만인의 게임인 고스톱, e-스포초의 붐을 일으킨 스타크래프트 등은 아마 한번쯤 안해본 사람이 거의 없을 것이다. 이렇듯 게임은 범국민적 여가 놀이로 사랑받으며, 온라인 게임의 전성시대를 열어 놓았다. 이에 게이머들은 해마다 많은 액수의 돈을 게임을 즐기는 대가로 아낌없이 지출하고 있는 상황. 온라인 게임은 학생층의 대표적인 문화공간으로 대변되는 PC방에서부터 최근 휴대폰으로 즐기는 성인들의 게임 유형까지 다채로운 형태를 띄며 성장가속도에 모터를 달고 팽창하고 있다. 보안문제가 불거진 것은 바로 이러한 온라인게임, 현금거래가 활발하게 진행되는 것에 비해 시스템은 이를 뒷받침하지 못하는데서 발생한 여러 문제들이 수면위로 들어나면서 주목을 받기 시작했다. 이제 더 이상 방치하기엔 너무 커버린 게임사이트의 인증 시스템을 짚어보고, 안정화 방안에 대해 알아본다.
국내 최초의 온라인 게임은 1996년 넥슨의 ‘바람의 나라’이고, 그 후 1년 뒤 엔씨소프트의 리니지가 출시되면서 본격적인 산업이 시작되었다. 지난 2004년까지는 리니지, 뮤, 리니지2, WOW로 대표되는 MMORPG(다중 접속 온라인 롤플레잉게임)이 주를 이뤘으나, 포화상태에 달한 2005년부터는 카트라이더, 프리스타일 등의 보다 대중적이고 가변운 게임들이 인기를 끌고 있다.
온라인 게임을 기준으로 볼 때 유료 사용자(정액 결제자)나 하루 2시간 이상 플레이하는 하드 유저의 경우 18세 이상 성인이 60% 이상을 차지한다. 상대적으로 학생층의 경우 시장에서 차지하는 비율은 상당히 미미한 수준이다. 업계 관계자는 “이렇기 때문에 대부분의 게임업체에서는 18세 이하 청소년층에 별다른 신경을 쓰지 않는 상황”이라고 말하고 성인층의 취향에 맞춰 마케팅도 펼쳐지고 있다고 덧붙였다. 이들 유저의 경우 한달 평균 게임 정액비 2만원~3만원 정도를 지출하며, 여기에 직장인 등 돈에 여유가 있는 층의 경우 대략 1만원~5만원 정도를 아이템 현금 구입에 사용하고 있는 것으로 업계에선 추측했다. 엔씨소프트 관계자는 “아이템 구입이 곧 게임의 승패를 결정한다고 생각하는 경우가 게이머들의 일반적인 생각”이라며 “따라서 게임 사이트는 보안의 중요성이 어느 사이트보다 강조되지만, 실제로 인식도 낮고 시스템도 허술한 곳이 아직까진 많은 것이 사실”이라고 말했다.
온라인 게임 명의도용 사건으로 불거진 ‘보안’
지난 2월, ‘리니지’라는 게임 하나로 인해 온 나라가 발칵 뒤집어졌다. 온라인 게임 아이템 생산․판매를 전문으로 하는 중국 아이템 작업장들이 보안이 취약한 국내 전자상거래 사이트 및 중고 자동차 시장 사이트 등을 통해 입수한 수십만 명의 한국인 개인신상정보를 입수, 이를 온라인 게임 리니지의 계정생성에 사용했다는 것이 발각된 것이다. 이 사건이 각 매체를 통해 게이머들 뿐만 아니라 일반인들에게까지 알려지면서 엔씨소프트 홈페이지와 고객센터는 자신의 신상정보가 도용되었는지에 대한 관련 문의로 인해 마비되다시피 했으며, 결국 피해자 중 9,300명은 로마켓을 통해 엔씨소프트 측에 대해 1인당 100만원의 피해보상을 골자로 하는 소송을 내는 등 자신의 개인 정보를 도용당한 피해자와 기업 양측에 금액으로는 따질 수 없는 막대한 피해를 입혔다. 그러나 이것은 사실 ‘사건’이나 ‘사고’라고 부를만한 일은 아니다. 이미 지난 해 5월, 게임 홈페이지 및 관련 팬사이트에 중국 해커들이 제작한 것으로 추측되는 키로그 프로그램이 유포되어 한 바탕 소란이 인 바 있으며, 얼마 후에는 국내 전자상거래 사이트를 통해 53,000명의 한국인 개인신상정보를 해킹, 이를 온라인 게임 계정 생성에 이용해 국내에 1,000억원 가량의 게임 아이템을 유통시킨 중국 작업장이 경찰에 적발된 바 있기 때문이다. 이러한 중국 해커들의 정보 도용은 이미 우리가 깨닫기 전부터 계속되어 왔다. 다만 우리가 그것에 무지하고 무관심했던 것뿐이다. 현재 중국 해커, 특히 국내 온라인 게임 아이템을 노리는 작업장 세력들이 한국인의 개인신상정보를 입수하는 루트는 다음과 같다.
- 주민등록번호 생성기를 통한 무작위 생성 - 보안에 취약성을 보이는 영세 전자상거래 사이트에 대한 해킹 - 상당수의 한국인 개인신상정보가 등록되어 있는 것으로 알려진 구글 등 검색 엔진 - 개인산상정보 브로커를 통한 입수
이러한 중국인들의 무차별적인 개인정보수집에 대해 보안 업계의 관계자들은 “최근 전 세계적으로 해커들의 주 공격대상이 웹 애플리케이션으로 넘어오고 있다”며, “그 중 유독 중국 해커들이 극성스러울 정도로 국내 시장에 집착하는 이유는 비정상적으로 발달된 온라인 게임 아이템 현금 거래 시장을 노린 것”이라는 견해를 보이고 있다. 한 게임업체 관계자는 “게임사이트들의 보안상태는 몇몇 메이저급을 제외하고는 별다른 관심이 없는 게 현실”이라며 “잉카인터넷의 엔프로텍터의 보급률이 대략 50% 정도이며, 거기에 추가로 다른 보안장치를 해둔 곳은 20% 미만이고, 그 외 업체들은 무방비 상태로 방치되어 있다.”며 빠른 대책이 필요하다는 입장을 밝혔다.
내부적 요소․허술한 보안의식도 안정화 가로막아
중국을 비롯한 국내외 해커들, 혹은 판매를 목적으로 개인 신상정보를 무단으로 수집하는 브로커들이 게임업계의 외부적인 위협요소라면, 친구와 동료 등의 지인을 통한, 혹은 키로그 프로그램 등의 악성 코드를 이용한 게임 계정정보 도용은 내부적인 불안요소다. 게이머들이 흔히 해킹이라 부르는 이 게임 계정정보 도용은 크게 다음과 같은 유형으로 분류할 수 있다. 1. 기술적 침해 - PC방 등 공용 PC에 키로그 프로그램, 백도어 프로그램 등의 악성코드를 설치, 이를 이용해 사용자의 계정과 비밀번호를 탈취해 그 데이터를 훼손하는 행위 2. 단순 침해 - 동료와 친구, 가족 등 지인이 사용자의 계정과 비밀번호를 알아내 그 데이터를 훼손하는 행위 - 정식 홈페이지와 비슷한 주소와 디자인을 가진 가짜 홈페이지를 운영, 이메일 등을 통해 사용자가 자신의 계정과 비밀번호를 입력하도록 유도하여 계정의 데이터를 훼손하는 행위 - 게임회사 내부직원 및 경쟁 업체의 스파이가 데이터베이스, 프로그램, 서버 시스템 등을 웨손하는 해위
현재 각 온라인 게임업체에 접수되고 있는 게이머들의 해킹 신고는 대부분 지인을 통한 정보유출과 키로그나 백도어 프로그램에 감염된 PC를 통한 유출에 기인하며, 최근에는 이메일과 홈페이지를 통한 피싱(Phishing)이 점점 늘어나고 있는 추세다. 이러한 게이머의 계정정보에 대한 해킹은 소비자와 기업 간의 불신의 원인이 될 뿐만 아니라, 피해를 당한 소비자에게는 정신적․물질적 손해를, 기업에게는 이를 복구하기 위한 막대한 금액의 위험비용을 안겨주고 있다. 한편 사회 전반에 팽배한 허술한 보안의식도 게임 사이트의 안정화를 가로막는 요소로 지적되고 있다고 보안업계는 말한다. 각종 사이트 등에서 회원 가입은 물론 행사 참여까지 주민번호 입력을 요구하는 등 주민번호가 별 조심성 없이 아무렇게나 쓰이고 유통되면서 주민번호 유출 가능성은 현실이 되고 있다.
안철수연구소 관계자는 “공인인증서 등을 통해 추가로 본인 인증을 한다면 실제로 주민번호가 도용돼도 실질적 피해로 이어지는 것을 막을 수 있을 것”이라며 “주민번호를 업체간에 주고 받고 판매까지 하는 일을 적극 예방하기 위해 관련 법규 강화가 요구된다.”고 밝혔다. 또 중국 게임 게임 아이템 유통업자 등이 지난해부터 포털 등 국내 웹사이트를 해킹해 게임 계정 탈취용 악성코드를 심는 등 집요히 공격을 가하고 있으나 국내 사이트 전반의 보안의식이 아직 매우 떨어져 게임 관련 사고․범죄를 부추긴다는 지적도 있다. 실제로 대형 포털 네이트닷컴의 경우 지난해 9월 중국 해커에게 공격당한데 이어 작년 12월에도 중국 해커로 추정되는 해커에게 해킹당해 게임 계정 유출 악성코드가 심어지는 사고를 겪었으나 피해 사실을 숨기는 등 안전 불감증을 드러낸 바 있다. 보안업체 지오트 관계자는 “중국 해커에 의한 해킹 사실을 통보해줘도 반응이 없는 경우가 대부분.”이라며 “소규모의 사이트 관계자들은 보안에 대한 인식이 갖춰지지 않아 위협에 노출 된지도 모르고 있어 황당했던 경험이 있다. 이러한 낮은 보안의식 때문에 같은 사이트에서 해킹 피해가 계속 재발되는 악순환이 계속 일어나는 것”이라고 말했다.
8천억원 빙과시장보다 더 큰 아이템 거래 중개사이트를 아시나요?
게임 아이템을 현금을 주고 거래하는 규모가 폭발적으로 증가해 온라인 게임 시장 자체와 맞먹을 정도로 성장하고 있다. 게임을 수행하는 한 부수적 요소에 불과한 아이템 거래금액이 게임 시장 전체와 비슷할 정도로 커진 것은 세계 어느 곳에서도 유례를 찾기 힘들다. 문화관광부와 한국게임산업개발원에 따르면 지난해 게임 아이템의 현금 거래액은 사상 처음으로 1조원을 돌파했다고 밝히고 올해 1조5천억 시장으로 커질 것으로 내다봤다. 이는 8,000억원선인 빙과시장보다 더 크다. 또한 아이템 거래를 중개하는 사이트만 국내에 200여개에 이른 것으로 추산된다. 사정이 이렇다보니 아이템을 노리는 전문 해커들은 아이템을 탈취하기 위한 해킹, 사기, 폭력 등을 일삼고 있다. 또한 트로이목마를 이용해 계정을 알아낸 뒤 아이템을 훔치는 수법도 기승을 부리고 있다. 급기야 중국에서는 한국 게임 아이템 ‘사냥’이 유행처럼 번지고 있다. 지오트가 지난 11월부터 웹해킹 사이트를 집중 모니터링한 결과, 현재까지 2000여개 사이트가 중국발 해킹을 당했다. 그러나 이들 아이템은 회사의 재산이기 때문에 거래 행위 자체도 문제지만 그 과정에서 발생하는 개인정보 도용, 사기 등 각종 위험에 노출돼 있다는 점에서 심각한 문제를 안고 있다고 할 수 있다.
이러한 게임 산업의 발전을 일군 아니템 현금 거래는 개인적, 그리고 음성적으로 이루어지던 방식에서 중개 사이트를 통한 거래과정을 거쳐 직거래형 사이트 등으로 다각화되고 있다. 2001년에 개설된 국내 최대 아이템 현금 중개 사이트인 아이템베이 회원은 300만 명이나 된다. 거래 금액은 2005년 기준 3,000억 이상이고 2005년 수수료 수입이 200억원에 이른다. 이는 전체 아이템 중개시장의 50%의 점유율을 기록하는 수치다. 다른 중개 사이트를 이용하거나 직접 거래하는 게이머를 포함하면 아이템 거래자는 500만 명에 달한다고 게임 업계는 추정하고 있다. 온라인 게임들 대부분이 리니지보다 중독성이 강하고 경쟁 중심의 시스템을 도입하면서 게이머들은 보다 신뢰할 수 있는 형태의 아이템 거래방식을 갈망하기에 이른다. 그리고 이와 동시에 PC방이나 작업장을 무대로 아이템 현금거래를 주업으로 삼던 사람들이 양지로 뛰쳐나오길 원하니, 이렇게 하여 양 집단 간의 이익이 맞물려 등장한 것이 바로 아이템 현금거래 중개사이트다. 아이템 거래의 경우 타인에게 노출되는 정보는 게임내 캐릭터 ID이고 계정 거래의 경우 타인에게 노출되는 정보는 게임 내 캐릭터의 ID다. 실제 개인정보 확인을 위해 등본을 요구하는 경우도 있다.
눈덩이처럼 외향만 커지고 보안이 따라가지 못하는 구조를 지닌 아이템 거래 중개 사이트. 이들조차 거래과정에서 발생하는 각종 사기행위에 대해 완벽히 대처하진 못하고 있다는 지적이다. 결국 현 시점에서는 아이템 중개 사이트의 이용 과정에서 피해를 받는다고 하더라도 중개사 및 제작사를 통해 보상받을 길이 없다는 것이 큰 문제인 것. 소비자인 게이머들을 보호하기 위한 장치 및 정책들이 시급히 이뤄져야 한다는 것이 전문가들의 의견이다. 아이템 중개거래 사이트 관계자는 “최근 몇몇 게임업체의 경우 스스로 사용자 간 캐릭터 거래를 할 수 있는 시스템을 도입, 이를 이용할 경우 개인정보 노출을 차단시키고 있다.”며 “그러나 법적, 도덕적 문제에 봉착해 어려움을 겪고 있다.”고 전했다. 엔씨소프트 관계자도 “중국 IP(인터넷 프로토콜)의 국내 게임 접속을 차단하고 250여명의 운영진이 자동사냥 프로그램 사용, 게임 아이템 거래 등의 행태를 집중 모니터링해 제재하고 있다.”고 말했다. 그러나 “중국 작업장들이 중국 IP를 차단하면 가상사설망(VPN)을 이용해 접속하는 등 갖가지 수단을 쓰고 있어 막기가 매우 어려운 실정”이라고 덧붙였다.
결제시스템 악용 등 보안 허점 드러나
최근 게임 사이트 결제시스템을 악용한 불법 ‘휴대폰깡’이 발각되면서 사회적으로 큰 반향을 일으킨 바 있다. 휴대전화 소액결제를 통한 현금할인, 속칭 ‘소액결제 깡’이 인터넷을 통해 공공연하게 성행하고 있는 것으로 드러난 것. 이러한 휴대전화 소액결제 깡을 이용하는 업자들은 엔씨소프트나 한게임 등 유명 게임업체의 결제시스템을 악용하고 있지만 해당 업체는 물론 감독기관들도 몰랐다고. 현금할인 일명 ‘깡’은 그동안 신용카드를 통해 주로 이루어졌다. 신용카드로 물품을 산 것처럼 결제를 한 뒤 이용자는 업자에게 물품 대신 가격의 80~90%를 현금으로 받는 방식이었다. ‘휴대폰 소액 결제 깡’도 마찬가지 방식. 휴대전화 소액결제로 물품이나 정보이용료 등을 구입한 것처럼 결제하면 업자가 이용자에게 결제금액의 50%를 현금으로 돌려주는 것이다. 휴대전화 소액결제 깡을 이용하면 이용자들은 휴대전화를 통해 엔씨소프트나 한게임 등 유명 게임업체 명의의 결제완료 메시지를 받는다. 업자들은 사들인 게임 아이템이나 이용권을 약 80%의 가격에 한 인터넷 아이템 거래 사이트에서 팔아 현금화하고 있다. 해당 업체들은 이러한 사실조차 까맣게 모르고 있다. 이렇게 결제시스템에 대한 보안이 중요 쟁점으로 떠오르면서 게임 사이트들도 OTP와 MOTP 도입에 적극적으로 나서고 있다.
게임 사이트들이여, 안정적인 인증시스템을 갖춰라!
지난 2월, 중국 해커들에 의해 한 바탕 홍역을 치룬 엔씨소프트는 PKI 솔루션 업체인 이니텍으로부터 MOTP(Mobile One Time Password)를 긴급 도입, 현재 희망자를 대상으로 시범서비스에 들어갔다. OTP는 매번 다른 값의 비밀번호를 생성하여 이를 통해 사용자를 인증하기 때문에, 계정과 비밀번호가 노출될 경우에도 자신의 정보에 대한 타인의 접근을 방지해준다. 그 중 MOTP는 비밀번호를 생성하는 SW를 휴대폰 단말기에 설치, 인터넷과 휴대전화 사용에 익숙한 네티즌들의 접근성을 높인 솔루션으로 PKI 솔루션 전문 업체인 이니텍에 의해 개발되었다. MOTP는 다음과 같은 구성과 사용자 인터페이스를 갖고 있다. 온라인뿐만 아니라, 로그인이 필요한 모든 웹 서비스에 대해 안전한 사용자 인증을 제공하는 MOTP는 현재 게임업계가 겪고 있는 게정정보도용에 대한 확실한 방지와 개인신상정보도용에 대한 소극적인 방지책을 마련해준다. 즉, 웹 서비스에 로그인 할 경우 사용자의 계정과 비밀번호, 그리고 등록된 휴대폰 단말기에서 생성되는 1회용 비밀번호가 동시에 필요하기 때문에 설사 지인에게 계정과 비밀번호가 노출되었다 해도, 혹은 백도어 프로그램이나 키로그 프로그램을 통해 정보가 노출되었다 해도 휴대폰 단말기를 소지한 본인이 아닌 이상 그 누구도 계정에 접근할 수 없다. 온라인 게임에서 흔히 발생하는 계정해킹에 대한 원천적인 봉쇄 책인 셈이다.
중국 작업장들에 의한 개인신상정보 도용 역시 마찬가지다. 기본적인으로 MOTP는 개인신상정보에 직접적인 관련을 갖고 있는 솔루션은 아니지만, 현재 대부분의 개인신상정보 도용이 중국 작업장들에 의한 것임을 감안할 때, MOTP가 의무적으로 도입된 온라인 게임에 한해서는 혀재와 같은 유형의 무단 계정생성이 무의미해지는 효과를 거둘 수 있다. MOTP가 도입된 온라인 게임에 계정을 생성하고, 게임에 접속하기 위해서는 국내 통신업체에 등록된 휴대폰 단말기가 필요한데, 현실적으로 중국에서 이를 이용하는 것은 불가능하기 때문이다. 물론 로밍 서비스라는 차선책이 있긴 하지만, 그 서비스 비용을 생각할 때 중국인들이 어떤 선택을 내릴 지는 보지 않아도 쉽게 짐작되는 일이다. 이니텍 관계자는 “만약 현재 MOTP를 지원하고 있는 온라인 게임을 플레이하고 있다면, 그리고 만약 등록과 설치가 귀찮아 망설이는 게이머라면 지금 즉시 해당 서비스를 사용할 것을 권한다.”며 “MOTP 하나로 게임 계정 해킹에 대한 거의 대부분의 위험요소를 제거할 수 있기 때문”이라고 입장을 밝혔다.
그렇다면 과연 MOTP가 도입도어 있는 온라인 게임에는 어떤 것들이 있는가? 아쉽게도 현재 국내에 서비스중인 온라인 게임 중 MOTP 서비스가 도입되어 있는 것은 ‘리니지’ 단 하나뿐이다. 그리고 이것 역시 전체 사용자를 대상으로 하는 것이 아니라, 신청자에 한해 이용이 가능한 형태로 운영되고 있다. 앞서 언급한 바와 같이 ‘계정해킹’에 대한 완벽한 차단효과를 거둘 수 있는 MOTP가 국내 온라인 게임에 도입되지 않는 이유에 대해 게임업체들은 “도입비용과 의무사용제로 변경할 경우 휴대폰 비사용 고객에 대한 대안책이 없고, 사용의 불편함에 따른 고객 감소 때문”리라는 입장이다. 그렇지만 보안업체들은 유연한 보안정책을 적용한 협력모델을 내놓아 비용에 대한 부담감을 없앴고, 속도나 편이성에 문제가 발견되지 않는 등 사용하는데 전혀 불편함이 따르지 않기 때문에 상황은 많이 달라지고 있다. 실제로 아이템베이는 사이버 범죄에 대해 발빠르게 대응하고 게이머를 안전하게 보호하기 위해 ‘로한 인증 서비스’를 지난 1월부터 실시해 오고 있다. 이 서비스는 아이템메이에서 로한 게임의 물품등록 및 거래신청 시 입력한 캐릭터명이 로한 게임사의 캐릭터명과 일치하는 서비스로, 더욱 안전한 거래가 가능하다.