2014/11/11

아케이드게임 제작자들, 특히 국내게임 개발자들에게 당부하고 싶은 말

 오늘은 지난날을 돌이켜보며, 아케이드 게임의 보안에 대한 얘기를 해볼까 합니다.

보안이란 건 게임 내부를 들여다보지 못하도록 암호화, 팩킹말고도 네트워크 게임 등에서는 통신수단도 서비스제공자와 소비자가 아닌 제 3자가 내용을 탈취하지 못하게끔 보호할 필요가 있습니다. "뭔 게임갖고 그렇게 호들갑 떨고 그러냐" 이럴수도 있습니다. 현실적으로도 모사의 온라인 게임처럼 '아이템이 곧 현금'으로 이어지는 컨텐츠도 없다시피 할 뿐더러, 그런식으로 제작의도를 가진 제작사들은 별로 없습니다. 물론 성인용 사행성게임은 여기서 제쳐두고 얘기합니다. 그 쪽은 뭐가 어떻게 돌아가건 관심없습니다. 다른 동종업계에 비해 아케이드 바닥은 상대적으로 너무나 좁다보니 국내에서는 두 손으로 두 번 정도 손에 꼽을 정도의 개발사만 있는데, 게임내용에 대한 보안은 다들 각자 나름 신경쓰는데 불구하고, 게임이 네트워크 서비스를 지원하는 경우일 때, 통신에 대한 보안은 대부분 별 신경을 쓰지않고 발매를 합니다.  순전히 제 기억에 의존하고 제가 찾을 수 있는 자료만으로 한정되는 얘기이기에 객관적으로 바라볼만한 내용은 아닐 가능성이 큽니다만, 무슨 게임이 있었는지 몇 가지 예를 들어봅시다.

1. 안다미로사 [Archshade] 2003년

 국내 아케이드 게임으로서는 최초라고 생각되며, 타사 동종 장르의 건슈팅게임에서도 시도하지 않았던 온라인 매칭을 선보였던 획기적인 시도였습니다. 실제 몇 업소에 설치되고  얼마되지 않아 철거되었던 비운의 게임입니다. 게임내용은 둘째치고, 통신은 일반회선으로 직접 인터넷에 연결되어 있었습니다. 구체적인 통신방식은 알아보기도 전에 없어져서 자료를 찾을 수가 없었습니다.


2. 네오위즈사 퍼블리싱/펜타비젼사 개발 [DJMAX TECHNIKA] 시리즈 2008년

 음악게임 등으로 유명했던 펜타비젼사에서 제작된 터치형 음악게임입니다. 국내 아케이드 음악게임으로는 제대로 돌아갔던 것 중에서 아마 처음이었던 듯 생각되며, 통신은 일반회선으로 직접 인터넷에 연결되어, 주기적으로 패치, 이벤트 등을 개최하였습니다. 업데이트 통신은 게임실행 전, FTP 클라이언트가 실행되어 업데이트 서버에서 패치유무를 확인한 후, 게임이 실행되었습니다. FTP의 계정은 사전에 지정해둔 ID와 패스워드로 모든 기계에서 동일한 계정으로 로그인하여 다운로드를 받아왔으며, 접속방식은 기억이 정확하다면 정규 21번 포트가 아닌 비정규포트로 비암호화 전송을 하였으며, 업데이트 체크 완료 후 게임서버 접속도 마찬가지로 평문통신으로 이루어졌습니다.


3. 누리조이사 [Beatcraft Cyclon]

 DJMAX TECHNIKA 기계를 그대로 사용하여 업그레이드 키트로 게임을 교체하여 사용하거나 새 기계를 도입하여 출시하였습니다.  마찬가지로 일반 인터넷회선으로 서비스중이며, VPN망은 사용되지 않았습니다. 내부 통신은 자세히 조사된 바가 없어 알 수 없지만, 지금까지의 행보로 봤을 때 업데이트서버/게임서버와 통신도 평문으로 하고있을 가능성이 높다고 생각됩니다.


국내 게임은 세 가지 이외에도 있을 법한데, 보기에는 이 두 개밖에 보이지 않았습니다. 그럼 타국...이라고 해봤자 아케이드 게임은 일본산이 대부분이니 몇 가지 알아봅시다. 워낙 종류가 방대하다보니 각 회사별 네트워크 구성에 대해서만 간단히 기술합니다.



1. 세가/남코 All.Net 이용 게임 (이니셜D 시리즈, Virtual Fighter, 철권, 태고의 달인 시리즈 등)

 개인적으로 접하기로는 아케이드계에서 처음이었지 않았나 싶습니다. Virtual Fighter 4부터 시작으로 VF.net이란 이름으로 카드시스템 채용 및 네트워크 업데이트, 단위시스템 등으로 사회현상까지 일으키는 등 당시로서는 획기적이었습니다. 후에 남코가 철권5를 시작으로 세가의 네트워크 시스템을 도입하여, 철권넷 서비스를 시작하였습니다. 구성은 전용 VPN 보안단말을 각 업장에 하나 비치하며, 그 안에 서비스중인 게임이 다 연결되어 일반 인터넷회선을 사용하여 자체 보안망에 연결되는 형식입니다. 프로젝트 디바 아케이드의 경우 게임내부 데이터를 변경하거나 포멧해버려도 전원넣고 네트워크 연결되면 게임보드 내부의 TPM모듈 및 네트워크 부팅을 통해 자동적으로 서버로부터 모든 게임데이터를 다운로드하여 정상가동할 수 있습니다. 게임데이터 관리도 강력한 보안이 걸려있으며, 네트워크 보안수준도 상당수준의 보안성을 유지하고 있습니다.
 남코가 철권넷을 세가로부터 들여온 뒤로 태고의 달인에도 적용되었으며, 기본적으로는 All.net과 같은 카드로 사용 가능합니다.

2. 코나미사 E-amusement 네트워크

 위의 두 회사의 상황과 비슷하며 수많은 종류의 게임을 오랫동안 서비스하여 많은 노하우를 담아 노련하게 운영하는 서비스입니다. 전용 VPN단말을 마찬가지로 업장에 비치한 후, 일반 인터넷회선을 사용하여 자체보안망에 연결됩니다.


3. 타이토사 Nesica X Live

 각종 체감게임이 아닌 스틱게임, 과거작들을 모두 한대 모아 네트워크 대응서비스를 최근 시작한 타이토의 네시카 크로스 라이브입니다. 게임컨텐츠가 담긴 서버를 업장에 비치하며, 미리 다운로드 받아둔 게임을 업장의 서버에서 불러들이는 형식으로 소비자는 게임을 선택하여 플레이가 가능합니다. 네트워크 망은 정보수집이 부족하여 알 수 없었지만, 위의 3사처럼 VPN망을 통해 서비스하고 있을 것으로 예상됩니다.

 4개 회사 공통적으로 일반회선을 사용하되 VPN장비를 도입하여 자체 보안망에 연결하여 서비스를 하고 있습니다. 오프라인 해킹에 대한 보호는 각 사별 방식과 그 정도가 상이하지만 기본적으로 거는 수준이며, 오프라인 해킹에 상대적으로 약한 편이 코나미와 타이토사의 게임입니다. 단, 네트워크는 상용VPN장비를 통해 128비트 또는 256비트의 고수준암호화 통신이 오가기에 함부로 통신을 가로채도 내용을 보기가 쉽지 않습니다.

 다시 국내 회사 게임으로 돌아와서 봅시다. 그렇다면 위에 먼저 기술했던 세 국내 게임 중 아크쉐이드는 이미 없어진 게임이니 넘어갑시다. 그외 안다미로사의 다른 게임으로 캐쥬얼게임을 제외하고는 Pump it up 시리즈가 있는데, 최신작이 경쟁사의 풀 네트워크 대응에도 불구하고 아직까지 네트워크 서비스 대응을 안하는 건 여러가지 이유가 있을 것으로 추측됩니다. 도입비용, 관리비용, 내부에 관련인력인프라 부족, 해킹우려, 기타 등등 현재까지는 각 소비자의 USB메모리에 패치데이터를 담아 넣는 식으로 업데이트를 제공하고 있습니다. 스코어 데이터 등은USB데이터에 담긴 내용이 PC에 연결되어 공식 서버에 접속했을 때 전송됩니다. 비록 해킹의 위험이 있지만, 그것을 감수하고 관리비용도 들지않고 적절한 타협이라 볼 수 있습니다.



 펜타비젼의 DJMAX TECHNIKA에 대해서는 정말 할 말이 많습니다. 사실 이 글을 쓰는 이유도 펜타비젼사를 욕하기 위함이며, 누리조이사에 대한 경고성 충고목적이 주목적입니다.

 위에서 언급한 통신방식 채택으로 로그인시 ID/PW가 패킷을 캡쳐하여 보면 업데이트 서버주소와 함께 계정정보가 그냥 보였습니다. 사견아닌 사견으로 어떻게 얻어내는지까지 자세하게 쓰면 현재, 그리고 앞으로도 나올 게임에 모방하는 경우가 100%라 감히 말할 수 있어서, 자세한 사항은 생략합니다. 이 문제에 대해 담당자는 아니지만 당시 관련지인들에게 몇 차례 넌지시 얘기하며 경고를 했는데, 담당자에게 전해지지 않았는지 아니면 내부에 전해지고도 담당자가 없다거나, 관련내용에 대한 회사내 인력/자금사정 등의 역량부족으로 못했다거나, 담당자가 모종의 이유로 알고도 무시했다거나 여러가지 이유가 있음에도 그냥 그대로 가더군요. 업데이트 서버는 시리즈 마지막까지 변하지 않았습니다. 이런 상태를 보며 이대로 두면 '마음만 먹으면 전국 기계를 먹통으로 만들어 버릴 수도 있는데' 라는 생각이 문득 들기도 했었습니다.

 업데이트 서버에만 문제가 있던 건 아니었습니다. 게임이 시작되면 게임서버에 접속되는데, 이 때 통신내용을 옆에서 뽑아다 지켜보면 무슨 카드로 어떤 곡을 플레이하고 경험치는 얼마나 먹는지 점수 등이 그냥 평문으로 매 스테이지 끝날 때마다 날아가며 통신을 했었습니다. 각 정보가 저장된 게임DB서버는 어차피 외부에서 접근이 불가능하게 내부NAT안에 들어있으니 해킹이 매우 힘든 게 사실인데, 상당히 고난이도긴 해도 이런 평문통신을 가로채다가 송신자를 속여 DB서버로 내용을 위조해서 보내면 계정내용을 조작하는 것도 가능합니다. 이 통신은 타사 게임도 모두 동일하게 하는 통신인데, 평문전송이라서 문제가 됩니다. 암호화하여 보내면 적어도 통신내용을 훔쳐다 보거나 조작해서 도로 보내는 게 불가능해지거나 평문통신보다는 몇 배는 힘들어지겠죠. 이 뜻을 알고 비판하는 내부인원도 있었는데도 불구하고 윗선에서 바꿔줄 생각을 안하니 어쩌겠나요.

 VPN, 도입하면 비용많이드는 것 압니다. 관리비용, 회선비용이 정말 만만치 않습니다. 여건 안되면 암호화 통신이라도 해야할 것 아닌지요. 관련 인원이 개런티가 비싸서 안뽑는 건지, 저 회사는 하드데이터 내용물에만 관심을 가져 참 안타깝습니다. 그나마 내부데이터 암호화에 바를 돈도 없었는지 관심이 아예 없었는지는 몰라도, 해킹 그룹에 의하면 Cyclon은 그 까다롭다던 T3에 비해서는 단 하루만에 크랙이 되어 서양쪽에서는 굴리고 있는 것으로 보입니다. 참으로 칭찬받아야 마땅합니다. 학습능력이 A+인 것으로 판단됩니다. 계속 그렇게 굴리길 빌며 이 글이 그냥 한 기술에 대한 잘난 척 하는 찌질이의 글이 되길 손톱만큼만 빌어봅니다.


  또한 앞으로도 제작/관리에 들어갈 제작사에게 말할 경고의 메시지이기도 합니다. 너바나 스튜디오의 CIRCLINK, 스퀘어픽셀즈의 EZ2AC, 안다미로의 PIU, 그리고 차후 계획이 있는 모든 제작사 담당자님들께, 네트워크 대응을 할 지 안할지는 차선의 선택이지만, 만약 서비스 하게된다면 데이터내용만 막을 생각 하지말고, 제발 네트워크 보안도 신경쓰길 간곡히 건의합니다.

저기 펜타비젼 산하 및 그 후속회사는 애초에 기대도 안하고 포기했고요.



세줄 요약
1. 국내 네트워크서비스하는 게임들 네트워크 보안 신경안씀. 펜타비젼 凸
2. 일본은 기본이 VPN대응, 보안강도가 강약이건 초보자가 함부로 건드리기 힘든 수준은 유지
3. 차후 제작하는 회사들은 제발 보안에 더 신경쓰자


 긴 글 읽지않고 스킵해주셔서 감사하며 잘하셨습니다.