2008년 2월 11일 월요일

기사 스크랩 - 변화해야 하고 또 변화하고 있는 게임보안 (정보보호뉴스,2006-03-17)

http://kr.ahnlab.com/b2c/securityinfo/infoView.ahn?seq=7693&category=06&email_nm=securityletter117&target_page_nm=aa003

변화해야 하고 또 변화하고 있는 게임보안

[기획좌담] 온라인 게임의 대중화가 이뤄지면서 매년 크고 작은 보안사건들이 발생해왔다. 이런 현상은 사이버 공간에서만 국한되던 사이버 머니, 게임 아이템·캐릭터 등이 현실공간에서도 매매의 대상이 되기 시작하면서, 각종 해킹 및 불법행위의 타깃이 되기 때문이다. 피해부문도 단순 해킹시도 등에 그치는 것이 아니라 개인정보유출, 사기 등으로 그 수위가 높아지고 있다. 때문에 온라인 게임업체와 보안정책을 제시해야 하는 정부기관 두 당사자 모두, 온라인 게임 보안강화를 위한 이 같은 좌담회의 필요성에 공감했고, 결국 향후 온라인 게임보안 수준향상을 위한 방안을 공유하는 자리가 마련됐다. 주민번호진위 확인 서비스를 통한 본인확인 방안 등 신선한 제안들이 오갔던 좌담회 내용을 소개한다.

사회 : 성재모 팀장(KISA, 해킹대응팀) 패널 : 김성훈 대리(한빛소프트), 김진휘 팀장(넥슨), 김휘강 팀장(엔씨소프트), 박종민 팀장(조이온)

성재모 좌담회를 본격적으로 시작하기에 앞서, 오늘 이 자리에서 온라인 게임보안에 관한 모든 내용을 논의할 수는 없을 것 같다는 생각이 듭니다. 온라인게임보안협의회가 구성돼 이 같은 자리가 지속적으로 만들질 것으로 보여, 오늘 좌담회에서는 온라인 게임보안의 핵심이라고 할 수 있는 사용자 인증, 그리고 사용자 PC의 보안성을 높이는 방안 등으로 범위를 좁혀 논의하는 것이 좋을 것 같습니다. 온라인 게임보안에 대한 본격적인 토론에 앞서 각 게임업체들의 보안현황을 들어 보도록 하죠.

김휘강 대부분의 온라인 게임업체들은 일반 대기업의 경우처럼 보안에 대한 일정한 예산을 편성하거나, 부서끼리 유기적으로 연결돼 보안정책을 적용하는 데에 어려움이 있습니다. 작은 게임회사는 전담인력을 운영하기도 벅찬 상황입니다. 때문에 대부분의 게임업체들은 주로 보안 솔루션으로 보안문제를 해결하는 경향이 높다고 볼 수 있죠. 저희 엔씨소프트의 경우, 대략적으로 말씀드리면 방화벽, IPS, SSL VPN 등 네트워크 보안 솔루션과 웹 관련 취약점 스캐너 및 방화벽 등의 보안 솔루션을 두고 있습니다. 사내에서는 스마트카드를 통해 보안정책을 실현하고 있고, 사용자인증을 위해 원하는 사용자에 한해 OTP(One Time Password)를 적용하고 있는데, 현재까지 50,000여명의 사용자가 이 서비스를 이용하고 있습니다. 현재 저희 시스템에 적용된 모든 보안 솔루션 및 정책을 말씀드리기에는 많은 시간이 필요할 것 같고, 대략적으로 말씀드리면 이정도입니다.

김진휘 저희 넥슨은 현재 IPS 도입을 위한 BMT를 마치고 도입준비를 거의 마친 상황입니다. IPS는 개인정보 DB, 웹 서버 등에서 운영될 예정으로 특히 웹 서버와 웹 프로그램에 대한 취약점 해결에 많은 비중을 두고 있죠. 해킹 모의 테스트나 보안감사도 웹 분야 치중하고 있는 상황입니다.

게임업체의 보안팀 구성, 규모와 특성에 맞게

성재모 엔씨소프트나 넥슨의 경우, 별도의 보안팀이 있어, 해당 팀이 보안정책을 令돛岵막?진행하고 있는 것으로 알고 있습니다. 반면 한빛소프트나 조이온의 경우는 그렇지 않은 것으로 알고 있는데 두 업체의 보안 상황은 어떤가요?

김성훈 말씀하신 것처럼 한빛소프트는 보안을 총괄하는 부서는 현재 없습니다. 대신 서버와 웹, 사용자 DB 등을 관리하는 담당자들이 보안업무를 겸직하고 있죠. 그러나 보안팀이라는 부서가 없다 뿐이지, 주기적인 보안 컨설팅을 통해 자칫 전문성이 결여될 수 있는 요인에 대해서도 대비하고 있습니다. 다른 부분, 가령 개인인증, 회원로그 관리 등의 문제에서는 넥슨이나 엔씨소프트의 사례를 벤치마킹해 추진할 예정입니다. 이외에도 타 보안부문에 대해서는 업체의 베스트 케이스를 벤치마킹해 도입하려고 합니다.

성재모 보안팀이 없다면 보안정책을 기획하고 추진하는 곳은 어느 부서가 담당하게 됩니까?

김성훈 기본적으로 운영담당자들이 책임진다고 보시면 되고, 특별한 사안에 대해서는 기획조정실이 입안하면 웹, 서버, 네트워크 등의 운영담당자들이 결정된 사항을 추진하는 방식을 취하고 있죠. 지금까지 큰 문제는 없었습니다.

박종민 조이온 역시 보안전담부서는 없습니다만, 지난해 IPS를 구매해 네트워크와 시스템에 적용하고 있는 상황이고, 저희 역시 해킹이 발생될 수 있는 곳은 웹 쪽이라고 판단해 웹 로그를 남겨서 비정상적인 URL에 대해서는 시정조치 등을 하고 있습니다. 고객용 PC 보안 솔루션을 지원하고 있고, 향후 사용자 인증에 대해서는 공인인증서나 SMS 인증 등을 고려하고 있습니다.

성재모 보안팀을 별도로 신설하지 않아도 해당 담당자가 보안업무를 신속하게 대처할 수 있다면 큰 어려움이 없을 것이라고 생각됩니다만, 보안팀이 구분돼 있지 않다면 운영의 편의성 때문에 보안이 후순위로 밀리게 되지 않나요?

박종민 그것은 업체의 규모에 따라서 달리 생각할 수 있을 것 같습니다. 시스템 규모가 그리 크지 않은 곳에서는 보안팀이 없음으로 인해 오히려 보안에 더 집중할 수 있고, 신속한 결정이 내려질 수 있다는 장점이 있습니다.

김휘강 게임업체에서 보안팀의 존재여부는 업체들의 성숙도와 밀접한 관련이 있습니다. 일반적으로 하나의 게임이 등장하는 과정을 보면 클로즈 베타, 오픈 베타, 정식 오픈, 상용 서비스(사이버 머니·캐쉬·포인트 적립 등이 적용되는 서비스) 이렇게 4단계로 이뤄져 있습니다. 클로즈 베타 이전의 소프트웨어 개발단계는 물론이고, 상용화 이전까지는 특별한 보안정책이 요구되지는 않습니다. 결국 게임 수가 그리 많은 업체의 경우에는 별도의 보안팀 없이도 큰 문제가 생기지 않을 수 있습니다. 다만, 게임 수가 늘어나고 특히 업체가 해외진출을 시도한다면 보안팀은 필수라고 봅니다.

김진휘 저희도 처음에는 특정 게임을 중심으로 운영팀을 꾸려 이들 중 보안업무를 겸직하는 직원끼리 TFT로 묶었는데, 최근 게임 수가 30여개에 이르다 보니, 더 이상 TFT로 움직이는 것은 무리가 있다는 생각에서 지난해 보안팀을 만들게 됐습니다.

김휘강 요즘 중국 해커들의 공격이 많은 편인데 우스갯소리로 중국 해커들은 상용화된 서비스가 아니면 건드리지도 않는다고 합니다.

공인인증서와 OTP, 사용자 인증강화 대안으로 떠올라

성재모 이번에는 초점을 옮겨 사용자 인증에 대해 논의해 보도록 하죠. 현재 대부분의 게임업체들이 단순 아이디 패스워드 인증에서 보다 강화된 사용자 인증절차를 갖추고 것을 알고 있습니다. 그중 공인인증서 사용이나 OTP의 적용이 대표적인 것으로 알고 있습니다.

김진휘 공인인증서 사용이나 OTP 적용 등은 매우 효과적인 방안이 될 수 있습니다. 하지만 이와 함께 간과해서는 안 되는 것으로 각 게임업체가 제공하는 게임유형과 게임 사용자의 연령대가 매우 다양하다는 사실입니다. 가령 RPG(Role Playing Game)와 같은 현금거래 아이템이 제공되는 게임은 연령층이 10대부터 40대에 이르기까지 다양하지만, 10대들은 공인인증서를 거의 쓰지 않고 있는 상황이죠. 또, 게임유형에 따라 영화와 마찬가지로 연령등급이 나눠져 있어, 14세 미만 회원에게는 회원가입 혹은 아이템 구매시 어떤 발전된 인증절차를 밟게 할 것인지도 구분돼야 하는 등 일괄적인 보안정책이 모든 게임 혹은 업체에 적용되기 어려울 수 있습니다.

김휘강 덧붙이자면 온라인 게임의 경우, 문화관광부와 정보통신부 두 기관의 가이드라인을 따르게 됩니다. 이 얘기는 보안상 게임업체가 주민번호와 같은 개인 주요정보를 받고 싶지 않아도 게임의 연령등급 즉, 14세 미만, 15세 미만, 19세 미만이라는 등급에 맞게 사용자 인증을 적용해야 하기 때문에 결국 주민번호를 받아야 하는 상황이 발생한다는 말이죠.

성재모 연령등급에 대한 인증은 굳이 게임업체에서 주민번호를 수집하지 않고 성인 사이트에서 이뤄지는 성인인증 방식을 도입하면 해결될 수 있는 문제가 아닌가요?

김성훈 모든 인증에 적용되는 것이기는 하지만, 성인인증 역시 도용에 대한 문제가 있기 때문에 근본적인 해결책은 될 수 없다고 봅니다.

박종민 여기에 이미 심의를 받은 게임이라고 할지라도, 게임내용에 변화를 주는 패치가 있을 경우, 또다시 심의를 받아야 하고, 이 과정에서 심의등급이 조정될 수도 있습니다. 결국 하나의 게임이 특정 연령층에만 고정된 것이 아니기 때문에 저희가 지켜야 할 보안 가이드라인들을 충족시키기 위해서는 특정 요소만 고려할 수 없다는 얘기가 됩니다.

성재모 추가적인 제도적 보완이 필요하겠지만, 사용자 인증강화를 위해 공인인증서 사용이나 SMS를 이용한 OTP 방법이 유력하다는 점에는 대부분의 업체들이 동의를 하는 것 같습니다. 이외의 또 다른 당면과제도 있을 것 같습니다. 최근 해커들이 공격성향을 보면, 게임회사의 시스템을 직접 노리는 것이 아니라 사용자의 PC를 간접적으로 공격해 원하는 정보를 빼간다고 볼 수 있는데, 이렇게 보면 사용자의 PC를 보호하는 것이 또 하나의 과제일 것 같습니다. 넥슨의 경우는 이와 관련해 자체적으로 가드켓이라는 보안 툴을 개발 운영하고 계시지 않나요?

게임업체 협조만으로 사용자 PC보안 수준향상 충분

김진휘 그렇기는 합니다만, 가드켓은 엄밀한 의미에서 PC보안 솔루션이라고 보기는 어렵습니다. 게임을 해 보시면 아시겠지만, 유저들 중에서 게임 프로그램을 크래킹해서 메모리 변조나 운영상에 문제를 일으키는 일명 '핵'을 개발해 유포시키는데, 가드켓은 이를 방지하는 것이 주목적이고, 보조적으로 트로이얀 방지 솔루션 등이 들어가 있는 형태죠. 가드켓만으로는 PC보안을 강화할 수 없기 때문에 저희는 별도의 PC보안 솔루션을 도입하고 있습니다.

성재모 온라인 게임업체의 보안현황을 살펴보면, 대부분 PC보안 솔루션을 도입운영하고 있거나 준비 중인 업체가 많습니다. 이런 PC보안 솔루션을 자체 개발해 제공하는 경우, 전문 보안업체에서 제공되는 것에 비해 새로운 패턴 업데이트 등 유지 보수가 쉽지 않을 것 같은데 별도의 PC보안 솔루션을 추가로 도입하신다고 하니 이용자 PC 보안이 한층 강화될 것 같습니다. 그런데 궁금한 것 중 하나는 이런 PC보안 솔루션이 사용자에게 적용하게 될 때, 사용자로부터 민원이 제기되지는 않나요? 가령, 어떤 사용자는 PC보안 솔루션을 자신의 PC에 설치하기 싫다는 등의 민원 말이죠.

박종민 글쎄요. 다른 곳들은 어떨지 모르겠지만 저희 고객센터로부터 그와 같은 민원을 받은 적은 없었던 것 같습니다. 사용자들도 보안에 대한 인식이 높아졌다는 의미가 아닐까요? 확정되지 않았지만 오히려 저희는 사용자 PC에 대해 MS 윈도우 보안 패치 적용까지도 가능하도록 계획하고 있습니다. 몇 가지 제약조건 때문에 패치 솔루션을 사용자 PC에 직접 인스톨 시키는 방식을 도입하지 못하기는 하지만, KISA에서 적절한 솔루션을 제공해 준다고 하면 적극 활용할 계획입니다.

성재모 한게임의 경우 작년 12월말부터 자동 패치 설치 프로그램을 사용자 PC에 직접 뿌려주는 방식의 시범 서비스를 제공하고 있는데, 현재 이용자의 동의를 얻어 약 400만대의 PC에 설치됐고, 의외로 반응이 좋은 것 같습니다. 말씀하신 것처럼 MS와 협의해 패치 프로그램 제공 및 기술지원도 적극 진행할 예정입니다.

김휘강 이에 대해 저희도 적극 도입을 고려하고 있으며, 3월 중순부터 고객의 정보보호를 강화하기 위해 패치 프로그램을 제공할 예정입니다.

게임정보보호협의회란?
한국정보보호진흥원을 비롯해 넥슨, 엔씨소프트, 조이온, 한빛소프트 등 약 22개 게임업체와 보안업체 그리고 ISP 사업자로 구성된 '게임정보보호협의회'는 지난 2005년 12월 정보통신부의 온라인 게임보안 강화 후속대책으로 구성돼, 향후 정기적인 회의를 통해 해킹기법 대응 및 보안대책 마련 등 온라인 게임보안 강화를 위한 지속적인 대안을 제시하는 역할을 하게 된다.

성재모 다른 것은 몰라도, 최근 게임 아이디와 비밀번호 등 개인정보를 유출해 가는 중국발 악성 프로그램 유포에 대비해 국내 이용자의 PC 패치 문제만이라도 게임업체가 동참해 준다면 더할 나위 없이 반가운 일이죠. 현재 국내 윈도우 기반의 PC 패치율이 약 38% 수준인 것으로 보고되고 있는데 만약, 게임업체들이 나선다면 80~90% 수준까지 올리는 것도 그리 불가능하지 않을 것 같습니다.

김성훈 PC방에서 운영되는 PC도 고려해 보셔야 합니다. PC방은 고스트와 같은 복구 프로그램을 깔아 두기 때문에 리부팅을 할 경우, 게임실행 시 적용됐던 패치가 다시 지워지는 문제가 발생하곤 합니다. 결국 똑같은 패치를 수십번 받아 설치해도 패치가 되지 않는 문제가 발생할 수 있죠.

성재모 저희도 예전에 그와 유사한 경험을 한 적이 있습니다. 수일간 각 PC방을 돌며, 패치를 실시했지만 결국 리부팅 한번으로 패치 이전이 상황으로 돌아갔었던 기억이 납니다. 게임업체들이 보안 패치에 대해 적극적이라면 이 문제는 PC방 연합회 등과 함께 어렵지 않게 해결할 수도 있다는 생각이 듭니다. 이 이외에도 다른 제안을 하실 내용이 있으시면 말씀해 주시지요.

김휘강 아까도 논의했지만 본인확인이 중요하다는 사실은 모두 인지하리라 생각됩니다. 향후에는 다양한 방법이 적용될 수 있겠지만, 현재의 주민번호 인증수단을 통해서도 인증을 강화할 수 있는 방안이 있습니다. 바로, 행정자치부가 제공하는 전자정부 사이트를 이용하는 것인데요, 그곳에서는 주민등록증 진위 서비스를 제공하고 있습니다. 주민번호 뿐만 아니라 주민등록증 아래에 표기된 발급기관 및 발급일자를 서비스 항목에 입력하면 진위여부를 바로 알 수 있게 해 주는 서비스죠. 이 서비스를 활용하면 별도의 비용을 들이지 않고도 주민등록증만으로도 본인인증이 가능해 유용하게 사용될 수 있을 것 같습니다. 하지만, 전자정부의 이 서비스가 공공기관에게만 국한돼 적용되고 있고 향후에도 은행권까지만 확대된다고 알고 있습니다. 확대범위에 저희 게임업계도 포함된다면 큰 도움이 될 수 있을 것 같습니다. 물론 저희가 그에 따른 보안감사를 별도로 받더라도 말이죠.

김성훈 그리고 사용자 PC의 보안패치에 대해서도 웹 페이지의 이동이나, 패치 적용시 문제발생에 대한 지원방안 등에 대해 KISA가 구체적인 검토자료를 주신다면 많은 게임업체들에게 도움이 될 것 같습니다.

성재모 좌담회 서두에도 말씀드렸듯, 게임보안이 갈수록 많은 관심을 받고 있습니다. 물론 지금까지 논의과정에서 말씀하신 것처럼 각 게임업체들이 자체적인 보안강화뿐만 아니라, 사용자 PC보안에 이르기까지 고민해야 하는 등 쉽지 않은 일임에는 분명한 것 같습니다. 그러나 적극적인 보안활동을 펼쳐나가실 경우, 예를 들어 온라인 게임업체의 정보보호 공유 ISAC을 자체적으로 조직한다는 등의 노력이 있다면 저희 KISA도 적극적으로 지원하도록 하겠습니다. 오늘 좋은 말씀을 해주신 여러분께 감사드립니다.

정리 : 한국정보보호진흥원(KISA)

정보보호뉴스 [2006/03/17]