이 온라인 게임시장이며 나머지 2조 3277억 원이 모바일 게임 시장이다. 2012년 대비 온라인 게임시장은 19.6% 감소한 수치고 모바일 게임시장은 190.6% 증가한 수치다. 그만큼 향후 모바일 게임시장의 성장세가 더욱 가속화될 것으로 전문가들은 보고 있다. 하지만 돈과 사람이 몰리는 곳에 사이버 범죄자들도 몰리게 돼 있다.
 
최근 인기를 끌고 있는 모바일 게임 ‘별이되어라!’ ‘엘룬사가’ ‘다크어벤저2’ ‘크리티카:천상의 기사단’ 등등 많은 모바일 게임 콘텐츠를 개발, 유통하고 있는 게임빌(GAMEVIL). 데일리시큐는 국내 대표적인 모바일 게임사 게임빌의 정보보안실을 총괄하고 있는 강선명 실장(사진)을 만나 최근 모바일 게임 보안 현안들과 보안에 대한 그의 개인적인 의견들을 들어보는 시간을 가졌다.


△강선명 게임빌 정보보안실 실장
 
-보안 분야 근무한지가 얼마나 됐나
2000년 소프트포럼에서 인터넷뱅킹 보안솔루션 업무를 하면서 보안 관련 업무를 시작했다. 이후 이니텍 보안개발 본부장을 거쳐 웹젠, JCE 등에서 보안업무를 맡았고 현재 게임빌에서 정보보안 총괄 업무를 담당하고 있다.
 
-모바일 게임 시장이 성장하면서 해킹 공격도 만만치 않을 것 같은데. 어떤가
2000년대 중반부터 게임사 보안을 담당하면서 놀란 것이 있다. 금융권은 2000년대 중반부터 인터넷뱅킹에 대한 공격이 심했다. 당시 메모리해킹, 키보드해킹 등 이슈가 많았다. 하지만 게임사는 이미 2000년대 초반부터 이러한 공격에 시달려 왔다는 점이다. 즉 가장 먼저 최신 해킹공격의 타깃이 되고 있는 분야가 바로 게임분야다. 게임 분야 특성상 젊은 아마추어 해커들이 엄청난 열정(?)과 시간을 투자해 공격을 한다.
 
-최근 모바일 게임분야는 주로 어떤 공격들이 주를 이루고 있나
최근 공격 형태도 대부분 메모리해킹과 바이너리 조작 등이다. 특히 많은 것이 앱 위변조다. 크랙(crack)을 하면 안드로이드 디컴파일이 쉽다. 소스코드를 보고 분석해 새로운 기능을 만들어내는 것이다. 이를 통해 숫자값 데이터를 조작해 게임머니를 올리고 게임을 쉽게 할 수 있도록 능력치를 올려 사용하는 불법 유저들이 발생하고 있다.
 
또 모바일 게임은 온라인 게임과 다르게 데이터 사용에 민감하다. 즉 패킷양이 문제다. 요즘 모바일 게임 트렌드가 서버를 웹서버를 사용한다. 게임 통신프로토콜이 HTTP를 사용하기 때문에 분석하기 쉽고 패킷 보기가 쉬워 조작도 쉽다. 통신보안에 취약한 상황이다.
 
안드로이드가 상대적으로 분석이 쉬웠지만 지난해 중하순부터 iOS도 해커들에 의해 분석되고 있어 위험다. 오히려 그동안 안드로이드는 취약했기 때문에 보안에 신경을 많이 써온 반면 iOS는 서드파티 보안솔루션이 더 적어 더 위험할 수 있다.
 
또한 모바일 게임은 앱을 다운받을 때 돈을 지불하는 것이 아니라 무료로 앱을 다운받고 게임 사용중에 아이템을 구매하는 식이다. 그래서 이를 우회하는 해킹툴들도 상당수 나와있다. 또 PC온라인 게임은 결제대행할 수 있는 곳이 여러 곳 있지만 모바일은 마켓에 종속돼 있어 애플이나 구글 결제시스템을 모두 따라야 한다. 만약 이들 결제 모듈이 취약해 결제 우회 공격이 발생하면 사업자들은 큰 손실을 입기 때문에 주의해야 할 부분이다.
 
-그렇다면 보안에 대한 신경도 많이 써야 할 것 같은데, 모바일 게임사들 보안 투자 의지는 어떤가
최근 보안투자 늘고 있다. 하지만 경영진 입장에서는 온라인 게임에 비해 모바일 게임은 워낙 생명주기가 짧아서 해킹공격을 막는데 많은 돈을 투자하기 보다는 게임이 활성화되는 기간에 많은 수익을 내는 것이 낫다고 생각한다. 그래서 모바일 게임사들 보안 투자에 적극적이지는 않다고 보여진다.
 
-게임빌은 정보보안실도 구축하고 보안에 신경을 많이 쓰고 있는 것 같은데 어떤가
2014년 1월에 정보보안실이 만들어졌다. 기업보안과 게임보안 두 개 파트로 나뉘어서 업무를 담당한다. 모바일 게임은 특성상 글로벌 서비스가 쉽기 때문에 하루 매출만 수억원에 달한다. 하지만 앞서 언급한 불법 사용에 따른 손실도 만만치 않다. 게임빌이 서비스하는 게임도 많고 손실도 커져서 적극적으로 정보보안실을 구축하고 대응에 나서고 있다.
 
지난해 ISMS도 통과했다. 게임사 특성상 직원들이 자유로운 분위기고 또 매출과 직결되는 개발과 서비스가 우선이다 보니 정보보안 마인드를 정착시키는데 초기 어려움이 많았다. 하지만 ISMS는 지속적인 정보보안 운영이 가능해야 하기 때문에 현업과 경영진을 꾸준히 설득해 보안환경 세팅에 노력을 기울였다.
 
매월 정보보호의 날을 지정해 PC를 스캔, 점검하고 PC내에 개인정보나 사내 중요 정보들이 있는지 검사해 조치하고 부서별로 정보보호 담당자를 둬 책임하에 관리가 이루어질 수 있도록 운영하고 있다.
 
-임직원들 마인드를 바꾸는 작업이 쉽지 않았을 것 같다
그렇다. 보안이 비즈니스 위에 군림할 수는 없다. 사업을 방해하지 않는 선에서 현업의 업무를 도와주는 부서라는 인식을 심어주려 노력했다. 특히 모든 직원들에게 보안관련 고민거리가 생기면 보안실로 찾아와 말하면 고민거리를 우리가 대신 해결해 주겠다는 식이다. 특히 글로벌 서비스라 개인정보 양도 많다. 개인정보 취급자들에게도 항상 고민하지 말고 보안실에 문의하면 대신 해결해 준다는 인식을 심어주고 있다.
 
-개인정보보호 문제도 이슈가 될 것 같은데
모바일 게임사들은 국내 정보도 많지만 글로벌 정보도 많다. 2009년부터 주민등록번호를 수집하지 않고 모바일 게임이라 휴대폰 번호량이 많다. 이 부분이 민감하다. 기본적으로 암호화를 하고 있고 고객정보 취급자는 망분리를 진행하고 있다. 마케팅이나 위탁업체에 대해서는 내부 프로세스를 따르도록 지시하고 있다. 또 2014년부터 폰 번호도 수집하지 않고 있으며 단말기 정보만 체크하고 있다. 그리고 퍼블리싱 사업도 하고 있기 때문에 다른 개발사로 정보가 나갈 수 있어 통제를 많이 하고 있다.
 
-모바일 게임보안 이슈도 많은 것 같다. 중점적으로 체크해야 할 부분이 있다면
우선 모바일 게임 개발자들이 보안을 잘 모른다. 개발자는 우선 크래커들이 소스코드를 볼 수 없도록 난독화는 필수다.
 
최근 난독화 솔루션도 난독화만 하는 것이 아니라 안티해킹 기능까지 추가되는 추세다. 더불어 게임을 쉽게 해주는 툴인 어뷰징프로그램도 막아주는 기능도 탑재될 전망이다.
 
또 게임 부정사용을 막기 위한 노력도 필요하다. 현재 학계에서 로그분석을 통한 패턴탐지 연구가 이루어지고 있다. 부정사용자 패턴탐지에 대한 준비와 크래커들이 노리는 것이 결국 돈이기 때문에 돈을 못 가져 가게 하거나 쓸모 없게 만든다면 해킹공격과 부정 사용자들은 줄어들 것이다.
 
최근 공격자들 수준이 높아져서 힘들다. 최근에 해킹그룹 사이트에 위장가입해 그들이 유통하고 있는 게임 해킹툴을 다운받았다. 이를 이용해 게임 해킹을 방어하는데 사용했더니 요즘은 해킹툴을 분석하지 못하도록 해커들도 난독화를 시켜놓을 정도다. 전문적인 해커 수준이다.
 
특히 개발자 대상 보안교육이 중요하다. 게임빌은 개발자 대상 보안교육을 지속적으로 실시하고 있고 공격기술도 전달해주며 개발보안의 중요성을 강조하고 있다.
 
게임사는 개발 부서 목소리가 우선이다. 그래서 보안을 최소화하려는 경향이 크다. 지난해 초 게임사 컨설팅하면서 느낀 점이 있다. 해킹을 막으려는 것은 노력대비 효과는 크지 않다는 인식들이 느껴졌다. 즉 해킹을 당해 1억 손실이 발생하면 10억을 벌면 된다는 것이다. 어차피 뚫린다는 생각을 가지고 있어서 오히려 보안에 투자하기 보다는 그 기간에 서비스에 치중해 이익을 더 많이 내는 것이 비즈니스상 유리하다는 생각들을 가지고 있었다.
 
하지만 고난도의 해킹은 막기 힘들다 치더라도 일반적인 수준은 막아야 한다고 설득했다. 사례를 들어, 얼마전 모 벤처 게임사가 게임 하나를 출시했는데 한 달 만에 결제가 7000만원이 됐다. 그래서 장비도 늘리고 인원도 뽑고 했지만 결국 통장에는 50만원만 들어와 있었다. 결제 우회 공격에 당한 것이다. 실제로 그런 사례들이 많기 때문에 모바일 게임사들도 일정 수준의 보안투자는 이루어져야 하는 것이다.
 
-올해 업무상 목표가 있다면
 올해 게임보안을 정상화하는 것이 목표다. 게임 개발시 보안프로세스를 따르게 할 계획이다. 또 모든 게임에 난독화와 보안성을 강화해 나가고 있다. 소스코드 보안이 핵심이기 때문에 올해 개발자 대상 시큐어코딩 교육과 컨텐츠 보안에 집중적인 노력과 투자를 할 예정이다. 그리고 게임사들 보안담당자와 커뮤니케이션을 늘려가려는 개인적인 계획도 가지고 있다.
 
-게임빌 정보보안실은 어떤 인재를 원하나
보안을 정확히 알고 커뮤니케이션을 잘하는 사람을 원한다. 또 게임산업을 이해하고 애정을 가지고 있어야 한다. 즉 보안만 알고 이 분야를 잘 모르면 안된다는 것이다. 자격증도 중요하게 생각한다. 자격증을 획득하기 위해 보안 전분야를 한번쯤 공부했다는 것을 증명해 주기 때문이다. 그리고 모바일 게임 해킹에 어느 정도 능력과 관심을 가지고 있으면 좋다.
 
-게임빌에서 정보보안실 세팅하느라 그 동안 정신없었을 것 같다. 뒤돌아 본다면
보안 개념이 없었던 기업에 정보보안이라는 인식을 심어주고 있다는데 보람을 느끼고 뿌듯하다. ISMS 준비하면서 힘들었지만 이제는 자부심을 느끼고 있다. 또 지난해 모바일 게임보안 정형화에 기여할 수 있어 기쁘고 올해는 단순 보안기술보다는 소스코드 보안, 컨텐츠 보안에 더욱 집중할 생각이다.
 
PS. 온라인 게임분야 못지 않게 모바일 게임도 크래커들과 매일 전쟁을 치르고 있다. 모바일 게임의 특성상 3~6개월 안에 수익을 내야 하기 때문에 보안은 뒷전으로 밀릴 수 있지만 강선명 실장은 모바일 게임 보안의 가장 핵심적인 사항만은 반드시 지켜 나가야 비즈니스도 보호할 수 있다고 강조하며 임직원들을 설득하고 모바일 보안에 특화된 체계를 구축해 나가고 있다. 특히 보안만 알아서는 안되고 자신이 몸 담고 있는 분야를 사랑하고 잘 알고 있어야 한다는 강 실장의 말도 보안인들이 잘 새겨야 할 부분이라고 생각한다.
 
★정보보안 대표 미디어 데일리시큐!★
 
<데일리시큐 길민권 기자> mkgil@dailysecu.com