사람이 모여드는 곳에 돈이 같이 모이고, 돈이 모이는 곳에 해커들이 몰린다는 사실이 팬데믹 기간 동안 다시 한 번 확인되고 있다. 게임 업계가 팬데믹으로 얻은 혜택 중 적잖은 부분이 해커들로부터 위협받고 있는데, 이 때문에 보안이 게임 개발사 사이에서 ‘뜨는’ 아이템이 되고 있다.

[보안뉴스 문가용 기자] 비디오 게임 산업이 코로나를 타고 급격한 성장을 이뤄냈다. 그 성장세가 사이버 범죄자들의 관심을 끌었다. 여러 차례 찔렀다. 그랬더니 게이머들처럼 취약한 계층도 드물다는 사실이 드러났다. 여러 사이버 범죄 단체들이 돈 많고 넘어트리기 쉬운 게임 산업을 너도 나도 공략하기 시작했다. 게임 산업도 이를 인지하기 시작했고, 그러면서 보안이 대단히 중요한 요소로 게임 산업 내에서 급부상했다.


꽤나 많은 사람들이 팬데믹 봉쇄 기간 동안 게임에 맛을 들였다. 그러면서 사용자도 대폭 늘어났다. 이 기회를 게임 업체들은 놓치지 않았고 각종 수입거리를 게임 내부와 플랫폼에 배치했다. 새로운 작품도 공격적으로 내놨다. 하지만 경쟁도 치열했다. 집에 갇힌 사람들이 게임만 들입다 파는 게 아니었기 때문이다. 누구는 게임도 했지만 누구는 영화 스트리밍에 몰두하기도 했고, 누구는 소셜미디어에 집중했다. 뿐만 아니라 게임 업계 내에서의 경쟁도 무시무시했다.

그 심화된 경쟁 때문에 보안이 중요해졌다. 월등히 재미있고 독특한 게임을 만드는 것도 중요했지만, 게임 계정이 자꾸만 해킹을 당하게 된다든가, 게임 플레이에 불법적인 혜택을 주는 치팅 프로그램을 막지 못한다면 게이머들은 아쉬움 없이 다른 게임이나 스트리밍 플랫폼 등으로 넘어갔기 때문이다. 어라이즈게이밍(Arise Gaming)의 고객 경험 책임자인 조나단 슈로이어(Jonathan Shroyer)는 “보안을 놓치면 곧 고객을 놓치는 것”이라고 표현하기도 한다.

“게이머들이 게임을 할 때는 게임이 재미있기를 바랍니다. 그런데 그 재미는 단순히 게임의 방식이나 작품성과만 관계가 있는 게 아닙니다. 공평한 대결을 할 수 있다는 신뢰와 게임 내 쌓아둔 업적이 보호를 받는다는 믿음도 중요한 요소입니다. 어느 날 접속했더니 내 계정이 이상해졌다거나, 상대들이 갑자기 사람으로서 할 수 없는 행동들을 해서 우위를 점한다는 생각이 들면 재미가 확 꺾이죠. 실제 해킹이나 치트를 제 때 못잡는 게임들은 대부분 소리소문 없이 사라집니다.”

더 많은 게임, 더 높은 기대치
올해 초 시장 조사 업체 PwC가 조사한 바에 따르면 비디오 게임 산업 전체가 올 한 해 거둘 수익 전체는 2357억 달러 정도로 추정된다고 한다. 2019년에 비해 32%나 오른 수치다. 꽤나 놀라운 성장 속도라고 볼 수 있다. 이는 당분간 유지될 것으로 보이며, PwC는 2026년까지 매년 8.4%의 성장률을 안정적으로 기록할 것이라고 내다보기도 했다.

돈이 몰리는 곳엔 해커들이 꼬인다. 게임 산업 전반에 걸쳐 이 오래된 진리는 여전히 사실로 남아 있음이 증명되고 있다. 보안 업체 아카마이(Akamai)는 최근 게이머 계정들과 게임 업체들을 겨냥한 사이버 공격이 지난 한 해 동안 극적으로 늘어났다고 발표한 바 있다. “웹 기반 게임 애플리케이션을 겨냥한 공격은 무려 167%나 증가했습니다. 게임 업계가 가장 많이 당하는 공격은 디도스 공격인데, 이는 게임 업계가 경험하는 전체 공격의 37%를 차지합니다. 디도스 공격만 따지면 금융 산업이 겪는 것보다 2배 더 많습니다.”

게임에서 벌어지는 각종 사이버 공격은 게이머들의 마음에 깊이 남는다. 게이머들은 인터넷 여론 조성에 강하고, 그 여론에 자주 휘말리기도 한다. 게이머들은 어떤 회사가 어떤 식의 공격에 얼마나 당하는지, 그리고 어떻게 대처하고 있으며, 그 대처법의 효과가 얼마나 되는지를 지켜보고 기억한다. 보안 업체 카스퍼스키(Kaspersky)가 조사한 바에 따르면 게이머들의 70%가 게임을 즐기는 데 해킹 공격이 큰 방해가 된다고 여기고 있다고 한다. 63%는 자신들의 게임 계정이 안전하다고 말하기 힘들다고 느끼며, 33%는 지난 2년 동안 실제 계정 해킹에 당한 경험이 있다고 답했다. 그러니 보안에 개발사가 더 신경을 써 주면 좋겠다고 답한 게이머는 89%에 달했다.

“게임 업계의 사용자들과, 사용자들의 커뮤니티는 게임이라는 서비스로부터 매우 완성도 높은 경험을 하게 될 것이라고 기대합니다. 쉽고 배우기에 간편하며 직관적인 것이 게임의 기본이라고 생각하는 경우가 거의 대부분이기도 하고요. 이런 기대감을 조금만 충족시켜도 게이머들은 게임과 개발사 모두에 큰 충성도를 갖게 됩니다. 그리고 그 만큼 빨리 돌아서기도 하죠. 게임 회사로서 고객은 잡는 것이 어려운데 놓치기는 쉬운 존재입니다. 다만 보안이 그 ‘놓치기 쉬운’ 부분을 해결해준다는 것이죠.” 로블록스(Roblox)의 보안 책임자였던 짜이(Tsai)의 설명이다.

게이밍 산업을 가장 크게 위협하는 것들
보안 대행 업체인 인버전식스(Inversion6)의 CISO인 크레이그 벌랜드(Craig Burland)는 “게임 업체들도 지켜야 할 규정이 꽤나 많은 편”이라며 “병원이나 은행들처럼 지킬 게 많은 건 아니지만, 예를 들어 GDPR과 같은 규정은 반드시 준수해야 한다”고 말한다. “실제 판매량에 직접적인 영향을 미치는 부분에서의 보안도 강화해야 하는데, 회사로서 기본적으로 알아두고 지켜야 할 법들이 존재한다는 뜻입니다. 뿐만 아니라 게임이라는 것도 결국 콘텐츠이니 지적재산, 크리덴셜의 관리에도 많은 투자를 해야 하고 랜섬웨어 공격도 조심해야 합니다.”

지적재산 관리는 게임 개발사에 있어 가장 큰 문제 중 하나다. 게임 개발에는 보통 여러 명의 개발자들이 참여하고, 시간도 적게는 수개월에서 많게는 수년씩 투자되어야 한다. 그런데 그렇게 애써 만들어둔 것을 한 순간에 누군가에 의해 도난당한다면 금전적인 손해가 너무나 클 수밖에 없다. 지난 9월 테이크투인터랙티브(Take-Two Interactive)라는 게임 개발사에서 GTA 6라는 유명 게임의 내부 소스가 대규모로 유출됐었는데, 이 사건 하나만으로 테이크투의 주가는 2.3% 떨어졌다.

하지만 어느 산업의 어느 회사나 지적재산은 중요한 보호 대상이다. 하지만 사용자들과 게임 생태계를 늘상 보호해야 한다는 건 게임 업계가 지닌 독특한 부담이다. 게임 업계의 고객들은 게임 업체가 만든 플랫폼에 접속하고 머무르면서 서비스(즉 게임)를 누린다. 플랫폼 그 자체가 브랜드가 되고, 수익 창출의 창구가 되는 것이다. 게다가 고객 중에 해커가 종종 있기도 한데, 그렇다는 건 사용하라고 활짝 열어둔 곳에 해커가 자유롭게 드나든다는 뜻도 된다. 고객과 공격자가 같은 경로로 진입해 같은 공간에서 같은 서비스를 누린다는 것도 게임 업계가 가진 골치 아픈 점이다.

치팅(cheating) 역시 게임 업계가 가진 독특한 문제 중 하나다. 치팅이란 게임 내 버그나 기술적 오류를 이용해 게임을 보다 원활히 하는 것을 말한다. 총으로 상대를 맞춰야 하는 게임에서 자동으로 겨냥을 해 준다거나, 서로가 보이지 않는 가운데 전략을 마련해야 하는데 상대가 다 보이게 식으로 치팅은 작동한다. 기껏 열심히 연습해서 게임 내에서 따라올 자가 없는 저격수가 되었는데, 어제 게임을 시작한 누군가가 불법 프로그램을 사용해 하루아침에 최고의 자리에 올랐다면 어떨까? 실망한 사용자들은 발길을 끊기 시작한다.

“공격자들이 게임을 공격하는 이유는 다음 세 가지 중 하나입니다. 게임 내에서 자신의 명성을 떨치는 것, 즉 게임을 잘해서 그 생태계 내에서 유명인이 되는 것이거나, 자신의 이념과 신념을 펼치는 것, 혹은 돈을 버는 것이죠.” 아코즈랩스(Arkose Labs)의 수석 범죄 담당자인 브렛 존슨(Brett Johnson)의 설명이다. “이 셋 중 돈을 벌기 위한 공격이 가장 많습니다. 98%가 돈 때문에 일어나는 일이라고 볼 수 있죠. 대부분의 공격자들이 투자율은 가장 낮고, 수익률은 가장 높은 방법을 활용할 가능성이 가장 높다는 뜻입니다.”

게임 생태계나 앱을 공격해 돈을 버는 방법은 다양하다. 게임사가 다양한 구매 및 결제 수단을 마련하고 있기 때문이다. “게임 내 자산 중 여러 경로를 통해 실제 화폐와 같은 가치를 갖게 되는 경우가 점점 많아지고 있지요. 이 사실이 밝혀지는 순간 공격자들은 득달같이 달려들어 각종 사기 기술을 발휘합니다. 이는 실제 통계로도 얼마든지 드러나고 있습니다.” 슈로이어의 설명이다.

가장 간단한 건 무작위 대입이나 크리덴셜 스터핑 공격을 통해 계정 자체를 탈취하는 것이다. 그런 후에는 그 계정에 묶여 있는 게임 화폐나 게임 내에서 가치가 높은 자원들(각종 아이템이나 스킨 등)에 접근한다. 그리고 서드파티 시장이나 불법 거래 경로를 통해 이것들을 판매함으로써 현금화에 성공한다. 이 외에도 게임 내 자원을 현금으로 돌리는 방법은 많다고 한다. 

게임 업계를 겨냥한 공격은 봇과 클릭농장(click farm)을 통해 이뤄지는 경우가 많다고 존슨은 짚는다. “돈을 벌려는 목적의 해커들은 효율성을 추구합니다. 게이머 계정을 하나하나 수동으로 공격하면 가성비가 엄청 떨어집니다. 계정 하나하나로 얻어낼 수 있는 돈의 금액이 그렇게 높은 편이 아니거든요. 그러니 자동으로 한 번에 여러 공격을 시도해야 수지가 맞습니다.”

게이머의 감성을 악용하다
기술적인 공격만 하는 게 아니다. 해커들은 게이머라는 사람들도 노린다. 게이머의 특성과 심리 상태를 교묘하게 노리는데, 주로 ‘다음에 출시될 새로운 캐릭터를 미리 보여준다’거나 ‘이 아이템 하나만 있으면 게임 진행 속도가 훨씬 빨라진다’는 식으로 접근한다. 게이머들은 다음 게임 내용을 무척이나 궁금해하기 때문이고, 그 누구보다 빨리 알고 싶어 하기 때문이다. 그리고 그런 욕구가 이성을 지배하는 경우가 대단히 많다.

존슨은 “게이머들의 간지러운 부분을 찔러주기만 하면 게이머들은 본능적으로 반응하기 일쑤”라고 말한다. “게이머들의 평균 연령이 어리기도 하고, 재미있는 뭔가에 집중하면 사람들이 원래 이성적으로 생각하는 걸 힘들어하기도 하죠. 이를 공격자들도 잘 이해하고 있습니다.” 그 말은 게임 회사들이 보호해야 하는 게 플랫폼과 서비스만이 아니라 고객들이기도 하다는 뜻이 된다. “고객들은 자신이 잘못해서 당하고서도 공격이 발생한 앱이나 서비스를 원망하거든요. 게이머들도 그렇습니다.”

공격자들에게 있어 효율 혹은 가성비가 대단히 중요한 요소이고, 기업들은 기술적인 부분과 인간적인 부분 모두를 보호해야 한다면, 보안 장치를 여러 층위로 마련해야 한다는 결론에 도달한다. 각종 공격 가능성을 염두에 두고 다양한 방어 수단들을 활용함으로써 방어 범위를 넓히고, 공격자들이 여러 가지 투자를 진행해야만 공격을 성공시킬 수 있도록 하는 것이다. 공격의 가성비를 떨어트리고, 방어의 효과는 높이는 방법이다.

존슨은 “보안 솔루션 하나를 구매해 플랫폼이나 생태계에 적용함으로써 공격자가 써야 하는 비용을 높이면 높일수록 공격자가 공격을 포기할 가능성이 높아진다”고 설명한다. “굳이 한 플랫폼을 뚫기 위해 돈을 더 쓰느니, 별 투자 없이도 공격할 수 있는 다른 플랫폼들을 찾기 시작할 것입니다. 그들에게는 어떻게 해서든 공격에 성공했다는 성취감보다, 공격 비용을 더 낮추면서 수익을 높이는 게 더 중요하거든요.”

짜이의 경우 게임과 플랫폼을 담당하는 개발 팀과 보안 팀이 처음부터 같이 작업에 착수해야 한다는 의견이다. 즉 설계 단계에서부터 보안이 고려되어야 한다는 것이다. “단순히 위협들에 대한 모델링만 하거나 위험하게 활용될 소지가 있는 것들을 처음부터 만들지 말라는 소리가 아닙니다. 재미있고 혁신적인 기능도 넣되, 보안 팀과 안전 검사를 꼼꼼하게 진행하라는 뜻이죠. 개발자들과 보안 전문가들의 서로 다른 시선이 같이 반영되어야 안전한 서비스가 완성됩니다.”

3줄 요약
1. 팬데믹으로 급성장한 게임 산업, 해커들이 눈독 들이고 있음.
2. 게임 업계로부터 돈을 빼돌리는 게 해커들의 가장 큰 목적.
3. 플랫폼을 기술적으로 노리기도 하지만 사용자들을 심리적으로 노리기도 함.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>