[디지털데일리 이민형기자] 최근 모바일게임 보안 문제로 게임사의 고충이 커지고 있다. 부정한 방법으로 모바일게임을 즐기는 사용자가 증가하고 있지만 여기에 대응하기가 쉽지 않기 때문이다. 특히 인력과 자금이 부족한 스타트업 모바일게임사는 눈 뜨고 피해를 지켜보고 있는 상황.

이런 추세는 카카오 게임이 등장하면서 더 증가하고 있다. 카카오 게임이 지인들과의 경쟁하는 구조이기 때문에 보다 높은 점수를 획득하려는 수요가 많기 때문이다.

국내 해커연합 하루(h4ru)의 장상근 해커(안랩 연구원)는 지난 3일 서울 여의도에서 열린 시큐인사이드 2013에서 “모바일게임 해킹은 날로 증가하고 있지만, 이에 대한 대응전략은 아직 미비한 것이 사실이며, 대응전략을 마련한다고 해도 결국은 뚫릴 수 있다. 하지만 다양한 수단과 방법을 활용해 콘텐츠 보호에 힘써야 한다”고 강조했다.

현재까지 알려진 모바일게임 해킹 수법은 ▲메모리 탐색 ▲앱 리패키징 ▲픽셀 샘플링 ▲파일 변조 ▲패킷 변조 등이다.

메모리 탐색은 프로세스 위에 상주한 모바일게임 앱의 메모리 값을 찾아 변조하는 것으로 가장 쉽고, 흔하다. 현재 대부분의 모바일게임은 메모리 탐색을 가능케 하는 해킹 앱을 차단하는 방법으로 대응하고 있다.

장 연구원은 “이러한 해킹 앱을 차단하는 방법은 단순하다. 해킹 앱이 프로세스에 상주돼 있으면 이를 감지하고 강제종료하는 식이다. 대체로 소스코드 내 어레이(배열, array)로 처리한다”며 “반대로 생각하면 역공학(리버스엔지니어링)으로 어레이 부분을 삭제하고 다시 패키징(앱 파일 형태로 만드는 것)하면 무용지물이 된다”고 설명했다.

메모리 탐색을 처음부터 막는 것도 도움이 될 수 있다. 메모리를 난독화하고 일회용비밀번호(OTP)를 적용해 사용자가 모바일게임 앱에서 사용되는 실제 키 값을 찾지 못하도록 만들면 해킹이 불가능하다.

장 연구원은 “게임사에서 가장 대응하기 힘든 부분은 모바일게임 앱이 위변조되는 것”이라며 “역공학을 막을 수 있는 방법을 고민해봐야 한다. 소스코드 난독화가 해답이 될 수 있다”고 설명했다. 소스코드 난독화는 최근 금융권 앱에 적용된 앱 위변조방지 솔루션으로 해결할 수 있다.

결제에 대한 피해를 막기위한 방법도 필요하다. 네트워크 패킷을 변조해 게임머니를 결제하지 않았지만 결제한 것 처럼 패킷을 게임사로 보낼 수 있기 때문이다. 이는 게임사의 금전적인 손해이며 더 나아가 게임 내 생태계를 무너뜨릴 수 있다.

장 연구원은 “네트워크 패킷을 가로채지 못하게 하거나, 가로채더라도 변조할 수 없도록 암호 알고리즘을 채택하거나 OTP를 적용하는 것이 필요하다”고 말했다.

끝으로 그는 모바일게임사가 콘텐츠 보호에 힘쓰는 것과 별개로 모든 로그를 남겨놔야 한다고 강조했다. 불법사용자에 대응하기 위해서다.

장 연구원은 “유저들이 어떻게 게임을 즐기고있는지 로그를 남겨야한다. 불법적으로 아이템 등을 취득했을 때 처벌할 법적근거가 되기 때문”이라며 “이와 별개로 모바일게임을 개발할 때 해킹을 해도 얻을 수 있는 이윤을 최소화한다면 해킹에 대한 시도 자체가 줄어 들 것”이라고 강조했다.

<이민형 기자>kiku@ddaily.co.kr