보안 이슈가 경자년 벽두부터 PC방 업계를 강타했다. PC방 손님들의 네이버 계정을 탈취해 거액을 챙긴 일당이 경찰에 붙잡히면서 PC방 이용률이 감소하는 것은 아닌지 우려하는 업주들이 적지 않다.

마이크로소프트의 윈도우 7 기술지원 종료와 여전히 윈도우 7을 많이 사용하는 업계 실정 그리고 이에 따른 보안 취약점에 대한 우려. 공교롭게도 때맞춰 PC방 프로그램 속에 해킹툴을 심어 검색어를 조작한 사건이 드러나는가 하면 인문협과 네이버가 손잡고 PC방 보안 환경을 보강해줄 웹 브라우저 ‘웨일’ 공급 협약까지….

그렇다면 게이머들의 보안 실정은 어떨까? 게임사들은 보안 문제에 어떻게 대처하고 있을까? 또 PC방 보안의 근본적인 문제점은 무엇인지 살펴보자.

한국 게이머의 보안 눈높이는 세계 제일
한국 게이머들을 상대로 사업하는 게임사와 PC방은 보안과 관련해서는 참으로 박복한 팔자다. 글로벌 CDN 기업 라임라이트 네트웍스가 발표한 ‘2019 전 세계 온라인 게임 현황’ 조사 보고서에 따르면 전 세계에서 한국 게이머가 보안에 가장 민감한 것으로 나타났다.

이 보고서에 따르면 전 세계 게이머의 절반 이상(54%)이 보안 사고를 겪은 게임 플랫폼을 다시 사용하지 않겠다고 답했다. 보안에 대한 우려를 국가별로 살펴보면 한국(66%)이 가장 높게 나타났으며, 일본(63%)과 독일(62%)이 그 뒤를 이었다.

온라인 보안 침해 사고는 게임사 매출에 즉각적이면서 장기적인 영향을 미치는 것으로 나타났다. 약 66%의 게이머들은 이전에 보안 사고를 당한 사이트에서 게임을 하거나 구매하지 않겠다는 의사를 나타냈다.

보고서는 웹 인프라 및 민감한 고객 데이터를 보호하고, 악의적인 공격으로부터 웹 서버를 보호하기 위해 WAF(웹 애플리케이션 방화벽)를 사용해야 한다고 진단했다. WAF는 이전에 저장되지 않은 콘텐츠만 검사하기 때문에 전반적인 콘텐츠 전송 성능이 향상되기 때문이다.

아울러 웹 인프라의 잠재적인 보안 취약성을 악용하려는 여러 악성 봇을 막기 위해 ‘봇 트래픽 완화’를 적용해야 하며, 사이트가 대규모 볼류메트릭 공격에 의해 중지되지 않도록 DDoS 보호 기능도 활용해야 한다고 분석했다.

눈은 높은데 현실이 안 따라 준다?
PC방 업주에게는 불행한 이야기지만 PC방 손님 중에는 게임에 랙이 발생하면 PC방 알바한테 불만을 토로하거나 게이밍기어를 박살내는 사람들이 있다. 보안 분야에서도 크게 다르지 않다. 한국 게이머들의 보안 눈높이가 높다고 해서 실제 보안 생활화 수준이 높진 않다는 뜻이다.

안랩이 지난해 발표한 게임사의 공식사이트 내 게시판을 이용한 계정 해킹 사례를 보면, 황당할 정도다. 조사 결과에 따르면 공격자는 게시판에 ‘지존 캐릭 정리합니다’, ‘장비 ㅍㅍ 스샷첨부 통구매’ 등 게이머들의 관심을 끄는 제목으로 위장 게시물을 등록했다.

게시물 본문에는 “판매 아이템 목록을 보려면 아래 URL을 주소창에 붙여 넣어라”는 내용을 적어 함정 사이트로 이동을 유도, 악성파일(.scr)이 사용자의 PC에 자동으로 설치되도록 하고, 사용자가 해당 파일을 실행하면 PC에 원격제어 악성코드가 설치되는 방식이다.

해당 악성코드는 사용자 PC에 존재하는 취약점을 이용해 감염 PC를 원격으로 조작할 수 있다. 감염될 경우 공격자는 게임 계정 정보를 알아내 게임머니와 아이템을 탈취하는 등 다양한 피해를 일으켰다.

이런 종류의 피해는 PC방이나 게임사가 책임을 다해 예방할 수 있는 성질이 아니다. 자극적인 내용의 게시물 내 URL 이동을 삼가고, 출처가 불분명한 파일은 실행하지 않는 기초적인 단계의 보안 생활화가 정답이다.

블록체인으로 보안을 강화한다
온라인게임은 탄생과 동시에 사이버 공격자들과 전쟁을 치러왔다. 게임 계정이 모종의 자산으로 인식되면서 이를 노리는 범죄는 끊이지 않고 있으며, 이를 막아내려는 시도 역시 멈춘 적이 없다.

최근 게임사들은 다양한 최신 기술을 동원해 보안 레벨업을 새롭게 실험하고 있다. 바로 투명성과 신뢰성이 검증된 블록체인 기술의 도입이다. 블록체인은 일종의 분산형 기술로, 탈중앙화를 핵심으로 하는 개방형 블록체인에 주목하는 게임사들이 속속 등장하고 있다.

심지어는 보안뿐만 아니라 콘텐츠 개발이나 과금 솔루션 등 온라인게임과 관련된 전방위적 분야에 블록체인 기술을 도입하는 흐름도 관측된다.

메인 서버가 모든 권한을 갖는 기존 시스템에서는 해커가 공격할 대상이 단 하나로 집중되지만 블록체인 시스템이 도입된 보안 시스템을 공격하려는 해커는 참여자의 절반 이상을 속여야 한다. 해킹하다가 지쳐 나가떨어지는 상황이 발생하는 것이다.

지원 없는 윈도우 7은 빠르게 손절
윈도우7 기술지원 종료로 불거진 보안 문제와 관련해서는 작별을 서두르는 게임사도 있다. 온라인게임을 서비스하는 게임사일수록 이런 움직임이 분주하다. 윈도우 7의 기술지원 종료가 바꿀 수 없는 상수라면 차라리 선제적으로 윈도우 10으로 빠르게 옮겨가겠다는 입장이다.

넥슨은 지난 2018년부터 사내 PC를 윈도우 10으로 교체하고 있으며, 구형 OS를 사용하는 이용자들에겐 별도 공지를 통해 교체를 유도하고 있다. 또한 지난해 12월부터는 넥슨포털 접속자가 구형 OS 이용자일 경우 별도의 팝업창으로 교체를 권유하고 있다.

엔씨소프트는 지난해 6월부터 사내 OS를 윈도우 10으로 표준화하는 캠페인을 진행 중이며, 자사가 서비스하는 온라인게임에도 윈도우 7의 기술지원 종료를 안내하는 공지도 게시했다. 서비스 호환성 향상과 함께 게이머 보안 피해를 최소화하기 위함이라는 설명이다.

한편, 정부도 윈도우 7 기술 지원 종료에 적극 대응하겠다는 의지를 보이고 있다. 과학기술정보통신부는 종합상황실을 한국인터넷진흥원에 설치·운영 중이다. 신규 취약점을 악용해 발생하는 사이버 위협에 적극적으로 대응하기 위함이며, 백신업체와 협력해 맞춤형 전용 백신을 개발·보급에 나선다는 계획이다.

그럼 PC방은 보안 관련해 할 일 없나?
보안은 PC방에도 중차대한 문제다. 가동률과 매출에 직결되기 때문이다. ‘보안이 허술하다’는 이미지는 실제 PC방의 보안 상태와 무관하게 손님들의 발길이 끊어지도록 만든다.

취약한 보안으로 인해 발생하는 피해는 단순히 손님들의 게임머니가 털리는데 그치지 않는다. 매장의 두뇌이면서 동시에 심장인 카운터 PC가 치명상을 입는다면 피해는 고스란히 PC방 업주의 몫이다. 더욱이 알바생들은 이런 경각심이 없는 상태로 카운터 PC를 사용하는 경우가 많다.

OS와 인터넷 브라우저 및 응용프로그램 등 프로그램의 최신 버전 유지 및 보안 패치 적용, 최신 버전 백신 사용 및 보안 패치 적용 등의 수칙을 지킴으로써 손님들에게 ‘보안에 강한 PC방’ 이미지를 구축할 수 있다.

PC방 관련 업체들의 도덕성 문제는?
네이버 검색어 조작 해킹툴 설치 사건이나 고포류 게임의 패를 훔쳐보는 뷰어 설치는 각각 최근 발생한 보안 사건이고 오래된 보안 숙제다. 명백하게 PC방 업계가 대응하고 나서야할 허점이다.

다만 PC방 업주에게도 할 말은 있다. 최근 PC방 업종의 실상을 들여다보면 매장의 컴퓨팅 환경에 PC방 업주가 직접적으로 개입하고 관리하는 일은 극히 드물다. 관리프로그램의 역할은 단순히 카운터 PC와 손님용 PC를 연결하는 것에서 말 그대로 매장을 관리하는 종합 솔루션으로 진화했고, PC 시스템 전부를 관장하고 있다고 봐도 무방하다.

또한 PC방 PC 시스템에는 관리프로그램 업체 외에도 노하드솔루션 업체 및 바탕화면 런처 제작 업체들도 중요한 부분을 담당하고 있다. 그런데 해킹툴 및 뷰어 설치는 일부 관련 업체들의 도덕적 해이에서 비롯됐다.

이런 사건은 언제나 특정 직원이 검은 돈의 유혹에 빠져 저지른 일탈 행위로 결론이 나면서 종결됐다. 그리고 피해는 PC방 업계 전체의 몫으로 남았다. 과거에는 PC방에서 고포류 게임을 즐기던 아저씨 손님도 많았지만 이제는 고포류 손님을 만나기는 어려운 일이 됐다. 반복되는 PC방 해커 일당 검거 뉴스가 영향을 안 줬다고 하긴 어려울 것이다.

아울러 재발 방지를 위해서는 PC방 업주에게 업체 정보가 투명하게 공개돼 직원관리에 철저한 업체와 그렇지 못한 업체를 PC방 업주가 선별할 수 있어야 하는데 그동안 그렇지 못했던 것이 사실이다.