게임과 보안 #8 시퀀스 분석으로 계정 도용을 막아라

게임봇, 작업장과 더불어 게임 세계의 악의 축이라 꼽을 수 있는 ‘계정 도용’!

이번엔 시퀀스 분석을 응용해 계정 도용을 예방하는 방법을 살펴보도록 하겠습니다.  ( ͡° ͜ʖ ͡°)


최근 악성코드 피해 범위가 점차 확대되는 추세다.

과거에는 은행과 같이 중요한 자산을 취급하는 대형 회사들이 주요 공격 대상이었다.

그러나 최근에는 무차별적으로 악성코드를 배포하여 보안상 약자인 개인들을 노리는 공격이 늘고 있다.

특히 랜섬웨어의 경우 중요한 문서, 사진들을 암호화 해버린 뒤, 암호를 풀어주는 조건으로 돈을 갈취하는 등 공격의 악랄함이 점차 심각해지고 있다.

등골이 싸늘해지는 붉은 화면 #웁스 #망했다

요즘 많은 뉴스 매체들에서 워너크라이(wannacry) 랜섬웨어와 관련된 소식을 전하고 있다.

해외와 달리 상대적으로 우리나라가 거의 피해를 입지 않은 이유는, 공격이 대규모로 확산되기 전에 보안과 백신 업데이트를 다운 받도록 전국민에게 신속히 전달을 했기 때문이다.

이처럼 막대한 피해를 일으키는 워너크라이 랜섬웨어의 예방법이라는 것도 알고 보면, 보안 업데이트를 받고 백신을 설치하는 것처럼 기본적이고 상식적인 것이다.

마찬가지로 온라인 게임의 심각한 위협 요소인 계정 도용, 결제 도용을 막는 것도, 패스워드를 복잡한 것으로 이용하는 것처럼 기본에 충실한 보안이 중요하다.

#랜섬웨어 #디도스 #트로이목마 #다_덤벼 (•̀o•́)ง

그렇다면 개인 차원이 아닌, 게임 회사 차원에서는 어떤 기법을 사용해서 계정 도용을 탐지할 수 있을까?

우선 예전에 연재했던 액션 시퀀스 분석을 다시 떠올려 보면 좋을 것 같다.

게이머들은 게임에 로그인을 하면 어떤 것부터 할까?

로그인 하자마자 사냥터로 바로 달려가는 게이머도 있고, 친구들에게 메시지를 보내는 것으로 게임을 시작하는 게이머도 있을 것이다.

오늘도 설레는 로그인 시간 (´∀`)//

또 마을에서 물건 시세를 확인하는 게이머, 천천히 그날의 퀘스트를 하러 가는 게이머 등 게임 세계에는 여러 유형이 존재한다.

그날그날 로그인할 때마다 하는 행동에 변화가 있긴 하지만, 대체적으로 사람들은 비슷한 패턴을 보이기 마련이다.

게이머들의 행동 패턴은 너무도 복잡하고 다양한 것! 

여기서 흥미로운 사실이 있다. 보통 게이머들은 잠깐 로그아웃 했다가 다시 로그인 하는 그 짧은 시간에 계정 도용을 당했다고 한다. 즉, “너무나 순식간에 털렸다”는 경우가 많다는 것이다.

실제로 해커들은 계정 아이디와 패스워드를 크랙하고, 로그인 하자마자 계정 안에 있는 아이템을 판매한다.

또 강화에 성공해 가치가 높아진 아이템을 해커의 다른 계정에 ‘바로 선물하기’ 형태로 보내버리기도 한다.

해커는 훔친 아이템을 현금 거래 사이트에서 판매하곤 하는데, 이 과정이 자동화된 프로그램에 의해 이루어지는 경우가 대다수라 너무도 ‘순식간에’  당해 버리게 되는 것이다.

뭐…뭐가 지나간 거지?

그렇다면 시퀀스 분석을 통해 게임봇을 탐지하는 방법처럼, 시퀀스 분석을 응용해 계정 도용을 탐지할 수도 있을까?

물론 가능하다. 캐릭터를 조종하는 주체가 바뀌다 보니, 원래 계정 소유자의 고유한 행동 양식과 해커의 행동 양식은 분명 달라 보이기 때문이다.

이는 액션 시퀀스 상에 큰 변화를 가져오는데, 이 변화를 관찰하면 계정 도용을 탐지할 수 있다.

비슷하게 꾸며도 #전혀다름 

계정 도용을 시도하는 해커들의 목적은 대부분 아이템을 훔치는 것이다.

그러려면 주인이 로그인해서 들키기 전에 최대한 빨리 아이템을 팔거나, 다른 계정으로 옮겨야 한다.

그래서 로그인 하자마자 30~40초 이내의 액션 시퀀스가, 기존 액션 시퀀스와 상당히 다른 양식으로 바뀌게 된다.

딱 걸리셨어요! #빼박 #해커인것 

다음 그림은 계정 도용이 일어날 경우 발생하는 액션 시퀀스를 시각화한 것이다.

해커는 피해자의 계정으로 로그인 하자마자, 아이템 생성(1번) → 거래(2번) → 아이템 판매(3번)를 실행하고, 잠깐 쉬었다가 다시 아이템 생성(4번) → 거래(5번) → 아이템 판매(6번)를 반복하는 액션 시퀀스를 보여주고 있다.

훔치고 팔고, 훔치고 팔고 (;`O´)o

로그인/로그아웃, 게임머니 감소/증가, 아이템 생성/구입/판매/거래와 같은 이벤트를 문자열로 매핑한 다음, 계정 도용을 당한 계정에서 어떤 액션 시퀀스가 주로 발생하는지 살펴보았다.

그 결과, 1초 미만으로 로그인/로그아웃을 반복한 뒤(제대로 로그인이 되는지, 주인이 눈치채는지 확인)  보유한 아이템을 판매하거나, 거래를 하는 패턴이 집중적으로 발생함을 알 수 있었다.

때문에 서버에서 관찰해 보았을 때 어떤 유저가 로그인하고 1분 이내에 아래와 같은 현상이 발견되면 계정 도용을 의심해 볼 수 있다.

계정 도용에 당첨되셨습니다 (∩︵∩)

이번 편에서는 계정 도용 탐지에 액션 시퀀스 분석을 응용하는 방법을 설명해 보았다.

다음 편에서는 모티베이션 이론을 기반으로 게임봇을 탐지하는 방법에 대해 살펴보도록 하겠다.

 

참고문헌

“MMORPG 게임 내 계정도용 탐지 모델에 관한 연구”, 김하나, 곽병일, 김휘강, 정보보호학회논문지 제25권 제3호, pp. 627-637, 2015.6


원형프로필_김휘강교수님김휘강 고려대학교 정보보호대학원 부교수. KAIST 산업경영학과를 마치고 산업공학과에서 석사, 박사학위를 받았으며, 게임봇 탐지 및 작업장 탐지, 계정도용 및 결제부정 탐지와 관련하여 지속적인 연구를 수행 중에 있으며, 고려대학교 해킹대응기술 연구실은 온라인게임보안 분야에서 전세계적으로 가장 많은 연구 성과를 내고 있다.

 

게임과 보안 #1 게임봇의 두 얼굴

게임과 보안 #2 게임봇이 나쁜 이유

게임과 보안 #3 게임봇과 작업장을 바라보는 다양한 시선

게임과 보안 #4 게임봇을 탐지하는 기법

게임과 보안 #5 게임봇과의 채팅엔 뭔가 특별한게 있다 

게임과 보안#6 찾아라! 게임봇의 행동 패턴

게임과 보안#7 계정 도용을 막는 방법