본문 바로가기

Security Indicator/Insight

해외진출 시의 보안 가이드

KISA에서 제작하는 온라인 게임 해킹 대응 가이드에 실린 글입니다.

 

 

해외진출 시의 보안상 주의 사례 :

 

2000년도 이후부터 우리의 온라인 게임들은 해외에 다수 진출 하였다. 현지 퍼블리싱 업체와 손을 잡고 합작 진출을 한 경우와 직접 진출을 한 경우를 볼 수 있다. 대표적인 해외 진출 국가는 중국/일본/미국을 들 수 있으며 국가는 계속 확대 되는 추세이다. 저작권 법이나 불법 운용에 대한 부정적인 인식이 떨어지는 중국의 경우에는 해외 진출 업체가 지난 몇 년간 곤혹스런 경험을 한 적이 다수 있는 상황이다.

 

예를 들어 현지 업체와 계약을 맺고 상용화 단계에 까지 성공을 하였는데도 입금이 되지 않거나 현지 업체가 고객의 결재 내역을 공개하지 않아 정확한 수치를 확인 하기도 힘든 상황을 맞이 하기도 한 상황이 있고 대금 지급과 관련된 분쟁으로 오랜 기간 동안 힘든 싸움을 했던 경우도 있다.

 

섣부른 로컬라이징 서버의 제공으로 인해 권리 주장도 하지 못한 채 Free 서버 및 독자적인 현지 업체의 상용화로 곤란을 겪은 사례도 있어서 주의가 요구된다.

 

일반적으로 해외 진출 시의 검토 단계는 다음과 같이 이루어 진다.

 

사전 조사 -> 진행 -> 계약 -> 계약 이후의 이행 단계

 

사전조사 단계에서는 시장성에 대한 조사 및 현지 업체에 대한 정보 수집 등이 이루어 지며 면밀한 조사가 필요한 부분이다. 각 게임 개발사들에서 실적을 우선적으로 진행 하다 보면 사전 조사 단계에서의 정보 수집 부족으로 난항을 겪을 수 있다.

 

진행:

현지인 Agent 및 퍼블리셔 들과의 미팅을 통해 신뢰할 만한 파트너 관계를 찾는 과정이다. 서비스에 대한 명확한 이해를 하고 있으며 신뢰할 만한 파트너 인지 여부를 확인 하는 과정이 필요하며 상호간의 서비스 진행에 대한 협조 관계가 성립 할 수 있는지 여부를 검토하고 신중하게 진행을 해야 한다.

직접 진출의 경우에는 현지 국가에 대한 법령 및 체제에 대한 이해 및 법인 설립시의 Risk 요인을 검토하고 종합적으로 판단을 내릴 수 있어야 한다.

 

계약:

간접 진출의 경우 계약 단계에서 고려해야 할 사안들이 많다. WTO 가입 이후에도 저작권에 대한 인식이 약한 중국의 경우에는 국내 게임 업체들의 피해 사례도 다수 있는 상태라 여러 부분에서 주의를 기울여야 하는 부분이다. 계약의 당사자가 신뢰할 만한 당사자인지 또는 과거에 피해를 당한 업체가 있는지를 체크하는 것이 필요하며 피해의 원인 분석 및 원인에 따른 대응 단계를 계약 단계에서 명확하게 문서화 하는 것이 필요하다.

 

계약 이후의 이행단계:

명확하게 대금 지급 과정 및 경로에 대해서 계약단계에서 명확하게 기술 하는 것이 필요하며 해당 내용에 따라 이행하는 단계로서 문제에 대한 해결 [ Hacking 이나 Abusing에 대한 대응] 조건 및 소스코드에 대한 관리 및 서버 운용에 대한 책임등을 명확하게 한 후 이행하는 과정을 검토하는 것이 필요하다.

 

일반적으로 사전조사 , 진행 , 계약 , 이행의 단계로 볼 수 있는데 여러 가지 위험요소가 있을 수 있으나 여기에서는 보안 관련된 측면만 살펴 보기로 하자. 해외 진출 시의 주의 사항은 보안적인 측면에서 살펴보면 다음과 같은 면을 살필 수 있다.

 

위험:

1.       소스코드의 유출

2.       Free 서버 운용 [ 서버 시스템의 관리 및 통제 ]

3.       물리적인 서버의 보안

4.       service에 대한 해킹을 통한 정보 유출 및 권한 획득

5.       게임 서비스에 대한 장애 [ 운용상의 미숙 혹은 외부로부터의 DoS 공격]

6.       게임내의 아이템 등에 대한 내부 유출 문제

 

위험 요소는 크게 6가지 정도로 볼 수 있다. 각 항목에 대해 계약 단계 혹은 이행 단계에서 지켜지고 준수할 수 있도록 명확한 명문화된 규정이 필요하며 언급이 있어야 향후 문제 발생시에도 원활한 대응이 가능할 것이다.

 

1.소스코드의 유출

해외 서비스 제공 시에는 소스코드의 유출은 가급적 하지 않아야 하며 컴파일된 형태의 서버 버전 및 클라이언트 버전 제공이 필요하다. 협력사의 현지화 요구로 인해 제출해야 할 경우에는 핵심적인 부분을 제외한 나머지 부분에 대해서 협력을 하여야 하며 핵심 부분의 경우에는 본사에서 직접 처리 하거나 인력을 통해 처리 하여야만 한다. 소스코드의 관리는 접근제어 및 권한에 따른 분명한 접근이 가능하여야 한다. 암호화된 매개체에 저장이 되어야 하며 외부 유출 시에도 암호화 되어 보호가 가능하여야 한다.

 

2.Free 서버 운용

게임서버의 이미지 유출 및 도난 으로 인하여 Free 서버가 운용될 경우에는 현지 업체와의 계약 단계에서 해당 문제에 대한 언급이 있어야 한다. 동시접속자의 감소로 인한 피해를 현지 업체의 문제가 아닌 경우로 판단하고 책임을 미루는 경우가 있으므로 Free 서버 운용에 대해서는 현지 업체에서의 모니터링 및 대응에 대한 책임이 있음을 분명히 하고 책임감을 지닐 수 있도록 하여야 한다. 지속적인 단속의 경우도 해외 진출국에서만 가능한 부분이므로 진출사의 입장에서는 어려운 부분들이 있을 수 밖에 없다.

 

3.물리적인 서버의 보안

대부분 IDC에 서버가 위치하게 되는데 물리적인 접근 제어 및 권한 통제가 분명하지 않은 IDC가 국가에 따라 있으며 IDC라는 용어 자체가 규격화 되지 않은 곳들이 있다. 또한 지방에서 운영되는 영세 IDC의 경우에는 물리적인 보안 요소를 갖추지 못하고 있으므로 서버의 운영 시에는 물리적인 보안 수준을 준수하는 IDC를 직접 확인 한 이후 본사 차원에서 모니터링 하는 것이 필요하다. 웹캠 혹은 추가 비용을 들여서라도 접근을 통제 하는 것이 필요하며 개발사 자체에서 운영을 하는 것이 필요하다. 영세 업체의 경우에는 현지 퍼블리싱 업체와의 계약 단계에서 명문화 하는 것이 필요하며 IDC에 대한 접근 통제 수준을 확인 하는 것이 반드시 필요하다.  서버 자체에도 고유 Mac Address 등을 인식하여 중앙 본사 차원에 접근을 하여야 실행이 되도록 하는 고유 기술을 두어 중앙 통제가 가능하여야만 한다. 최소한 서버의 외부 유출 시에도 정상적인 서비스가 실행 될 수 없도록 하는 보안 장치는 염두에 두어야만 한다.

 

4.service에 대한 해킹을 통한 정보 유출 및 권한 획득

웹 서비스에 대한 수정이나 이벤트 진행 시에 보안상 취약한 부분이 있을 경우 서비스에 대한 해킹이 발생 할 수 있다. 권한 획득도 가능한 취약성들이 다수 있으므로 Database 및 사용자 정보가 보관된 곳은 외부 노출 시에도 문제가 발생하지 않도록 암호화 하여 보관하는 것이 필수적이며 평문 보관의 경우 치명적인 피해를 입을 수 있다. 피해 발생 시에는 피해에 대한 원인 파악에 따라 보상하는 것이 일반적이므로 해당 규정을 명문화 하는 것도 필요한 사안이다.

 

5.게임 서비스에 대한 장애 [ 운용상의 미숙 혹은 외부로부터의 DoS 공격]

운용상의 미숙 및 외부로 부터의 공격에 대해 현지 업체가 원활한 대응을 하지 못하여 서비스 장애가 발생 하였을 경우 개발사의 품질을 의심하는 사례가 다수 있으므로 문제 발생 시에는 판단하게된 기록의 제공 및 대응 내역을 문서화 하여 공조 하는 것을 검토 하여야 한다. 명확하게 하여야만 피해의 원인 파악 및 보상등에 대해서 논의 하는 것이 가능해 진다.

 

6. 게임내의 아이템 등에 대한 내부 유출 문제

현지 업체의 내부자에 의해 접근이 가능한 Admin Tool의 경우 아이템의 외부 노출등 상당한 위험요소가 존재하므로 신뢰성 있는 직원, 정보보호 교육에 대한 의무화 등에 대해서도 검토를 하는 것이 필요하다. Database에 접근하는 모든 로그들은 삭제할 수 없는 형태로 별도 보관하여 차후에 증빙 할 수 있는 자료로 삼아 보상 및 피해 규모를 산정 할 수 있도록 하는 것이 좋으며 초기 서비스 설비의 설계단계에서부터 최종 정보가 위치하는 Database에 대한 접근 기록에 대해서는 별도 관리가 필요하므로 고려 하여야만 한다.  접근 가능자에 대한 축소 및 주기적인 Auditing도 필요한 부분이며 문제 발생시에는 현지 퍼블리싱 업체가 전적인 책임을 질 수 있도록 명문화 하는 과정도 고려 하여야 한다.

 

 

이상과 같이 해외 진출 시 고려 부분들에 대해서 보안이라는 측면에서 간략하게 알아 보았다. 표준적인 내용은 아니며 다수 발생한 사례들을 기준으로 하여 해당 문제들이 발생하지 않기 위해서는 어떤 점을 고민해야 하고 대안으로 무엇이 있을 수 있는지를 간략하게 알아 보았다. 문제가 발생하는 상황은 많으며 계약의 조건도 다를 수 있다. 그러나 기본적으로 발생하는 6가지 형태의 문제들에 대해서 대책을 가지고 해외 진출을 하게 된다면 보안상 발생하는 문제들에 대해서는 일정 수준 이상의 해결 능력을 지니게 될 것이다.

 

written by p4ssion