온라인 게임과 관련한 보안 이슈의 경우 상호 인과관계를 갖고, 연관성을 갖기 때문에 복잡합니다. 또 공격자들은 해외에 위치한 경우가 대부분이죠. 그렇기 때문에 게임사들 입장에서 분명 쉽지 않을 겁니다.
15일 메가뉴스 주최로 열린 '코리아시큐리티세미나(KSS) 2010'에서 김휘강 고려대학교 정보경영공학전문대학원 교수는 게임 개발사들 입장에서 보안을 위해 어떻게 접근하고, 어떤 조치들을 취해야 하는지에 대해 강연했다.
김휘강 교수는 게임기획 단계부터 게임보안을 사전에 고려해서 개발하고 서비스할 필요가 있다며 게임이 인기를 얻게 되는 순간 계정도용은 반드시 발생하기 때문에 봇에 대해 미리 준비한 게임과 그렇지 않은 게임의 차이가 반드시 존재한다고 말했다.
그는 국내 기업들이 적용하고 있는 다양한 보안 솔루션 및 각 대응방법의 장단점에 대해 소개했으며, '데이터 마이닝'에 대해 자세히 설명했다.
데이터 마이닝이란 대규모로 저장된 데이터 내에서 통계적 규칙이나 패턴을 찾아내는 기술이다.
김휘강 교수는 데이터 마이닝 시에는 자신의 게임에 대한 충분한 이해와 봇의 행동방식에 대한 충분한 사전지식을 갖춰놓고 있어야 한다면서 이를 위해 행동 시나리오를 도출하고 오탐을 최소화 할 수 있도록 극히 보수적인 시나리오만을 운용해야 한다고 말했다.
데이터 마이닝 시 반드시 고려해야 할 사항도 있다. 이런 사항들은 각각의 상황에 따라 다르게 대처해야 한다.
김휘강 교수는 내부적으로 개발한 탐지 알고리즘으로 제재할 경우 법적인 분쟁에 대비한 증거를 마련해 둬야 한다고 조언한 뒤 제재를 고려할 때에는 기계가 아니면 불가능한 액션들만으로 탐지 룰을 잡아야 한다고 말했다.
예를 들어 공격과 동시에 무기수리가 일어난다거나, 앉는 좌표(x,y,z)가 지정한 타임라인 내에 특정횟수 이상 동일한 경우, 마우스 이동 경로가 정확히 최소 직선거리에 일치하는 경우 등이 바로 그것이다.
김 교수는 이러한 탐지 룰을 적용할 때에는 항상 서버에서 체크하면 과부하가 발생하기 때문에 1차적으로는 마이닝을 통해 필터링을 한 뒤 제재 대상을 확정할 때 랜덤으로 샘플링을 해서 검증하면 된다고 밝혔다.
한편 김 교수는 데이터 마이닝이 만능은 아니라는 점도 강조했다.
그는 적시에 원하는 분석을 도출하기 위해서 사전에 탐지를 고려한 로그 디자인과 포맷을 설계해야 하고, 과감한 초기투자가 필요하다면서 일별 분석, 시간별 분석 등 목표치를 명확히 수립해야 한다고 말했다.