Broken Code (window31)

다음주 월요일날 KISA 와 민관합동조사단에서 진행하는 정보보호 컨퍼런스에서 발표를 하게 되었습니다. 제목은 "게임 개발사를 위협하는 현재 게임보안의 고민과 과제" 입니다.

http://www.kisa.or.kr/popup/2010/002/intro.html

그간 게임보안이라는 테마의 추세를 살펴보면, 항상 보안회사 입장에서 바라보는 시각이 컸습니다. 특히 관련된 자료가 부족하니 그나마 시중에 좀 돌던 데이터들, 즉 영업할 때의 PPT 자료가 대다수를 이뤘습니다. 그러다 보니 정확히는 이렇게 되었습니다. 보안회사 입장에서 바라보는 게임회사의 입장들 즉, "너네 게임회사들은 이걸로 고민하고 있을테니 요런 대안이 필요하다 (=요런 보안솔루션을 써라)" . 제 3자의 입장에서 고객이 고민할 만한 것들을 스스로 가늠해 보고, 그에 대한 방안까지 함께 마련해 주는 분위기의 내용들입니다. 게임보안을 얘기할 때, 스피드핵을 얘기하고, 매크로를 얘기하고 메모리 핵을 얘기하는 뉘앙스로 전개가 될 때의 컨텐츠는 대부분 이랬습니다.

물론 게임보안 시장도 엄연히 하나의 상품이고 그것을 필요로 하는 곳이 있으니 이런 것들은 당연한 문구입니다. 그래서 그것을 부정하겠다는 것이 아니고, 다른 입장에서의 시각을 가진 데이터를 많이 늘려보는 것도 좋지 않을까 하는 이야기입니다. 이번 발표는 그런 맥락과 유사하지 않을까 합니다. 게임 개발사 입장에서 실제로 느끼는 고민들과 체감하고 있는 여러 가지 사항들을 정리해 볼 예정입니다.

대략 내용은 아래와 같은 주제가 될 것 같습니다. 아직 ppt 를 작성하진 않았지만 ;; 대략의 내용은 이렇습니다.

1. 실제 게임개발사의 고민들(개발팀이나 운영팀 기획팀 등에서 고민하고 있는 실제 게임개발사의 게임보안 문제)

2. 게임보안 솔루션이 막지 못하는 해킹툴들
    
3. 게임보안 솔루션이 맨날 뚫리는 이유

4. 게임보안 솔루션의 기술적인 문제점이 아닌 실제 일상적인 문제점

5. 보안팀과 게임개발팀의 관계

6. 해킹 사전 대응이 어려운 이유, 개발 단계에서 게임보안 검수는 어느 레벨까지 가능한가.

7. 해킹 사후 대응도 어려운 이유

8. 법무팀과 겪는 트러블, 법적인 문제를 둘러싼 이슈

9. 보안팀 입장에서 다른 여러 팀과의 겪는 갈등들. 커뮤니케이션 문제

10. 게임개발사에서 자체 게임보안솔루션을 개발할 때의 문제점들

11. 게임 개발사에서 보안팀이 앞으로 해야 할 일


테크니컬한 얘기보다는 정책적인 이야기가 더 많지 않을까 합니다. 실제 게임회사에서 겪고 있는 문제점이나 고민거리에 대해 가감없이 털어내 보는 시간을 마련하려고 합니다.

window31.

http://window31.com/232#comment4256804


아 신경쓰지 않던 굉장히 옛날 글에 사무엘군이 댓글을 달았다고 알려주신 분이 계셔서 한번 봤는데 너무 재미있네요. 커널과의 싸움에 있어서 지난 게임보안 솔루션의 히스토리를 쭈욱 알려주는 글이라고 봐도 좋을 것 같습니다. :) SDT Hooking 의 초창기 모델부터 bypass 와의 싸움, 테이블에서 인라인으로, 트램펄린에서 중간번지 후킹으로, 자체 API 구현, IoControlCode 부분까지 (이것까지도 !!! ㅎㅎ) 긴 글이지만 요약으로 아주 심도있게 정리해 두었네요 ㅎㅎ

이당시 사무엘군은 최고 스타(?) 였으므로 (저를 엄청 괴롭혔던 !!) 히스토리에는 역시 보안회사 못지 않군요 ^^ 암튼 잊고 있던 기억이 새록새록 나는데 ㅎㅎ 대략 2004 년부터 2006 년 까지의 히스토리쯤 되는것 같네요. 요즘은 어떻게 되어 있을까요 ㅎㅎ

그러나 사실 해커들과 새기능을 주거니 받거니 하며 살아온 저 나날들, 저 과정에서의 엔진 업그레이드는 결코 순탄한 것만은 아니었습니다. 흔히 연구 테마나 취약점 권고에서 많이 나오는 얘기 중 하나인, "이건 이렇게 막으면 되지 않겠느냐" 라고 듣던 것을 결코 쉽게 실천할 수 없었습니다. 코드를 하나씩 올려 갈때마다 라이브 서비스시에는 어김없이 예상하지 못한 곳에서 지뢰가 터졌고... (아 정말 지뢰제거는 끝이 없더군요. 이런 환경은 대체 뭔지...; ), 메모리 보호에 있어서 이미 한 수준 위인 해외의 안티바이러스와 기싸움을 하며 관련 벤더사와 메일도 엄청 주고받았습니다. 특히, 인터넷이나 보통 책에 올라와 있는 native 관련 소스를 그대로 사용하는 것은 미친짓이라는 것을 잘 알게 되었습니다. 그 기술로는 해킹 방법을 막을 수 있지만, 실전에 적용하기에는 불가능했던 코드가 실제로는 아주 많습니다. 라이브 때는 완전 다르죠. 물론 그건 요즘같은 최근에도 더 많이 느끼고 있습니다 (최근에는 인터넷에 공개된 자료가 더 많으니까요)

게임보안은 이미 많은 기술들이 오픈되어 있으니, 시중에 나와있는 솔루션들... 사실 걔들과 같은 거를 똑같이 만드는 것은 어렵지 않을 거라 생각이 들기도 합니다. 하지만 라이브 경험을 가져보지 않은 사람들이 만드는 코드는 사실 신뢰를 받지 못하는 것이 일반적인 현실입니다 (특히 게임 개발자들에게!) 그래서 기술력보다는 경험력 쪽의 진입 장벽이 높다는 이유로 타사에서 또는 게임회사 자체 내에서 함부로 사업을 펼치지 못하기도 합니다. 물론 개중에는 쉽게 보고 덤벼드는 사람도 있습니다만. 개인적으로 그럴 때를 보면 이런 생각은 좀 듭니다. 본인이 삽질해 왔고 지금도 너무 어려워서 쩔쩔매고 있는데, 누군가 굉장히 이걸 쉽게 보고 날로 먹으려 할 때 웬지 모르게 의욕이 사라지고 힘이 빠지는.

게임보안을 할 때의 입장은 아마존 같은 미개척 지역을 포크레인으로 파헤쳐 가며 길을 만드는 기분인데, 사실 지금도 그 생각과 별로 다르지 않습니다. 해커들이 만든 코드를 뜯어볼 때면, 항상 저는 아직도 멀었다는 생각 밖에 들지 않아서요...
 
맥주 두캔 마시고 댓글을 본후 그냥 생각나는대로 써본 얘기들입니다.
어쨌든 사무엘군 짱 ! ㅎㅎㅎ

window31.

아 제 블로그가 점점 뭔가 구인 사이트가 되어 가는 듯한 느낌이...;;
어쨌든 부탁받은 것이므로 공지 합니다. :p

GameHi 보안팀에서, 게임보안 인력을 모집합니다.
아래 내용은 잡코리아에서 Copy & Paste 했습니다.
리버싱 실력과 프로그래밍 실력, 게임보안 지식이 있으면 지원 가능할 것 같습니다.

업무사항
- 게임 클라이언트 모의 해킹 및 취약점 분석 
- 웹 사이트 모의 해킹 및 취약점 분석
- 게임 보안 모듈 개발
- 게임 보안 프로그램 기술 지원

필수사항
- 게임을 좋아하고 즐겨하시는 분
- 기본적인 보안 지식을 가지고 계신 분

우대사항
- 보안 프로그래밍(WinAPI, MFC, C/C++, 어셈블리어) 가능하신 분
- 코드 리버싱 및 방어 코드 제작 가능하신 분
- 패킷 분석 및 네트워크 구조에 대한 이해도가 높으신 분
- 국내외 해킹 관련 대회 입상자
- 보안 관련 업체나 동종 업계 근무자

지원은 잡코리아로 하시면 된답니다.
http://www.jobkorea.co.kr/List_GI/GIB_Read.asp?GI_No=7160567