온라인 게임을 재밌게 즐기려고 무심코 쓴 매크로가 해킹 도구로 둔갑한다면?
얼마 전 열린 게임 보안 세미나 '게임보안 2010 트렌드를 잡아라!'는 게임 사용자가 빠지기 쉬운 보안 위협의 함정을 짚어준 행사였다. 메가뉴스 주최, KISA(한국인터넷진흥원) 후원, 그리고 안철수연구소를 비롯한 여러 기업의 협찬으로 열렸다. 세미나에서 발표된 내용은 대체로 게임 보안에 초점을 맞추긴 했지만, 그 이슈들은 단지 게임에만 국한되지 않고 인터넷 사용자라면 누구나 조심해야 할 보편적인 것이었다.
얼마 전 열린 게임 보안 세미나 '게임보안 2010 트렌드를 잡아라!'는 게임 사용자가 빠지기 쉬운 보안 위협의 함정을 짚어준 행사였다. 메가뉴스 주최, KISA(한국인터넷진흥원) 후원, 그리고 안철수연구소를 비롯한 여러 기업의 협찬으로 열렸다. 세미나에서 발표된 내용은 대체로 게임 보안에 초점을 맞추긴 했지만, 그 이슈들은 단지 게임에만 국한되지 않고 인터넷 사용자라면 누구나 조심해야 할 보편적인 것이었다.
첫 세션은 KISA 이정민 선임 연구원의 '온라인 게임에 대한 공격 및 대응 현황'이었다. 최근 온라인 게임의 해킹 위협과 트렌드, 어떤 과정으로 침해 사고가 발생하는지를 설명해 많은 공감을 이끌어냈다.
그는 온라인 게임이 공격 대상이 되는 이유는 게임 머니의 현금화가 쉽기 때문이라고 지적했다. 온라인 게임 머니를 현금화하여 돈을 벌려는 일반 사용자도 다수 있기 때문에 악의적인 목적을 가진 공격자가 이를 역이용하여 자신이 만든 게임 서버의 해킹 코드를 더욱 쉽게 전파할 수 있다는 것이다. 이로 인한 피해를 예방하려면 기업 내의 보안 시스템 운영을 강화하는 한편, 게임 유저가 보안 의식을 높여 백신과 보안 패치를 생활화해야 한다고 강조했다.
그는 온라인 게임이 공격 대상이 되는 이유는 게임 머니의 현금화가 쉽기 때문이라고 지적했다. 온라인 게임 머니를 현금화하여 돈을 벌려는 일반 사용자도 다수 있기 때문에 악의적인 목적을 가진 공격자가 이를 역이용하여 자신이 만든 게임 서버의 해킹 코드를 더욱 쉽게 전파할 수 있다는 것이다. 이로 인한 피해를 예방하려면 기업 내의 보안 시스템 운영을 강화하는 한편, 게임 유저가 보안 의식을 높여 백신과 보안 패치를 생활화해야 한다고 강조했다.
안철수연구소 김창희 과장은 '웹 콘텐츠의 위협' 문제를 발표했다.
그는 최근 다시 웹 게임을 즐기는 사용자가 많아졌는데, 이들을 겨냥해 웹사이트를 해킹해 악성코드를 심어놓는 '사이버 지뢰밭'도 늘어나는 추세라고 설명했다.
특히 충격적인 것은 악성코드의 생성이 기계화하고 툴을 이용한 제작이 많아지다 보니 제작되는 악성코드의 수를 보안 업체의 엔진이 따라가지 못할 정도라는 대목이었다. 실례로 AV-test.org에서 수집한 악성코드의 수가 약 550만 건이나 되는 데 비해 보안 업체들의 평균 업데이트 수가 15만 건 정도라는 자료 화면은 국내외를 막론하고 인력의 부족함과 사용자 개인의 보안 관리가 얼마나 중요한지를 다시 한번 생각해보게 했다. 실제 보안 취약점이 존재하는 웹사이트를 직접 보여주어 이것이 당장 직면한 문제임을 강조했다.
| [KSS2010] "쇼핑몰 스크롤만 내려도 악성코드 감염 가능" |
특히 충격적인 것은 악성코드의 생성이 기계화하고 툴을 이용한 제작이 많아지다 보니 제작되는 악성코드의 수를 보안 업체의 엔진이 따라가지 못할 정도라는 대목이었다. 실례로 AV-test.org에서 수집한 악성코드의 수가 약 550만 건이나 되는 데 비해 보안 업체들의 평균 업데이트 수가 15만 건 정도라는 자료 화면은 국내외를 막론하고 인력의 부족함과 사용자 개인의 보안 관리가 얼마나 중요한지를 다시 한번 생각해보게 했다. 실제 보안 취약점이 존재하는 웹사이트를 직접 보여주어 이것이 당장 직면한 문제임을 강조했다.
와이즈로직 개발팀 황원일 팀장이, 게임 플레이를 조금 더 편하게 즐기고자 많이 사용하는 매크로의 보안 위협을 다루었다. 단순한 매크로가 마음만 먹으면 키보드 입력 정보나 개인 정보를 빼내는 데 악용할 수 있다는 것을 지적했다.
엔씨소프트 운영보안팀 김창오 팀장은 온라인 게임 제공 업체의 게임 보안 운영 방법을 발표했다. 그는 개인의 보안 의식도 중요하지만 그러한 환경을 구축하고 사용할 수 있게 하는 것이 바로 업체의 역할이라고 말했다. 아울러 리니지, 리니지2, 아이언 등의 메이저급 게임을 운영함으로써 얻은 자연스런 노하우가 느껴지는 세션이었다.
마지막은 해커 출신 1호 교수인 고려대학교 김휘강 교수의 강연이었다. 공개된 API(Application Programming Interface; 운영체제와 응용 프로그램 사이의 통신에 사용되는 언어나 메시지 형식)를 연구해 공격 방법과 방어 방법을 함께 보여준 명강연이었다. 특히 데이터마이닝(data mining; 많은 데이터 가운데 숨겨진 유용한 상관관계를 발견하여, 미래에 실행 가능한 정보를 추출하고 의사결정에 이용하는 과정)을 이용해 불법적인 소프트웨어를 사용하거나 비정상적인 플레이를 하는 게이머를 구분하는 방법은, 데이터마이닝이 단지 검색 엔진이나 기계적인 분별뿐 아니라 게임에도 사용될 수 있음을 알게 해주었다.
또한 김 교수는 이론뿐 아니라 기업이 실제 어떤 방식으로 적용해야 하는지까지 제시했다. 즉, 개발자뿐 아니라 기업체 운영팀 간 의사소통이 중요하며, 이러한 탐색 과정에서 법적 분쟁에 대비한 로그 확보가 필수라고 강조했다.
또한 김 교수는 이론뿐 아니라 기업이 실제 어떤 방식으로 적용해야 하는지까지 제시했다. 즉, 개발자뿐 아니라 기업체 운영팀 간 의사소통이 중요하며, 이러한 탐색 과정에서 법적 분쟁에 대비한 로그 확보가 필수라고 강조했다.
기자 또한 한때 B사의 메이저급 게임을 며칠 밤을 새우면서 즐기던 소위 '헤비 유저'였다. 그 과정에서 조금 더 편하게, 조금더 빠르게 캐릭터를 키우고자 불법 프로그램이나 방법을 사용한 적이 있다. 이렇게 순간의 편안함을 누리는 데 얼마나 많은 위협이 도사리고 있는지, 본인도 모르는 사이에 제 2, 제 3의 7.7 디도스 대란 같은 사건의 가해자가 될 수도 있다는 것에 등골이 오싹해진다. Ahn
대학생기자 오세혁 / 한국항공대 컴퓨터정보공학 http://tigernet.tistory.com
미래의 보안전문가를 꿈꾸던 19살 대학 새내기가 25살이 되어 선배들의 열정을 느껴보고 싶었습니다. 어쩌면 할 수 있을까란 불안감과 나보다 앞서나가는 이들을 보며 느낀 열등감으로 갈피를 잡지 못하는 자신을 다잡아보고 싶어서였는지도 모르겠습니다. 보안세상과 함께 자신의 꿈에 한 발짝 다가가고 더 명확히 볼 기회가 되기를 간절히 바랍니다. 안철수연구소에 오세혁이란 사람의 영혼도 더해지는 날을 위해서!!
'현장속으로 > 세미나' 카테고리의 다른 글
| 선배 보안 전문가들이 말하는 미래에 대한 준비 (1) | 2010.09.01 |
|---|---|
| 일본에서 만난 애니메이션 감독 오시이 마모루 (2) | 2010.08.21 |
| 평범한 대학생이 최연소 외통부 홍보관 된 사연 (1) | 2010.07.23 |
| 스펙에 눌린 20대에 전하는 선배 6인의 메시지 (7) | 2010.07.10 |
| 보안 세미나, 국제해킹대회 기출문제풀이 (4) | 2010.07.05 |
