2013년 3월 5일, 동아닷컴이 주최하고 게임동아가 주관하는 '제 2회 게임 보안 컨퍼런스(이하 GSC 2013)'가 서울시 서초구 양재동에 위치한 엘 타워에서 열렸다. 올해로 2회를 맞이하는 GSC는 최근 온라인 및 모바일 환경에서 자주 발생하는 해킹, 정보유출 등 보안 사고에 대한 방안을 제시하는 행사다. 특히, 각종 사고 사례를 통해 체계적이고, 실질적인 대처 방안을 논의해 많은 관심을 받고 있다. 작년에는 한게임, 넥슨, CJ E&M 등 주요 온라인 게임사의 보안 담당 실무자와 대표 보안 업체 관계자 등 약 100명이 참가했으며, 올해는 규모가 더 커졌다.
이번 GSC 2013에는 HP, IBM, 팔로 알토(Palo Alto), 파이어 아이 등 보안 업체 관계자와 학계 전문가 등이 연사로 참여해 해커들의 최근 공격 동향, 대처 방안 등의 정보를 제공했다. 특히, 최근 이슈가 되고 있는 모바일 게임 관련 보안 문제를 실제 사례 중심으로 설명해 눈길을 끌었다.
가장 먼저 고려대 김휘강 교수가 '모바일 게임 서비스 보안에 관한 동향'이라는 주제로 설명을 시작했다. 그는 "과거 온라인 환경에서 보안 담당자들이 신경 써야 했던 부분은 '게임 봇'. '데이터 베이스 해킹', '사설서버' 등이었다. 하지만, 지금은 온라인에서 모바일로 환경이 바뀌며 과거와는 많이 달라졌다"라며, '모바일 게임은 주로 치팅(게임 정보를 조작해 게임 아이템 등을 복사함)이나 점수 조작 등의 보안 사고가 많다. 그리고 최근에는 '스미싱(Smishing)' 등을 통해 가짜 애플리케이션(이하 앱)을 유포하고 사용자의 스마트폰에 악성코드를 설치하는 형식으로 공격이 이뤄진다. 이를 통해 앱 내(in App) 소액결제를 노리는 경향이 있다”고 말했다.
스미싱이란 SMS와 Phishing의 합성어로, 문자메시지를 이용한 스마트폰 해킹 기법을 뜻한다.
1) 공격자가 문자메시지로 악성코드가 있는 웹사이트나 악성 앱 링크 등을 보낸다.
2) 문자메시지를 받은 사용자가 해당 링크에 접속한다.
3) 스마트폰에 악성코드나 가짜 앱 등이 설치되어 개인 정보나 인터넷 뱅킹 정보 등이 유출된다
뒤를 이어 여러 보안 업체 관계자들의 강연이 이어졌다. '게임업체가 준비해야 할 보안 영역 및 구축 사례', '애플리케이션 보안', '차세대 위협 사례 분석 및 보안 위협 대응 방안’ 등 최근 이슈가 되고 있는 모바일 보안에 관한 내용으로 강연이 진행됐다. 기술적인 부분은 비록 딱딱하게 진행됐지만, 강연을 듣는 실무자들은 종이에 필기하고 스마트폰에 메모하는 등 높은 관심을 보였다. 특히, 실무자들이 직접 접할 수 있는 보안 관련 정보를 깊이 있게 전달해 관심을 이끌었다.
게임사는 지금까지 모바일 게임 보안을 비중있게 취급하지 않았다. 기껏해야 사용자가 앱을 조작해 게임 아이템을 복사하는 크랙(Crack) 정도에 그쳤기 때문이다. 그리고 사용자가 한번 구매한 게임에서 해킹과 같은 부정행위를 해도 게임사는 큰 피해를 입지 않았다. 한번 판매하면 끝인 형태의 모바일 게임이 대부분이었기 때문이다.
하지만 최근 모바일 게임은 한번 팔면 끝인 게임이 아니라 앱 내 결제가 많은 부분유료화 방식이 크게 증가했다. 이러한 방식의 모바일 게임은 사용자가 게임 내 데이터를 조작할 시 게임사가 많은 피해를 입을 수 있다. 또한, 모바일 게임 결제 방식은 온라인 게임보다 단순하기 때문에 해커들이 스미싱 등으로 사용자의 스마트폰에 악성코드를 심어, 결제정보, 개인정보 등을 빼내는 것이 상대적으로 쉽다. 그만큼 더 많은 위험에 노출된 셈이다.
2013년, 모바일 게임 보안은 게임사의 보안 담당자들에게 가장 큰 이슈다. 그런 의미에서 이번 GSC 2013은 보안 담당자에게 최신 보안 트렌드에 관한 정보를 제공하고, 대책을 제시하는 좋은 자리가 됐다.
한편, 팔로 알토, 파이어 아이, 포티넷, IBM&AHNLAB 등 여러 보안 업체들은 행사장 로비에 자사의 솔루션을 소개하는 자리도 마련했다. 보안 담당자들은 이 자리에서 새로운 보안기술을 접하고, 보안 솔루션을 만날 수 있었다.
글 / IT동아 이상우(lswoo@itdonga.com)
가장 먼저 고려대 김휘강 교수가 '모바일 게임 서비스 보안에 관한 동향'이라는 주제로 설명을 시작했다. 그는 "과거 온라인 환경에서 보안 담당자들이 신경 써야 했던 부분은 '게임 봇'. '데이터 베이스 해킹', '사설서버' 등이었다. 하지만, 지금은 온라인에서 모바일로 환경이 바뀌며 과거와는 많이 달라졌다"라며, '모바일 게임은 주로 치팅(게임 정보를 조작해 게임 아이템 등을 복사함)이나 점수 조작 등의 보안 사고가 많다. 그리고 최근에는 '스미싱(Smishing)' 등을 통해 가짜 애플리케이션(이하 앱)을 유포하고 사용자의 스마트폰에 악성코드를 설치하는 형식으로 공격이 이뤄진다. 이를 통해 앱 내(in App) 소액결제를 노리는 경향이 있다”고 말했다.
스미싱이란 SMS와 Phishing의 합성어로, 문자메시지를 이용한 스마트폰 해킹 기법을 뜻한다.
1) 공격자가 문자메시지로 악성코드가 있는 웹사이트나 악성 앱 링크 등을 보낸다.
2) 문자메시지를 받은 사용자가 해당 링크에 접속한다.
3) 스마트폰에 악성코드나 가짜 앱 등이 설치되어 개인 정보나 인터넷 뱅킹 정보 등이 유출된다
뒤를 이어 여러 보안 업체 관계자들의 강연이 이어졌다. '게임업체가 준비해야 할 보안 영역 및 구축 사례', '애플리케이션 보안', '차세대 위협 사례 분석 및 보안 위협 대응 방안’ 등 최근 이슈가 되고 있는 모바일 보안에 관한 내용으로 강연이 진행됐다. 기술적인 부분은 비록 딱딱하게 진행됐지만, 강연을 듣는 실무자들은 종이에 필기하고 스마트폰에 메모하는 등 높은 관심을 보였다. 특히, 실무자들이 직접 접할 수 있는 보안 관련 정보를 깊이 있게 전달해 관심을 이끌었다.
모바일 게임 보안이 강조되고 있는 이유
하지만 최근 모바일 게임은 한번 팔면 끝인 게임이 아니라 앱 내 결제가 많은 부분유료화 방식이 크게 증가했다. 이러한 방식의 모바일 게임은 사용자가 게임 내 데이터를 조작할 시 게임사가 많은 피해를 입을 수 있다. 또한, 모바일 게임 결제 방식은 온라인 게임보다 단순하기 때문에 해커들이 스미싱 등으로 사용자의 스마트폰에 악성코드를 심어, 결제정보, 개인정보 등을 빼내는 것이 상대적으로 쉽다. 그만큼 더 많은 위험에 노출된 셈이다.
2013년, 모바일 게임 보안은 게임사의 보안 담당자들에게 가장 큰 이슈다. 그런 의미에서 이번 GSC 2013은 보안 담당자에게 최신 보안 트렌드에 관한 정보를 제공하고, 대책을 제시하는 좋은 자리가 됐다.
한편, 팔로 알토, 파이어 아이, 포티넷, IBM&AHNLAB 등 여러 보안 업체들은 행사장 로비에 자사의 솔루션을 소개하는 자리도 마련했다. 보안 담당자들은 이 자리에서 새로운 보안기술을 접하고, 보안 솔루션을 만날 수 있었다.
글 / IT동아 이상우(lswoo@itdonga.com)
※ 포털 내 배포되는 기사는사진과 기사 내용이 맞지 않을 수 있으며,
온전한 기사는 IT동아사이트에서 보실 수 있습니다.
