대표적인 인터넷 서비스인 온라인게임에 존재하는 대표적인 fraud 인 게임봇/작업장에 대해 소개하고 이를 탐지하기 위한 알고리즘을 사례와 함께 설명한다. 더불어 간편결제 서비스에 지속적인 공격이 발생하고 있는데, 이를 조기 탐지하기 위한 방법에는 어떠한 것이 있을지 소개하도록 한다.

1. 1 51
고려대학교 정보보호대학원
해킹대응기술연구실
DATA-DRIVEN SECURITY IN
INTERNET SERVICE
김휘강 (cenda@korea.ac.kr)

2. 2 51
About me
▶ 김휘강
– KAIST 재학시절 KUS, SPARCS, Security KAIST 동아리 활동 (1994~)
– A3 Security Consulting 창업/CEO (1999.8~2002.4), CTO (~2004.4)
– NCSOFT 정보보안실장 (2004.5~2010.2)
– 고려대학교 정보보호대학원 부교수 (2010.3~현재)
• 정보보호대학원에서 “온라인게임보안” 과목 운영 중
• 엔씨소프트 블로그에 “게임과 보안＂연재
– AI.Spera 창업 (2017.10~)
– 주요 논문 실적
• International Conferences: NDSS (2016), IEEE VizSec (2017), WWW (2014, 2017, 2018)
• International Journals: IEEE Trans. On Information Forensics and Security (2017), Computer & Security
(2016), Digital Investigation (2015)
• Online game - ACM NetGames (2013, 2014, 2015, 2017)
– https://blog.hksecurity.net

3. 3 51
최근 연구 관심사
▶ Game BOT and Gold Farmer Group analysis
– Chun, S., Choi, D., Han, J., Kim, H. K., & Kwon, T. (2018, April). Unveiling a Socio-Economic System in a Virtual
World: A Case Study of an MMORPG. In Proceedings of the 2018 World Wide Web Conference on World Wide
Web (pp. 1929-1938). International World Wide Web Conferences Steering Committee.
– Lee, E., Woo, J., Kim, H., & Kim, H. K. (2018, April). No Silk Road for Online Gamers!: Using Social Network
Analysis to Unveil Black Markets in Online Games. In Proceedings of the 2018 World Wide Web Conference on
World Wide Web (pp. 1825-1834). International World Wide Web Conferences Steering Committee.
– Kwon, H., Mohaisen, A., Woo, J., Kim, Y., Lee, E., & Kim, H. K. (2017). Crime scene reconstruction: Online gold
farming network analysis. IEEE Transactions on Information Forensics and Security, 12(3), 544-556.
▶ User Behavior Analysis
– Kang, A. R., Blackburn, J., Kwak, H., & Kim, H. K. (2017, April). I Would Not Plant Apple Trees If the World Will Be
Wiped: Analyzing Hundreds of Millions of Behavioral Records of Players During an MMORPG Beta Test.
In Proceedings of the 26th International Conference on World Wide Web Companion (pp. 435-444). International
World Wide Web Conferences Steering Committee.
▶ Churn Prediction
– 오세준, 이은조, 우지영, 김휘강. (2018). MMORPG 사용자 유형 분류를 통한 이탈 예측 모델 생성 및 평가.
정보과학회 컴퓨팅의 실제 논문지, 24(5), 220-226.
▶ Fraud Detection System – 간편결제, 온라인게임, 포털, PG

4. 4 51
Media – new scientists (WWW 2017, ACM NetGames 2017)

5. 5 51
1. 들어가며

6. 6 51
게임봇 (Game Bot), 오토, 게임핵
▶ 사람을 대신하여 자동으로 게임플레이를 해주는 프로그램
– 게임봇 유저들의 빠른 성장과 재화 취득으로 인해 컨텐츠 소모 속도가 빨라지고,
공정한 경쟁이 이루어지지 않음
MMORPG 리니지1 자동 사냥
프로그램
FPS 서든어택 오토샷 핵
프로그램
사냥터의 위치 및 사냥 방법
선택 가능
자동 조준 및 벽을 통과하여
공격할 수 있음 장르 불문 게임핵,
게임봇은 게임유저들
불만 및 이탈 요인 중
하나

7. 7 51
게임봇 (Game Bot), 오토, 게임핵
▶ MMORPG 에서의 BOT

8. 8 51
근미래의 작업장

9. 9 51
게임봇, 게임핵 거래 방식 및 비용
▶ Youtube 등 다양한 판매 채널 등장
▶ 개인 거래 방식
– 유투브 등의 동영상 사이트에 불법 프로그램 사용법
및 실행 화면을 홍보 후, 네이트온, 카카오톡 ID등의
개인 연락처를 통하여 프로그램을 판매함
▶ 거래 사이트를 이용한 거래 방식
– 불법 프로그램 거래 사이트를 제작하여 해당
사이트의 자료실 또는 다운로드 링크를 통해 불법
프로그램을 판매함
블루몬 사이트 결제화면 창
Youtube 내 서든 어택 홍보 화면

10. 10 51
게임봇의 폐혜
▶ 패왕, 패신, 패제, 군왕, 린킹, …
▶ 백도어, 악성코드가 포함되어 있는 사례도 존재

11. 11 51
게임봇 (Game Bot), 오토, 게임핵 – 모바일
▶ 세*나이츠 사례 : https://www.youtube.com/watch?v=aywBwvxqB78

12. 12 51
게임봇 (Game Bot), 오토, 게임핵 – 모바일

13. 13 51
게임봇 (Game Bot), 오토, 게임핵 – 모바일

14. 14 51
PC 기반 작업장 è 모바일 작업장
▶ 리니지M 전용 모바일 게임 작업장 출현 (PC 기반 작업장 à 모바일 작업장으로
전환)
▶ 녹스 등 에뮬레이터를 이용하는 방식

15. 15 51
결제부정 - 모바일의 경우 더 심각
▶ 과거 5년간을 풍미했던 공격 방식
– 대사에는 2개월 가량 소요
– 개별 구매/취소 내역은 제공 불가
– 2개월 후면 이미 게임 서비스 종료 가능성도 있음.
– 중국 IP address 이면 추적 포기
모바일
게임
플랫폼
Google Play
App Store
해커
계정A 계정B 아이템현금거래
사이트
대표적인 추적
좌절 및 암유발
공격

16. 16 51
2. 게임봇/작업장 탐지 방안

17. 17 51
2.1. Action Sequence Analysis
Lee, Jina, et al. "In-game action sequence analysis for game bot detection on the
big data analysis platform." Proceedings of the 18th Asia Pacific Symposium on
Intelligent and Evolutionary Systems-Volume 2. Springer International Publishing,
2015.

18. 18 78
추천 방법론 – action sequence analysis
▶ BOT’s working pattern is self-repetitive (self-similar)
– Login -> move to hunting zone A -> hunting some
Monsters -> use healing potions -> hunting some
monsters -> use healing potions -> move to hunting
zone B ….
▶ String sequence 로 encoding
– Login : l
– Moving : m
– Hunting : h
– Summoning : s
– Healing magic: h
– Use consumable healing potion : u
▶ Encoding 결과
– lmhhhhhuhhhhhhhuum
1
8
Lee, Jina, et al. "In-game action sequence analysis for game bot detection on the big
data analysis platform." Proceedings of the 18th Asia Pacific Symposium on Intelligent
and Evolutionary Systems-Volume 2. Springer International Publishing, 2015.

19. 19 78
찾았다 너의 패턴, 강약약 중간약약
▶ 중국집에서 발견한 짜장면+탕수육 식사 action sequence
▶약 40% 의 인원들이 “젓가락들고-단무지-탕수육한입-탕수육한입-짜장비비고-
짜장한입” 과 같은 공통된 패턴을 보임
▶약 20% 의 인원들이 “젓가락들고-짜장비비고-짜장한입-짜장한입- 탕수육한입-
짜장한입- 짜장한입- 탕수육한입” 의 패턴을 보임
▶0.5% 미만의 괴이한 식사 패턴을 보이는 사람들이 “젓가락들고-단무지한입-
단무지한입 - 단무지한입 - 단무지한입 – 단무지한입 –양파한입 – 짜장한입 -
식사끝” 의 패턴을 보임
▶ 이를 게임봇 탐지에 응용을 한다면?

20. 20 78
Action Sequence 분석
▶ 데이터 전처리 (계속)
– 로그 아이디 매핑
• 시퀀스 분석시 ClustalX2 도구를 사용함
• 시퀀스 분석을 위해 게임 내 액션들을 26개의
알파벳으로 매핑
알파벳 이벤트 알파벳 이벤트 알파벳 로그
A
로그인 I 상점판매
V
길드가입
로그아웃
J
외치기 길드생성
C
닉네임변경 귓속말 길드스킬추가
레벨상승 그룹 채팅 길드위임
슬롯확장 K 길드 생성 길드출석
캐릭터 생성 L 길드 가입
W
길드탈퇴
코스튬 구매 M 길드 탈퇴 길드해체
D 획득 N 스킬 포인트 구매 S 길드추방
E 보상 O 미션완료
X
상품 구매
F 우편수령 P 스테이지 선물하기
G
아이템승급 Q 퀘스트 Y 공성전
아이템강화
R 레이드
Z
계정전환
T 1:1 대전-승리
회원탈퇴
U 1:1 대전 – 패배
H 상점구매 V 길드레벨상승 기타
[로그 알파벳 매핑 표]

21. 21 78
Action Sequence 분석 - The good, the bad, the weird
▶ The good, the bad, the weird
의도한 게임 디자인대로의 action
sequence

22. 22 78
Action Sequence 분석 - The good, the bad, the weird
▶ 단순 action sequence 외에도 sequence 사이의 interval 을 함께 분석 시 효과가
배가
[Heavy User-Purchase 유저들의 시퀀스]
조사해볼 가치가 있는 유저

23. 23 70
2.2. Black Money Trail Analysis
Kwon, Hyukmin, et al. "Crime scene reconstruction: Online gold farming network
analysis." IEEE Transactions on Information Forensics and Security 12.3 (2017): 544-
556.
Woo, Kyungmoon, et al. "What can free money tell us on the virtual black
market?." ACM SIGCOMM Computer Communication Review 41.4 (2011): 392-393.

24. 24 70
이상한 거래 정의 필요
▶일방적으로 받기만 하는 관계
– 아무리 친한 친구라 하더라도 내가 10번 밥을 사면 1번은 상대방도 밥을 사줘야 하지
않나?
▶기꺼이 모든 것을 주는 관계
– 아무리 친한 친구라 하더라도 매번 가진 자산의 90%를 일방적으로 주는 것은 이상하지
않나?
▶정기적으로 주는 관계
– 아니 택시회사 사납금도 아니고 어떻게 정해진 시간대에 납입하듯 주지?

25. 25 70
Server side BOT detection – trading network analysis
▶Free money trading 을 파악하는 것이 중요
25 전체 거래 네트워크 대가 없는 게임 머니 및 아이템 이동 네트워크

26. 26 70
작업장 계정 세분화
▶Gold-Farmer (BOT), Banker, Broker (Proxy or Merchant)

27. 27 70
Server side BOT detection – trading network analysis
▶그래프 정제(Refine)
27
대가 없이 이동한 게임머니 네트워크 대가 없이 이동한 게임머니 네트워크에서
3-tier 이하 네트워크 제거

28. 28 70
Meaningful Economic Characteristic
▶캐릭터 역할 별 평균 레벨, 거래량, 획득 게임머니
▶작업장별 게임머니 및 거래량
단일 작업장 중 규모가 큰 작업장은 1개의 월드에서
월 1억2천만원 가량을 세금없이 벌음

29. 29 70
정말일까요?
▶실제상황입니다.

30. 30 70
현금거래 추적 (RMT: Real Money Trade)
▶Big picture & Community Detection
RMT!
Provider community Consumer community

31. 31 70
Community Detection
▶그래프 생성
– Nodes: game users
– Edges: virtual currency trades between nodes
– Weight: trade count

32. 32 70
Community Detection
▶ Communities (L game)

33. 33 70
Community grouping by network structure
▶Community 별 특징 추출
– Mean / std. of degree
– Mean / std. of betweenness
– Degree assortativity
– Clustering coefficient
– Radius
– Community size

34. 34 70
5 community types detected
▶The communities are categorized into 5 groups

35. 35 70
RMT 규모 측정
▶총 RMT 규모 ≈ 년 60M USD (67,020,000,000원) /1개의 특정 게임
Consumer
community

36. 36 70
작업장 네트워크 간 Monopoly
▶서버 내 대형 작업장 파악
2-year-old server 18-year-old server

37. 37 70
작업장 네트워크의 Monopoly 화 추적
▶Experiments
▶In the beginning, many scattered local consumer and provider communities
emerge
▶Monopoly of RMT market

38. 38 70
작업장 네트워크의 Monopoly 화 추적
▶치열한 경쟁, 최종적으로는 대규모 작업장 만이 생존
▶작업장 간 거래/납품 관계 역시 발견 가능

39. 39 70
타 게임에서의 검증
▶공통된 현상 발견
A 게임 B 게임

40. 40 70
3. 부정결제 탐지

41. 41 70
장기전 vs. 즉시 효과를 볼 수 있는 전투
▶모바일게임, PC게임, 간편송금 등 서비스 별 고유한 부정 패턴 존재
– 예: 게임 단 내의 부정 패턴
– 단, 회원가입단 (계정도용, 부정 가입) + 결제단 에서의 부정탐지는 즉시성 필요
• IP 주소, Device fingerprinting 과 같은 즉시성 정보 역시 중요
아이템A
“최대” 가격으로
거래소 등록
아이템A 구매
70,000 *** 지급
아이템A
“최소” 가격으로 거래
소 등록
아이템A 구매
20,000다이아 지급
중복x
총 50,000 *** 획득
70,000 – 20,000 = 50,000
소량의 아이템A을
구매
구매자 판매자
[롤링 방법 예시]

42. 42 70
General FDS framework
▶ FDS 구축 후 data maintenance 가 가장 중요
Time Window 기반 분석
Classification 기반 분석
Classified dataset
Graph
Correlation
Count
Models
• Logistic Regression
• Gaussian Naïve Bayes
• Random ForestTrain set
Feature별 빈도수
Create model
Feature 간의 상관
계수
Dataset
Exploration

43. 43 70
게임/결제 서비스 별 패턴 구축
▶ 서비스 고유의 feature 에 대해 이해도가 높을 수록 탐지력 증대
캐릭터 A(거래자) 캐릭터 B(거래 상대방)
B로부터 구매한
건수/금액
B에게 판매한
건수/금액
A에게 발생한
재화 이득당일 최초/최종 거래 시간 (약
최종-최초 거래
시간 간격(분)
약 30분 동안 10개의 캐릭터가
한 캐릭터(01fa3b9c...)와 거래를 반복
각 캐릭터와 8번씩 구매&판매를 반복하여,
(01fa3b9c...) 캐릭터에게
약 4만개의 아이템이 전달됨
대부분의 캐릭터와 총 거래 시간이
2.83분으로 일정하게 소요됨 (매크
로 가능성 존재)[작업장 소속으로 추정되는 캐릭터들로부터 보내진 "혈상"] [매크로 개입이 의심되는 "혈상" 수신 기록]

44. 44 70
Ground truth 확보 및 데이터 확장
Ø 탐지된 부정이용자들이 접속했던 IP address 및 기기식별정보를 이용하여 ground-truth 데이터셋 확장
Ø 휴대폰 IP 대역, 가정용 인터넷/케이블 회선은 변별력이 부족
Ø 사업자/통신사 별 가중치 부여
No. 기관명(GeoIP) IP 주소 수 작업장 캐릭터 수 기관 설명
1 Korea Telecom 233 6,677 통신사
2 LGTELECOM 63 205 통신사
3 SK Broadband Co Ltd 48 2,482 인터넷 사업자
4 INet Technologies 36 178 ISP 업체 (VPN, IDC 서비스 등)
5 SK Telecom 25 201 통신사
6 LG POWERCOMM 22 2,781 통신사 (LG텔레콤에 합병됨)
7 KOREA DATA 10 312 악성 개인사업장 추정 (한국데이타)
8 CJ Hello Co., Ltd. 5 229 인터넷 사업자
9 LG DACOM Corporation 3 122 통신사 (LG텔레콤에 합병됨)
10 GREEN CABLE TELEVISION STATION 2 59 인터넷 사업자 (한국케이블TV푸른방송)
11 T Broad 1 37 인터넷 사업자
12 KCTV JEJU BROADCAST 1 1 인터넷 사업자
13 Namincheon Brodcasting Co., Ltd. 1 194 인터넷 사업자
14 flexnetworks 1 2 호스팅 업체 (KISA Whois 조회 결과: '브이토피아'라는 VPN, IP 제공 업체)
15 purplestones 1 19 ISP/IDC 업체 (VPN 서비스 제공)
16 Admin Contact 1 107 인터넷 사업자 (KISA Whois 조회 결과: 티브로드)
17 TBROAD HANVIT BROADCASTING CO.,LTD 1 70 인터넷 사업자
18 TBROAD ABC BROADCASTING CO.,LTD. 1 1 인터넷 사업자
[IP 주소 조회 결과]

45. 45 51
Ground truth 확보 및 데이터 확장 – 예: criminal IP
▶ Criminal IP 분석 개요
– 과거 부정 행위 전적이 있는 IP 주소는 현재에도 부정 IP 주소일 가능성이 높음
• 타 게임/결제에서 탐지된 IP 대역 레이블링 및 평판 가중치 부여
IP 주소
작업장
캐릭터 수
작업장
계정 수
182.173.100.* 30 20
182.173.100.* 29 20
182.173.100.* 28 19
182.173.100.* 30 20
182.173.100.* 34 25
182.173.100.* 39 25
182.173.100.* 27 20
182.173.100.* 30 20
182.173.100.* 41 25
182.173.100.* 23 19
[경기도 수원시 팔달구 경수대로 438 325호]
[whois 정보]

46. 46 51
Ground truth 확보 및 데이터 확장
■ 데이터 수집 및 source 확장
• 크롤링 agent 개발
- 해킹시도, 악성코드 유포, 스팸, 작업장, 게임봇 운영 IP 주소 정보 수집
- 뉴스 사이트에 악성코드를 뿌리는 IP 주소를 검색하여 등록
• 여러 곳에서의 수집된 정보를 분석/비교하여 IP 주소가 얼마나
오염되었는지 오염율을 평판정보로 기록
- Criminal IP 등급: Safe / Low / Moderate / Dangerous / Critical
- 악성 IP 주소에 어떤 일이 발생하였는지 범죄기록부식의 히스토리 정보 제공
□ 분석에 활용 – 연동 편의성 고려
- Web UI & REST API
[분석화면]
[악성 IP 주소 수집 구조도]

47. 47 51
작업장 & 결제부정 & VPN & victim 간의 관련성
▶ 결제 부정을 일으킨 IP 주소 중에서 해킹된 인터넷공유기/IP CCTV 를 이용하는
경우도 다수
– 해커가 VPN/PPTP 를 인터넷 공유기에 쉽게 세팅 가능
[211.225.121.83에 대한 Criminal IP 결과 캡쳐 화면][해킹당한 Webcam 캡쳐]

48. 48 51
Scoring system 예시

49. 49 51
수집 대상 확대
• Open VPN list 나 상업적으로 서비
스 중인 VPN list 만으로는 부족
• 결국은 전세계 IP 주소를 모두
scanning 해서 VPN 관련 port list
를 확인 필요
• 각 VPN 판매 사이트를 크롤링하여
IP 대역과 판매사이트의 국가정보
를 결합

50. 50 51
수집 대상 확대 – 단서가 될만한 것은 뭐든지 수집 후 자연어처리
• 잠재적인 victim 정보 수집
• 공격자를 가늠할 수 있는 데이터를
전처리
• ‘계정도용’, ‘해킹’, ‘VPN’, ‘사기’, 은
행명, 게임명, **페이 명 등 다양한
모니터링

51. 51 51
가입단, 결제단 FDS 에 활용
{
"status": 200,
"result": "success",
"detail": [
{
"phone_num": "0101*******",
"idx": 11,
"account_bank": 농협,
“collected_site＂: ＂joonggo＂,
"suspicious_name": "김형*",
"account_num": “***************",
"register_time": "2018-04-03 05:30:19",
"detail": "details",
"crawl_time": "2018-04-03 05:30:19",
"type": "사기",
"image": null
}
]
}
REST API 구성 예

52. 52 51
Thank You