보안에 관심있는 당신, 혹시 버그트럭을 아는가? 버그트럭은 보안 관련 종사자들의 자유로운 의견 교환을 위한 메일링 리스트이다. 지난 2월 10일 넥슨 i-tower에서 버그트럭이 주최하는 "버그를 토하자" 가 진행되었다. 버그를 토하자는 보안에 현업으로 계시는 분들의 생생한 경험담을 전해 들어볼 수 있는 자리이며 보안에 관심 있는 사람이라면 누구든 참여할 수 있도록 오픈되어 있다.
이번 버그트럭에서의 발표 세션으로는 해외의 보안 컨퍼런스의 경험과 영어의 필요성과 할 수 있다는 자신감을 가지게 해준 바라미 님의 "바라미의 미국 여행기" 세션과 Window31님의 "보안회사의 게임보안팀 VS 게임회사의 게임보안팀"을 주제로 이루어졌다. 보안회사의 게임보안팀과 게임회사의 게임보안팀을 비교한 Window31님의 발표 내용을 요약 소개한다.
게임보안팀이란?
보안회사의 게임보안팀
VS
게임회사의 게임보안팀
지금 이 시각에도 사람들은 게임을 즐긴다. 이용자가 재밌게 게임을 즐길 수 있는 이유는 해킹, 불법유저 차단을 위해 보이지않는 곳에서 노력하는 게임보안팀이 있기에 가능하지 않을까 싶다. 게임보안팀은 크게 두 분류로 나눌 수 있다. 게임이 시작될 때 게임보안 솔루션이 실행되는 것을 본 적이 있을 것이다. 이러한 게임보안 솔루션을 제작하는 보안회사의 게임보안팀, 그리고 해당 게임회사 내부의 게임보안팀이다.
게임보안팀은 게임에 있어 메모리, 패킷 변조, 스피드 핵, 오토플레이 등의 게임해킹을 차단하는 업무를 하는 팀이다. 단순히 해당 이슈만 막으면 된다고 생각하면 오산이다. 해당 팀은 해킹 방지라는 목표 아래 개발, 분석, QA, 영업, 커뮤니케이션, 외국어 등 다양한 분야의 인력이 필요하며 법적 모호성 등 여러 문제에 입각하여 해결해야 할 문제는 생각 이상일 것이다.
두 회사의 게임보안팀 컨셉은 다르다
같은 게임보안 팀이라도, 보안솔루션을 제작하는 보안회사의 게임보안팀과 게임을 제작하는 게임회사 내의 게임보안팀은 다를 수밖에 없다. 가령, 하나의 해킹툴을 분석할 때 각 회사가 보는 관점을 살펴보자.
보안회사
• 보안 솔루션 우회 유무
• 왜 해킹 툴이 감지되지 않는가
• 메모리 보호 기능에 대한 의문
게임회사
• 게임 콘텐츠 침해 유무
• 조작된 메모리는 어느 부분인가
• 해당 메모리가 어떤 행위를 발생시키는가
즉, 보안회사에서는 게임보안 솔루션의 메인 기능인 침해/감지 위주로 메모리, 프로세스 보호, 해킹 툴 탐지에 대해 분석하는 반면 게임 회사에서는 서버에 있어야 할 변수가 클라이언트에 있지는 않은지, 해당 값이 메모리 변조로 조작이 가능하진 않을지, 패킷 조작으로 악의적인 행위가 가능하진 않는지 등을 본다.
오토플레이(자동사냥)를 탐지할 때도 보안회사는 후킹 상태, 매크로 감지 등을 하는 반면 게임회사의 게임보안팀은 이용자의 로그를 분석, 데이터 마이닝 등으로 오토플레이를 탐지한다.
이렇듯 게임보안팀의 역할과 업무는 회사 속성에 따라 다른데, 그렇다면 서로의 영역을 분석하는 것은 불가능할까? 물론 가능하다. 보안 회사에서 게임 콘텐츠 자체의 취약점을 분석해 주기도하고, 게임회사에서 보안 회사의 솔루션 기능을 분석하기도 한다. 그러나, 보안회사 입장에서는 게임코드를 직접적으로 알 수가 없어 분석에 한계가 있고, 게임회사 또한 보안 솔루션의 로직을 완벽히 알 수 없기에 각각의 업무 속성이 다를 수밖에 없는 것이다.
두 회사 게임보안팀의 장점
보안회사
보안 업계의 최신 기술은 대부분 게임 해킹에서 나온다는 말이 있는 만큼 여러 사례를 분석, 대응하면서 암호화, 패킹 등에 있어 최신 보안 기술을 습득할 수 있을 뿐 아니라 리버스 엔지니어링, 디버깅 등의 기술은 최고 수준에 도달할 수 있다. 또한 게임보안 솔루션은 다수의 게임을 대상으로 제작되기 때문에 게임 장르에 국한되지 않을 뿐더러 다양한 클라이언트 환경에 대한 대응력을 기를 수 있다.
게임회사
게임회사에서는 직접 게임 소스 코드에 접근을 할 수 있으니, 리버스 엔지니어링으로 파악할 수밖에 없는 내용을 바로 알 수 있다. 또한 취약점 발견 시 게임 소스 코드를 수정하여 바로 보완할 수 있다. 또한 각 게임별 담당자를 지정, 한 게임에 전념하여 여러 게임에 대응하는 것보다 전문성이 높다는 장점이 있다.
- 보안 프로그램이 동작하고 있는데도
최근 보안사고가 빈번하게 발생하고 있다.
게임 보안 기술은 IT 보안 업계 중에서도 고난도에 속한다. 게임 속도에 영향을 미치지 않으면서도, 게임 밸런스 유지와 함께 오토 프로그램, 각종 해킹 툴에 대한 방어까지 고려할 요소만 수십 가지에 달한다. 전세계를 통틀어 어떠한 업체도 완벽한 보안 프로그램을 개발하지는 못 했다. 다만 그 대응 속도를 어떻게 가져가느냐에 따라 승부가 갈린다고 본다. - 경향게임스(안랩 신호철 팀장 인터뷰 中)
딱딱한 보안이 아닌 즐거운 보안! 억지로 하는 일이 아닌 즐기며 자기가 하고 싶은 일을 하며 자신이 꼭 필요한 존재라는 자부심을 가지라. 아직 진로를 못 정했다면, 게임 보안업무의 전반적인 내용을 배우고 싶다면 게임회사의, 넓지만 얕은 지식보다 하나에 대해 깊은 전문성을 지니고 싶다면 보안회사의 게임보안팀으로 가는 것이 좋다. Ahn
나무를 베는 데 한 시간이 주어진다면, 도끼를 가는 데 45분을 쓰겠다. (링컨)
아직은 꿈 많은 20대, '나' 라는 도끼를 갈자,
날카롭게.
'현장속으로 > 세미나' 카테고리의 다른 글
개인정보 가득한 스마트폰 어떻게 써야 안전할까 (1) | 2012.04.18 |
---|---|
잇달아 터지는 개인정보유출 어떻게 막을까 (1) | 2012.04.09 |
안전하고 편리한 금융 어떻게 해야 가능할까 (6) | 2012.02.13 |
전문가가 말한 안전한 인터넷 뱅킹에 필요한 것 (0) | 2011.12.27 |
페이스북은 어떻게 사회를 변화시키나 (3) | 2011.11.29 |