NETSEC-KR 2015 온라인게임보안 세션 발표자료

2. 32
 Main research area
◦ Online Game Security
 Game Bot Detection and Prevention
 Gold-farmer group Detection
 In-game Fraud Detection (e.g. Real Money Trade issue by gold-
farmers)
 Pirate Server Detection and Prevention
◦ Fraud Detection System
 Internet Portal, Online Game Service
 Internet Banking
◦ Network and System Security
 Intrusion Detection with data mining and machine learning
 Malware Analysis (Cyber Genome)
 Mobile App vulnerability analysis (Andro-profiler, Mal-netminer,
Andro-Tracker, Andro-AutoPsy, Andro-Dumpsys)
2

3. 32
 Newly update slide file is now online
◦ http://www.slideshare.net/sakai76
3

5. 32
 정의
◦ 온라인게임 퍼블리셔 또는 개발사의 시스템 및 네트워크 등의 정보자산을 외
부의 해커의 침입으로부터 보호하는 것
 온라인게임보안 관련 다양한 activities
◦ 온라인게임 유저들의 계정 및 계정 내 사이버자산을 보호하는 것
 피씨보안, 계정도용 방지를 위한 multi-factor 인증 (OTP, PC등록서비스 , 전
화인증서비스 등)
◦ 온라인게임의 정당한 유저들이 신뢰할 수 있는 게임환경 내에서 쾌적한 플레
이를 할 수 있도록 하는 것
 게임BOT 탐지, 예방
 사설서버 탐지 및 예방, 차단
 작업장, VPN/PPTP 우회접속자 등 불량유저 탐지 및 제재
5

6. 32
 넓어지는 전선
◦ 시스템/네트워크보안 + 서비스보안 + PC/모바일로 횡/종적 확대
6
BOT + 작업장
• 주 공격자는
중국
• 현재는 (미국,
러시아) + (중국)
+ (태국, 베트남)
으로 공격자
군이 형성
해킹, DDoS
• 북미 온라인
게임회사들은
2014년에
기록적인 DDoS
공격을 받음
계정도용,
결제부정
• 스미싱은
감소추세
• 계정도용 및
다른 유형의
결제부정은
급증가 추세

7. 32
 군(cluster) 별 특징
◦ 미국, 러시아
 작업장보다는 봇 제작에 관심이 많음
 취미형, 하지만 가장 정교한 패킷조작 능력 (게임에 대한 이해도가 높아
탐지가 상당히 어려움)
 역공학에 의한 사설서버 제작능력 우수
 국제 수사 공조로 체포 및 사설서버 shutdown 을 한 유일한 국가- 미국
 한줄요약: 존경스럽다.
◦ 중국
 BOT + 작업장의 근원지. 현재는 태국+베트남 클랜을 이끔
 서버, 네트워크 해킹, 소스코드 유출과 같이 게임서비스 외 게임회사 자
체에 대한 공격을 병행
 계정도용, 모바일 결제부정의 근원
 국제 수사 공조가 어려움
 한줄요약: brute-force. 당해낼 수가 없다.
7

8. 32
 군(cluster) 별 특징
◦ 태국, 베트남
 작업장의 새로운 서식지
 인건비 문제
 국가차원의 IT 지원과 맞물림 – 회선, 전기 등
 한줄요약: 생계형, 착함
8

9. 32
 http://h21.hani.co.kr/arti/PRINT/25498.html
9

10. 32
 http://news.inews24.com/php/news_view.php?g
_serial=442626&g_menu=020300
10

11. 32
 http://uclean.mt.co.kr/news/view.php?uc_seq=&
uc_id=2005112216361998318
11

12. 32
 북한 해커 동원해 온라인 게임 해킹
◦ http://tvpot.daum.net/v/EMZR586jznc$
◦ http://www.pentest.co.kr/?page=65&document_srl=95756&mid=securit
y_news_bbs
12

13. 32
 BOT 제작자들에 대한 tracking 필요
◦ 왜 우리는 그들을 법적으로 대응하지 못하는가?
◦ 도리어 왜 영업방해로 맞고소 당하는가?
13

14. 32
 “Winnti”, More than just a game (Apr, 2013)
◦ http://kasperskycontenthub.com/wp-content/uploads/sites/43/vlpdfs/winnti-more-than-jus
t-a-game-130410.pdf
◦ http://www.kaspersky.com/about/news/virus/2013/Kaspersky_Lab_Analyzes_Active_Cyb
erespionage_Campaign_Targeting_Online_Gaming_Companies_Worldwide
14

15. 32
 Winnti
◦ 국내 대부분의 유수의 기업들이 피해를 봄
◦ 몇몇 게임회사들이 협력차원에서 정보교환을 통해 공동 대응을 모색
◦ 소스코드, 서버바이너리 등 다수 노출
◦ 공격이 3년 이상 지속됨
◦ 본사 보안이 안전해도 지사들과 연결된 네트워크 취약점을 노림
◦ 게임회사들 내 사내망, 개발망, IDC간 망분리를 촉진함
 망분리를 한 회사들만 큰 피해가 없었음. 피해범위가 IDC 내로 최소화됨
15

16. 32
Game client Game servernetwork
Anti-debugging
Anti-reverse
engineering tool
Code
obfuscator
16
 Two major challenge – obfuscation for client
security
◦ 아직 usable (strong enough, light enough) 한 난독화 솔루션 부족

17. 32
Game client Game server
17
• 대포폰 + 해외 + 환불을
이용한 공격
network
 Two major challenge –Zero-day “Service” attack

18. 32
 모바일게임 공격
◦ Motivation
 유료게임 -> 무료게임으로 하고 싶은 욕구
 점수를 쉽게 얻고 싶은 욕구 (cheating)
◦ Zero-day 를 조장하는 환경
 Android 및 휴대단말 자체의 한계
 루팅탐지, 통신요금제 제약, 컴퓨팅 파워의 제약
 아직까지도 적절한 난독화 솔루션을 찾기 어려움
 리패키징 & 재배포를 막기 어려움
◦ 근본적으로 왜 막기 어려운가
 모바일게임의 Life-cycle 문제
 보안을 고려한 개발을 할 경우 Cost 문제 및 in-time market 진입문제
 전문인력 문제
18

19. 32
중국이라면?
 모바일게임의 - 결제부정 issue
◦ Zero-day *service* Attack 의 시대
◦ 환금성이 높은 국내 게임들은 모두 피해를 심각하게 입고 있음
◦ No information sharing
◦ 구매자 != 이용자, 구매시점 != 이용시점, 환불주체 = multi-party
19
게임
플랫폼
(메신저 등)
폰1 폰2
가입
플랫폼
(이메일 프로바이더
신원체크?
결제
플랫폼
(앱스토어 등)
게임서비스
프로바이더
(게임회사)
아이템
거래시장

21. 32
 온라인 게임
◦ 환금성이 강한 글로벌 마켓
◦ 게임회사에 대한 직접적인 공격 성공 시, 또는 게임 클라이언트에 대한
역공학을 통해 게임봇 제작 성공 시, 작업장을 운영 시, 해커 입장에서
는 큰 수익이 보장 됨
◦ 게임 소스코드 및 서버 바이너리 유통, 아이템 유통, 게임 봇 프로그램
유통 등 다양한 블랙마켓 형성
◦ 범죄를 위한 eco-system 이 충분히 구축됨
 예: IP 세탁 (VPN/PPTP) 서비스집단, 계정 생성 집단, 생성된 계정 유통
집단, BOT제작집단, 작업장 집단, 현금거래 전담 집단, 환전조, 시스템/
네트워크 해킹 공격조 (용병)
21

22. 32
 온라인 게임 회사
◦ 보안에 적극적인 투자를 할 수 있는 기업은 소수
◦ 대형 기업들조차 각종 규제로 인해 수익성 감소
◦ 모바일게임으로 인한 기존 PC기반 게임 시장의 수익성 감소
◦ 게임봇에 대한 제재 의지 감소로 이어짐
 온라인 게임 보안 솔루션 회사
◦ 점유율이 높던 솔루션 회사의 철수
◦ 대형 개발사 및 퍼블리셔들의 자체 개발 동향
 근본 원인은 시장 경쟁력 상실
◦ 최종보스 몬스터는 여가부?
22

23. 32
과거
• 계정도용, BOT/작업장, 결제도용
현재
• 계정도용, 회사해킹방지, 결제도용
23
 꼭 대응하여야 할 것

25. 32
 New Attacks and ecosystem
25

26. 32
 새로운 공격은 어디에서 나올 것인가?
◦ 모바일 + Fraud
 공격의 신속성 + 환금성이 보장되는 영역
 장르 + 플랫폼 경계선이 사라짐
◦ 모바일 플랫폼에서의 MMORPG 장르 등
◦ 기존 PC환경에서의 공격은 모두 모바일 플랫폼에서 revival 될 것임
◦ PC에서는 그래도 대응이 가능했으나 모바일에서는 대응하기 어려운
지점 – 예: 로그생성, 앱보안 (클라이언트) - 이 주 타겟
26
결제부정
모바일
악성코드

27. 32
 Client-side, Network-side  Server-side
 Server-side 보안에 필요한 요소기술
◦ Statistics
◦ Data Mining
◦ Machine Learning
◦ Social Network Analysis
◦  User Behavior Analysis 와 일맥상통
◦  인력 풀을 공유할 수 있음
 Monetization 으로의 연결
◦ User experience -> 고객은 언제 돈을 쓰는가?
27

28. 32
 Toxic Behavior 에 대한 대응
◦ 예: LoL case
28

29. 32
 장르 확대
◦ MMORPG 위주의 보안조치의 탈피
 게임 기획 + CPTED (Crime Prevention Through E
nvironmental Design)
◦ 집정관 시스템
◦ 유저 참여 기반 신고 시스템
◦ 기획과 결합된 보안
29

30. 32
 BOT, 결제부정 탐지의 변별력을 높이기 위해 꼭 필
요한 기술
 1. Machine ID detection
◦ 이제는 MAC address + HDD serial number 로 machine ID detection
하는 것은 의미가 없음
◦ USIM? That’s nono.
◦ Agent-less
 2. Anonymizing 기술
◦ IP address
◦ MAC address
◦ 위치정보
30

32. 32
 Mobile Game 의 PC Game 화
◦ 모바일 디바이스의 성능향상으로 인해 장시간 플레이 및 MMORPG 와 같은
장르의 모바일 버전 출현
◦ 과거 PC Game 에서 경험했던 대응방식을 모바일 게임에서도 적용 필요
 결제부정은 특히 가장 강력한 위협이 될 것
◦ FDS (Fraud Detection System) 자체 구축
◦ 법이 허락하는 한 최대한의 정보를 활용하여 결제부정 탐지에 활용 필요
◦ 이를 위한 anonymizing 기술, 이상증후 감지 기술을 갖추어야 함
32