2. 25
고려대학교 정보보호대학원 해킹대응기술연구실
◦ http://ocslab.hksecurity.net/
온라인게임보안 분야 중 아래 세부주제를 주로 연구
◦ Online Game Security
Game Bot Detection and Prevention
Gold-farmer group Detection
In-game Fraud Detection (e.g. Real Money Trade issue by gold-
farmers)
Pirate Server Detection and Prevention
2
3.
4. 25
Cheating
◦ 게임 내에 승부상의 이익을 얻을 목적으로 게임 프로그램 또는 메모리,
데이터를 조작하는 행위
Game BOT
◦ highly well-crafted AI program
◦ Game client 와 server 간의 통신구조, 소프트웨어 동작 방식을 완전히
분석하여 사람의 조작없이 자동으로 게임 플레이를 할 수 있도록 만든
software 또는 hardware
작업장
◦ 수작업으로 게임을 하거나 Game BOT 을 이용하여 게임아이템을 획득
하고 이를 이용하여 수익을 올리는 기업화된 집단
4
5. 25
Cybercrime in online games
◦ 계정도용, 봇 제작 및 유통, 작업장, DDoS 공격, 내부 해킹, APT 공격…
모든 것은 “돈"과 관련된 문제임
Game BOT
Gold-
farming
workshop
Account
theft
Real
money
trade
Malware
for account
theft
System/net
work/DB
hacking
DDoS
attack
Pirate
(private)
server
9
6. 25
Game BOTs and gold-farmers form a criminal-network.
6
Gold-farmers
• Located in foreign countries
• Working in gold-farming
workshop
• using game BOT program, some
time they try to penetrate game
system directly
Banker
• Bridging gold-farm
ers and buyers
• Trading cyber asset
s and real money
Buyer
• Paying money
for raising their
characters’ level
easily
6
7. 25
IP blocking, IP blacklist 관리
◦ 특정 국가 IP address 대역 차단, 정기적인 IP address 대역 업데이트
◦ Switch 에 ACL (Access control list) 관리 부담
◦ Black list IP address 지속적 관리 필요 – IP 의 지속적인 변경
◦ OS detection = user environment 확인
•인증서버에서 IP 당 로그인할 수 있는 횟수, 계정개수를 제한함
•대부분 계정도용은, 악성코드로 id, password 를 취득한 후 동일 IP
에서 단기간에 사전대입식 (brute-force) 공격을 통해 이루어짐
•이때 이 IP 는 이미 VPN 을 통해 우회접속한 국내 IP이거나, 특히
의심을 피하기 위해 가맹PC방 IP를 이용하는 것이 일반적임
CAPTCHA
• 근본적인 해결이라기 보다는 공격 유입 속도를 늦추는 것에 초점
• CAPTCHA 는 OCR 등으로 우회가능
• CAPTCHA 는 사람도 오류를 내기 쉬움
17
8. 25
외부 fraud detection 서비스 활용
◦ iOvation
◦ Kount
◦ NuData
◦ FairFight
Device Fingerprinting, Blacklisting
비용문제, 정확도 문제
◦ Domain-specific
18
11. 25
It’s all about money!
돈으로 살 수 없는 것들 (마이클 센델)
◦ 시간
◦ 전통적인 MMORPG 는 고객의 시간투자를 기반으로 설계된 수익모델
◦ Game BOT 은 시간이라는 공평한 자원을 cheating 해주는 tool
11
12.
13. 25
Kill-them-all
Or do-nothing
(cold-turkey)
• 1세대 제재 방식 (~2008)
• 계정도용 등 부작용 발생 및 제재 rule 의 노출 시 취약
• client-side bot detection, signature based bot detection (Antivirus 와 유사)
Data mining 기
반 선별제재
• 2세대 제재 방식 (2009~2011)
• 원할때 원하는 만큼 제재, 제재 rule 노출의 최소화
• Server side bot detection, big data mining
• Primary target: gold-farmer accounts who use bot program
Surgical Strike
방식
• 3세대 제재 방식 (2012~)
• 외과적 수술
• Surgical strike (minimize collateral damage)
• Primary target: banker accounts, industrialized gold-farmers
13
14. 25
외과적 수술 시 고려사항
다음 세대의 제재 방식은?
14
• 자사 게임에 대한 이해
• 월정액 방식 vs. Free-to-Play 방식
• 지속형 아이템 vs. 소모성 아이템
• 고객들의 문화 (제재 시 저항감 유무)
• 약관, 환불정책
15.
16. 25
MMORPG 시장
의 변화
• Now Mobile game’s era
• MMORPG companies’ profit margin became low.
• Now, business team never want to block any users (including bots)
Modeling based
approach
• 4th generation (2013~)
• Diffusion model based approach – advanced surgery
16
17. 25
Diffusion model 적용
◦ 질병전파모델 - Epidemic model applicable
◦ SIR (susceptible, infected, recovered)
RMT 확산, BOT 구매 확산 등에 응용 가능
◦ player kill 을 어떤 계기로 하게 되었나요?
◦ BOT 을 어떤 계기로 사용하게 되었나요?
• 저도 첨부터 그랬던 건 아니에요
• 주변에서 사용하는 걸 보고요
• 게임 내에서 다른 유저가 사용하는 걸 보고요
• 어짜피 봇 써도 다 잡히는 것도 아닌데, 안쓰면 오히려 손해죠
17
Feeling deprived injustice Why not me?
18. 25
Diffusion
◦ 가까운 사람 또는 주변에서 “정말로 BOT을 쓰면 좋더라. 정액결제 뽑
고도 남는다.”
◦ Risk 는 주관적인 것 – BOT 을 사용하면서도 적발/제재되지 않는 경우
를 주변에서 접함 (그렇다면 BOT을 쓸 동기가 높아짐)
Friendship network 에 BOT user 가 얼마나 많은가에 따라
BOT user 의 확산속도를 가늠할 수 있음
◦ BOT 을 쓰면 적발된다는 것을 높은 확률로 *주변에서* 접할 수 있어야
함
• In-game social network 상에서 노출도가 높은 BOT
캐릭터를 집중 제재
• 제재에 대한 visibility!
• 모든 악을 근절할 수 없다면 최소한 사회적 문제를
일으킨 흉악범에게는 강력처벌
18
19. 25
기존 제재 기준
◦ 일괄적인 대량 제재 효율적/효과적이지 못함
새로운 제재 기준
◦ 길드/커뮤니티 (Social Friendship Network) 단위 제재
데이터 분석 후 threshold 파악 (게임 디자인마다 상이함)
◦ 길드/커뮤니티 내 BOT 이용자가 threshold 를 돌파하지 않게 항상 억
제를 해야 함
19
20. 25
Honest
honest
Honest
evil
Evil
honest
Evil
evil
• 어느 영역에 집중할 것인
가?
• Initial clean world 가 존
재할 수 있는가?
• Game 은 externality 가
있는 inconsistent world
• 이미 타 게임에서 타락한
사람들, 타 게임에서 BOT
을 경험한 사람들이
initial clean world 에 유
입되는 것은 막지 못함
Fallen
angel
20
Venomous
devilPenitent
Holy
noble
21. 25
Honest
honest
Honest
evil
Evil
honest
Evil
evil
• Evil honest 의 비율은
높지 않음
• Evil honest 로 만드는
비용은 높음
• 애초에 fallen angel 이
되지 않도록 하는 것이
바람직함
Fallen
angel
21
포기
(구제불능)
낮은 확률
소수이지만
어짜피 타락
안함
22. 25
게임 런칭 후 40일 정도면 초기에 봇을 쓸 사람들은 다 쓰게
됨
◦ 전체 이용자의 10.91% 가 봇을 쓰게 됨
이 과정에서..
◦ 한명 이상의 봇 친구를 가지고 있을때, 이 사람도 봇을 쓰게 되는 비율 = 16%
◦ 봇을 쓰는 친구에 노출되지 않았을 때 봇을 쓰게 되는 비율 = 5%
영향 받는 여러 채널들 중에서 (채팅, 파티플레이, 길드, …)
◦ 봇을 쓰는 친구와 party-play 를 한번이라도 같이 할 경우 95% 의 확률로 봇
전파가 이루어짐
◦ 같은 길드 내에서 봇을 쓰는 친구와 접촉을 통해서 봇이 전파될 확률은 27%
임
여러 factor 들 중에서..
◦ 전체 친구 중에 봇 이용자 비율이 어느 정도 되느냐가 가장 변별력이 높은 변
수
22
23. 25
Meaning?
◦ 단순히 같은 그룹에 속해 있는 것보다는, 한번이라도 bot user 와 같이
파티플레이 (협력플레이)를 해서 육안으로 bot 을 지근거리에서 관찰
했을 때 fallen angel 이 될 확률이 높음
◦ 여러 bot 중에서 party-play 기능을 지원하는 bot 은 반드시 막아야 함
을 알 수 있음
23
24.
25. 25
데이터마이닝 기반 BOT/작업장 대응 - 여전히 중요
◦ 악성유저 분석과 더불어 정상 이용자의 행태관찰 가능
◦ 원할 때 원하는 규모만큼의 제재를 할 수 있다는 점에서 현존하는 가장 강력한
silent key
보다 지능화된 외과적 수술 기법을 지속적으로 개발해야 함
◦ party play BOT 탐지 외에도 “타락천사(fallen angel)” 생성을 예방하기 위해
Guild 단위의 surgery 역시 필요
◦ 전체 게임 user 중 몇 % 가 BOT user 이냐를 관찰하여 surgery 를 수행하는 것
이 중요
제재 정책 관련 조언
◦ 제재를 한다면 초기에 확실한 제재정책을 펴야 함
◦ 파티플레이와 같이 봇을 사용하고 싶은 욕구가 들게 하는 전파 채널을 차단해
야 함
◦ 선량한 유저들이 봇친구들에 노출되지 않도록 할 수 있는 방법을 모색해야 함
25