콘솔, PC 게임 시절 가장 황당했던 일은 무엇일까? 몇 가지 예가 있겠으나 과거에는 주로 게임 상에서 나타나는 버그나 세이브 파일 오류 등이 가장 큰 문제가 아니었을까 싶다. 특히 버그 문제와 관련해서는 최근까지도 일부 게임에서 종종 나타나는 문제로 완전하게 해결하지는 못하고 있는 실정이다. 그렇다면 온라인 게임에서 유저들을 당황시키는 일은 무엇일까? 버그도 문제겠지만 가장 큰 문제로 대두되는 것이 바로 해킹일 것이다. 계정 해킹이 한번 일어나게 되면 유저가 겪어야 되는 스트레스는 이루 말할 수 없다. 몇 달 또는 몇 년 동안 키워온 캐릭터와 아이템을 한순간에 잃게 됐을 때의 허탈감은 당해 본 사람만이 안다.

유저 vs 온라인 게임사 끝나지 않는 싸움
개인정보 도용은 상당히 민감한 문제라는 것을 굳이 설명하지 않아도 될 만큼 사회적으로 이슈화됐다. 오프라인 시대로 불렸던 과거에는 개인정보를 알아내기 위해서는 특별한 방법이 존재하지 않았지만 네트워크 시대가 열리면서 개인정보가 오고가는 일이 빈번해졌고 이로 인해 수많은 정보들이 인터넷을 통해 급속도로 번져나가기 시작했다. 결과적으로 이러한 현상이 발생하게 되면서 상당량의 개인 정보가 국내를 비롯해 외국으로 흘러들어가면서 국내에 존재하는 많은 온라인 게임 유저들은 이에 따른 피해를 입었다.

특히 게임 캐릭터와 아이템에 민감하기로 유명한 국내 유저들에게 이러한 일은 그야말로 겪고 싶지 않은 일 중에 하나다. 하지만 그 어떤 온라인 게임도 피해갈 수 없는 일이 바로 해킹이기도 하다. 온라인 게임에서 흔히 말하는 해킹은 계정도용과 연결된다. 계정이 도용될 경우 다양한 피해를 입게 되는데 그중 가장 큰 문제는 바로 캐릭터를 다른 사람에게 넘기거나 아이템만을 빼내 자신의 계정으로 옮기거나 판매하는 경우다. 또 이를 악용해 해당 유저의 명성을 떨어트리거나 사기 사건을 일으키는 경우도 종종 발생한다.

	▲ 엔씨소프트는 20여명의 보안팀을 가지고 해킹에 따른 대응에 나서고 있다

문제는 이러한 현상을 유저들이 막기에는 역부족이라는 것. 다양한 형태의 보안 프로그램들이 존재하기는 하지만 실질적으로 해킹을 막아내기에는 역부족인 상황이다. 특히 최근에는 보안카드를 비롯해 OTP 마저 뚫리고 있어 새로운 보안 체계가 절실해지고 있다.

해킹 문제가 발생할 경우 유저와 온라인 게임사의 분쟁은 피할 수 없는 부분이다. 유저들의 경우 해킹 문제가 발생할 경우 가장 먼저 온라인 게임사의 요구하는 것이 바로 아이템 복구다. 하지만 온라인 게임사에서 유저들의 계정 데이터를 복구해주는 경우는 찾아보기 힘들다. 오히려 허위보고라는 누명을 씌우거나 관련 기록이 남아 있지 않다는 이유로 유저들의 요구를 묵살하기 일쑤다. 결국 유저와 온라인 게임사는 해킹이라는 문제로 인해 의도치 않게 악감정만 쌓여가고 있다.

동상이몽, 유저와 온라인 게임사의 생각은?
유저들은 해킹 문제가 발생했을 경우 가장 먼서 살피는 부분이 바로 자신이 소유한 아이템일 것이다. 그도 그럴 것이 아이템이야말로 유저가 해당 게임을 즐기면서 열심히 모아온 것이기에 그에 따른 애착도 남다르다. 문제는 해킹 사건이 발생할 경우 유저들은 온라인 게임사에게 해당 계정의 아이템을 복구해 줄 것을 요구하지만 실제 복구를 받았다는 유저들은 찾아보기 힘들다.

왜냐하면 이는 유저들이 게임을 소비하는 형태가 온라인 게임사가 생각하는 바와 다르기 때문이다. 하나의 게임을 줄기차게 즐기는 유저도 있지만 그렇지 않은 유저도 있다. 새로운 게임이 나오면 유저들도 호기심에 이끌려 다른 게임으로 눈을 돌릴 수도 있다. 그렇게 되면 자신이 주력으로 즐기던 게임을 잠시 멈추게 되고 결국 관심에서 멀어져 관리를 못하게 된다. 그러다 다시 해당 게임을 즐기기 위해 돌아왔을 때는 이미 자신이 얻어온 아이템들은 사라진 후다.

	▲ 복구를 요구하는 유저들은 많지만 이에 따른 대응을 하기에는 온라인 게임사도 역부족인 상황

결과적으로 유저들이 떠나 있던 시간이 길면 길수록 해킹된 아이템의 복구는 멀어지게 된다. 대부분의 온라인 게임사들은 2주 정도의 시간이 지날 경우 계정에서 아이템을 복구해주지 않는다.

하지만 온라인 게임사도 문제가 아주 없는 것은 아니다. 어떠한 기준이 없을 경우 우후죽순으로 늘어나고 있는 해킹 피해 유저들을 구제하기에는 온라인 게임사도 인력을 투입하는데 한계가 있기 때문이다. 하지만 일부 게임의 경우에는 복구와 추적이 불가능한 경우도 존재했다. 시스템 상으로 아이템의 이동 경로를 파악할 수 없다는 것. 결국 이는 나중에라도 시스템 구축을 했어야 했지만 게임이 서비스 된지 몇 년이 지나도록 이 같은 조치를 취하지 않았다는 것은 직무유기에 가깝다.

결과적으로 유저와 온라인 게임사 사이의 분쟁을 해결하기 위해서는 아이템 복구에 대한 조치가 필요하지만 아직까지 이러한 시스템이 제대로 구축된 온라인 게임이 등장한 경우가 없다.

해결방안은 무엇?
외부적인 해킹문제와 관련해 유저들은 피동적인 입장이고 온라인 게임사는 능동적이다. 과거에 비해 유저들도 나름의 보안 대비책을 마련하고 그것을 실행에 옮기고 있다. 특히 바이러스 백신 프로그램은 물론이고 온라인 게임사에서 제공하는 보안 프로그램들을 설치해 미연에 일어날 일들을 대비하고 있다. 물론 일부 유저들은 온라인 게임을 실행 시에 문제가 발생한다는 이유로 보안 프로그램 사용은 꺼리고 있지만 대부분의 유저들은 온라인 게임사에서 제공하는 프로그램을 그대로 설치해 사용하고 있다.

온라인 게임사들은 자사의 게임을 보호하기 위한 장치와 함께 유저들의 ID와 패스워드를 보호하기 위한 보안 솔루션 제품을 사용 중에 있다. 물론 이것이 완전한 것은 아니지만 해킹 문제가 발생할 경우 소송에 휘말릴 수도 있기 때문에 온라인게임사들도 이러한 부분에 민감할 수밖에 없다.

결과적으로 해킹을 피하기 위해서는 끊임없는 PC 관리가 필요하다. 특히 PC방에서 해킹 사건이 발생할 경우 해당 영업장의 업주 또한 경찰 조사대상에 포함되므로 평상시에 PC를 관리하는데 있어 해킹에 사용되는 트로이의 목마가 설치되어 있지 않은지 반드시 확인해야 한다. 또 마스터하드 작업 시에도 바이러스 및 악성코드 검사를 소홀히 하지 말아야 할 것이다.

다음은 국내 유수의 보안업체 중의 하나인 안철수연구소의 보안기술팀 이호웅 팀장을 통해 국내 온라인 게임과 관련해 문제점과 현재 상황에 대해 이야기를 나눠본 내용이다.

	▲ 안철수연구소 보안기술팀 이호웅 팀장

Q. 최근까지 온라인 게임과 관련해 해킹 피해 사례가 증가하고 있다. 안철수 연구소에서 파악하고 있는 피해규모는 어느 정도인가?
A. 온라인 게임 해킹과 관련해서는 두 가지 관점에서 접근해야 한다. 하나는 유저의 관점이고 또 하나는 온라인 게임사의 관점이다. 유저의 입장에서 봤을 때 해킹은 계정도용을 의미하고 있다. 게임사 입장에서의 해킹은 게임 플레이하는데 있어서 오토 플레이가 사용되거나 클라이언트에 영향을 미치는 것을 의미한다. 최근에는 이러한 의미들이 섞여서 사용되고 있지만 이럴 경우 대응책을 세우기가 어려워진다. 이 부분은 확실히 짚고 넘어가야 한다.

유저 관점에서 아이템 거래, 현금 거래 피해규모는 구체적으로 알 수 없지만 대략적으로 짐작해 볼 때 아이템과 현금이 거래되는 블랙마켓의 규모로 예측할 수 있다. 현재 추세로 볼 때 온라인 게임의 전체 시장규모에서 70~80%가 최대로 보고 있으며, 최저 50~60% 정도로 짐작하고 있다. 일단 50%가 넘는다는 것에는 업계도 동의하고 있는 부분이다. 이 같은 부분을 본다면 얼마나 많은 해킹이 시도되고 있는지는 설명할 필요가 없는 부분이다.

Q. 온라인 게임과 관련해 해킹이 주로 시도되는 국가는 어디인가?
A. 계정도용 문제와 관련해서는 중국에서 가장 많이 시도되고 있다. 특히 기술 수준도 상당히 높은 편이다. 계정도용과 관련해서는 미국에서의 시도 사례는 거의 발견되지 않고 있다. 하지만 게임사 관점에서 본다면 북미지역의 해킹도 중국에 못지않다. 북미의 경우에는 대부분 메모리 해킹이 주를 이룬다. 또 유명 FPS 게임들의 경우 미국에서 발생하는 오토프로그램이 상당히 많다. 최근에는 중국의 해킹 기술이 북미지역으로 흘러들어가는 경우도 발생하고 있다. 해킹이란 것은 돈을 따라가기 마련이다. 중국의 경우 이러한 인프라가 잘 갖춰져 있다. 그렇기 때문에 기술과 인력이 투입되고 있는 것으로 보고 있다.

Q. 해킹 시도 시 어떠한 방법이 가장 많이 사용되고 있는가?
A. 가장 흔한 방법은 트로이목마 형태로 PC에 설치되어 있다가 해당 프로그램이 구동되거나 특정 게임 포털에 접근하게 되면 키로긴을 시작해 정보를 빼낸 후 특정 서버로 보낸다. 게임 포털에서 사용 중인 핵쉴드 프로그램의 경우는 유저 관점에서의 보안 솔루션이 아닌 해당 온라인 게임에 대한 프로그램을 보는 것이 옳다. 키로그를 방지하는 제품들은 따로 사용되는 것이 대부분이다. 핵쉴드 제품에는 이러한 기능이 포함되어 있지 않다.

Q. 키로그 방지 프로그램을 사용하면 해킹 시도를 완전히 차단할 수 있는 것인가?
A. 로직이 어떻게 구현되어 있는가에 따라 다르겠지만 틈은 존재한다. 유저가 게임 포털에 접속하기까지는 대체적으로 두 가지 과정을 거치게 된다. 먼저 키로그 방지 프로그램의 경우 ID와 패스워드를 입력하는 부분까지 보호를 해주게 된다. 이후 ID와 패스워드가 암호화되고, 이를 각 게임사의 모듈에서 다시 암호화를 제거하고 로그인을 시도하게 되는데, 이 구간에서 해킹이 발생하게 된다.

금융권의 경우도 처음에는 이러한 방식을 시도했다가 문제를 일으켜 현재는 전 과정에서 해킹을 방지할 수 있도록 E2E 방식을 사용하고 있다. 정부에서는 금융권과 관련해서는 가이드라인을 제시하고 있지만 온라인 게임과 관련해서는 명확한 정의를 내리지 못하고 있다. 특히 온라인 게임 업체의 경우는 보안 표준이라는 것이 존재하지 않는다.

Q. 보안카드, OTP 등 온라인 게임 업체에서 다양한 방법으로 해킹 방지를 시도하고 있는데, 효과는 어느 정도라 보고 있나.
A. 많은 도움이 되고 있다고 본다. 온라인상으로는 해킹을 막아내는데 한계가 존재한다. 하지만 오프라인 요소가 사용되면 해킹 확률을 많이 줄일 수 있다.

Q. 그렇다면 보안카드와 OTP를 사용해도 해킹을 당할 수도 있나.
A. 물론이다. OTP를 먼저 설명하자면 가장 취약한 부분이 바로 ‘시간’이다. OTP의 로직은 클라이언트에서 키를 새롭게 생성하면 서버에서도 동일한 키를 생성해야 한다. 하지만 이러한 과정에서 클라이언트와 키를 생성할 때 서버에도 동일한 키가 생성되기까지는 갭이 생기게 된다. 이를 보완하기 위해서 보상 값이라는 것이 존재하는데 최소 1분에서 최대 2분까지 주어진다. 최근에는 대부분 1분 정도의 보상 값이 주어지는데 이 시간동안 생성된 키는 모두 동일한 값이 나오기 때문에 이 때 해커들이 접근해 정보를 빼가게 된다.

보안카드의 경우 두 가지의 문제가 있다. 이 경우에는 유저의 부주의 문제가 대두되는데 먼저 가장 큰 문제는 보안카드를 스캔해 사용하는 경우다. 온라인 게임 유저들은 어디서든 게임을 즐길 수 있도록 보안카드를 스캔해서 다니는 경우가 있다. 이런 방식을 사용하게 되면 파일 자체를 해커가 빼낼 수 있기 때문에 위험한 방법 중의 하나다. 두 번째로는 해당 온라인 게임 시스템이 해커에게 장악되어 있다고 봤을 때 보안카드를 입력하는 패턴을 읽어 들여 유저가 보유하고 있는 보안카드와 동일하게 만들어 내는 것이다.

Q. 해킹 사고가 발생했을 경우 대다수의 온라인 게임 업체들이 약관상 유저 부주의라는 문구를 명시하고 있는데, 이에 대한 의견을 듣고 싶다.
A. 개인적인 생각으로는 온라인 게임사 역시 보안 문제와 관련해 다양한 대비를 마련했기 때문에 이런 약관을 사용하고 있는 것이 아닌가 생각한다. 온라인 게임 업체들은 보안을 위해 다양한 프로그램들을 유저에게 제공하고 있다. 그들은 나름의 최선을 다했다고 생각한다.

Q. 해킹 관련 문제가 발생했을 때 PC방이 언급되는 일이 잦다. 실제로도 그러한 문제가 많이 발생하고 있는가?
A. 대부분 네트워크로 이런 현상이 발생한다. 주로 VPN을 통해 해외 해커가 국내로 들어오고 있다. 이를 통해 원격을 통해 온라인 게임에 접속한다. 이는 중국에서 들어오는 IP를 국내 온라인 게임 업체들이 이를 차단하고 있기 때문이다. 그래서 한국에 있는 브로커들이 PC에 프로그램을 설치하고 중국에서 접속을 시도하고 있는 것이다. PC방의 경우 불특정다수의 고객들이 사용하기 때문에 PC방 업주 입장에서 막아낼 수 있는 방법이라고는 PC를 주기적으로 점검해주는 방법 외에는 없다. 특히 서비스 제공업체 입장에서도 이를 막을 명분이 없기 때문에 대응이 적극적이지 않은 부분이 있다.

Q. 전문가 입장에서 바라봤을 때 국내 온라인 기업의 보안의식은 어느 정도로 보고 있나.
A. 계속 좋아지고 있다. 최근 만나본 온라인 게임 업체들은 보안팀을 따로 마련한 곳이 많다. 특히 메이저 온라인 게임 업체들은 보안을 위한 개발 작업을 진행 중이다. 2~3년 전에는 이러한 움직임이 거의 없었다.

Q. 최근 오토마우스와 관련해 문제가 많은데?
A. 이를 법적으로만 해결하려고 하는 것은 좋지 않은 생각이다. 온라인 게임사 내부에서 기술적으로 방어를 할 수 있도록 투자를 해야 하는 것이 옳다고 본다. 계속 법적으로만 제재를 가할 경우 오히려 블랙마켓만 더 키울 뿐이다. 법적으로 접근하는 것은 효과적이지 못하다고 본다.

Q. 해킹을 방지하기 위해서 개인 사용자에게 추천하는 방법은 무엇인가?
A. 확률을 최소화하기 위해서는 보안 로그인이 필수다. 로그인하기 전 안티 바이러스 프로그램을 사용하고, 키로그 방지 프로그램을 사용하는 것이 좋다. 예를 들어 국내에 온라인 게임을 서비스하고 있는 외국계 B 업체의 경우는 키로그 방지 프로그램 및 기타 보안 프로그램이 갖춰져 있지 않다. 이로 인해 많은 유저들이 온라인 뱅킹에서 사용하는 키로그 방지 프로그램을 홈페이지에서 구동한 뒤 다시 게임에 접속하는 사례가 있는데, 이는 키로그 프로그램을 방지하는데 전혀 도움을 주지 않는다.