핵 근절이 어려운 이유를 알아봤다

‘오버워치’, ‘카운터스트라이크: 글로벌 오펜시브’, ‘배틀그라운드’ 등 흥행에 성공한 게임 뒤에는 언제나 심각한 ‘게임 핵’(이하 핵) 문제가 뒤따르고 있다. 핵은 일반 유저들에 불쾌함을 야기하고 장기적으로는 게임 흥행에도 지장을 준다.

이러한 부작용 때문에 게임업체들은 핵을 근절하기 위한 전쟁을 끊임없이 지속하고 있다. 과거부터 오랜 기간 이어져 온 게임업체와 핵의 전쟁. 그런데 왜 게임사는 아직까지도 핵을 확실하게 근절하지 못하고 있을까?

# 핵, 왜 못 막을까?

게임사는 기본적으로 다양한 보안 프로그램으로 핵 사용을 방지하고 있다. 우리가 게임을 켤 때 흔히 볼 수 있는 ‘게임 가드’나 ‘xigncode’ 같은 것이 대표적이다.

그러나 ​게임사와 해커의 싸움이 시작된 이래 단 한 번도 완벽하게 핵 사용을 근절한 사례는 없다. 여러 유명 게임사에서 선호하는 ‘데누보’ 조차도 해킹을 방지하기보다는 늦추는 것에 의미를 두고 있을 정도다.

현재의 기술로는 보안 프로그램으로 핵을 완벽하게 막는 것이 거의 불가능하다. 게임사는 보안 프로그램이 뚫리면 업데이트를 통해 취약점을 보완하고, 해커는 다시 이를 해킹하는 과정이 끊임없이 반복된다. 그리고 창과 방패의 싸움은 항상 창의 승리로 끝난다.​

실제로 ​한때 무분별한 핵 사용으로 ​골머리를 앓던 시기 ‘오버워치’의 불량 사용 제재 내역을 보면 대규모 계정 제재 이후 한차례 외부 프로그램(핵) 제재 내역이 줄어들었다가 다시 증가하는 모습을 확인할 수 있다.​

# 핵 사용자를 빠르게 차단하면 되지 않을까?

핵 사용을 예방하는 것은 거의 불가능한 상황. 핵 이용자를 빠르게 제재해 유저들이 체감하는 불편을 줄이는 것은 어떨까?

기본적으로 계정 차단은 유저의 소유권(게임 라이센스)을 제한하는 행위다. 따라서 차단해야 하는 근거가 없으면 법적 분쟁으로 번졌을 때 게임사가 불리해진다. ​게임사가 핵 이용자의 계정을 차단하기 위해서는 해당 유저가 핵을 사용했다는 명확한 증거를 반드시 확보해야 한다.​

대부분의 온라인게임들은 ‘로그’(기록)를 핵 적발 방법 및 차단의 근거로 사용한다. 한 예로, RPG에서는 유저들의 현재 좌표 위치나 대미지 등을 로그로 남긴다. 그리고 비정상적인 거리 이동, 혹은 대미지 발생 시 이를 근거로 계정 차단이 이뤄진다.

핵 검출 능력을 높이고 증거를 확실하게 마련하려면 좌표, 대미지, 체력 등 다양한 종류의 데이터를 로그로 남겨야 한다. 로그를 남기는 간격도 중요하다. 1분에 한 번씩 로그 남기는 것과 1초에 한 번씩 하는 것은 핵 검출 능력면에서 확연히 다르다.

하지만 수많은 유저의 실시간 데이터를 초 단위로 서버에 저장하는 것은 서버에 과부하를 일으킬 수 있다. 저장해야 할 데이터의 종류가 늘어날수록, 저장하는 간격이 짧을수록 게임사는 물리적인 한계에 부딪히게 된다.

설상가상으로 FPS게임은 로그 저장이 힘들다. FPS게임은 플레이 특성상 화면 이동이 많은 편인데, 이 데이터를 핵 사용 검출이 가능할 정도로 끌어올리려면 0.1초 단위로도 부족하다. 또 프로게이머 수준의 실력자들은 뛰어난 순간 조준 능력을 보여주기 때문에 잘못된 제재가 발생할 위험도 크다.

이 탓에 FPS게임에서 로그만을 이용한 제재는 사실상 불가능하다. 여러 게임 장르 중에서 유독 FPS게임이 핵에 취약한 이유 중 하나다.

때문에 FPS게임은 핵 유저를 찾을 때 직접적인 모니터링과 유저들의 신고에 크게 의존하고 있다. 대표적으로 ‘카운터스트라이크: 글로벌 오펜시브’는 게임 플레이 수, 계급 등 일정 조건을 충족한 유저들이 핵 사용이 의심되는 유저의 플레이 영상을 관전하고 핵 사용 여부를 판별하는 ‘오버워치’(감시부대) 시스템을 사용하고 있다.

여기에도 한계는 존재한다. 한 건의 처리 시간이 약 10분 정도로 긴 편이고, 유저의 판별에도 잘못된 제재가 발생할 수 있다는 위험이 있어 게임사의 직접적인 검토가 수반되기 때문이다. 따라서 핵 신고 수량과 오신고 비율이 증가할수록 신고 시스템의 효율은 감소한다.

핵 이용자 계정 차단을 빠르게 진행하더라도 효과를 보지 못하는 경우도 있다.

현행법상 핵 개발 및 유통에 대한 처벌 근거는 있으나 이용자에 대한 처벌 근거는 없다. 게임사는 자체 게임 이용약관에 의한 계정 제재 조치를 취하는 것이 한계다. 따라서 계정을 무한히 생성할 수 있는 구조를 가진 게임은 계정 차단의 효과를 보기 힘들다. 특히, 핵 이용자가 계정이 차단됐을 때 큰 부담을 느끼지 않는 무료 게임일 경우 이 현상은 심화된다.

대표적인 사례가 론칭 초기 ‘오버워치’다. ‘오버워치’는 국내ㆍ해외 상관없이 ‘블리자드’ 계정만 있다면 PC방에서 무료로 게임을 플레이할 수 있었다. 그리고 해외 배틀넷 계정은 이메일 주소만 있으면 별도의 본인 인증 과정 없이 무제한으로 생성할 수 있었다. 핵 유저들은 이를 악용해 계정이 차단되더라도 새로 계정을 생성해 ‘오버워치’에서 핵을 계속 사용했다.

결국 블리자드는 지난해 2월 해외 계정으로는 PC방에서 ‘오버워치’를 무료로 플레이할 수 없도록 계정 정책을 변경하고 난 뒤에야 계정 차단의 효과를 볼 수 있었다.

최근 핵으로 이슈가 되고 있는 ‘배틀그라운드’도 ‘오버워치’의 사례와 비슷하다. ‘스팀’ 플랫폼 또한 이메일 주소만 있으면 별도의 본인 인증 과정 없이 무제한으로 생성할 수 있기 때문이다. 게임을 구매해야 한다는 점이 부담으로 작용할 수 있겠으나, 현재 온라인상에서는 국가 간의 환율 차이를 이용해 ‘배틀그라운드’를 저렴하게 구매할 수 있는 다양한 방법이 공유되고 있다.

추가로 스팀 플랫폼에서는 환불 정책이 스팀에 귀속되는 탓에 계정을 차단하더라도 환불 이슈에 대해 개발사에서 완벽하게 통제하는 것이 힘들다. 실제로 일부에서는 스팀의 환불 정책을 악용해 핵 사용을 반복하는 사례도 있다.

이처럼 ‘배틀그라운드’나 ‘카운터스트라이크: 글로벌 오펜시브’처럼 스팀 플랫폼을 이용하는 게임들, 그리고 계정 생성에 제한이 없고 가격이 저렴한 게임들은 계정 차단을 통한 제재 효과를 보기 힘들다. ​

# 핵 개발자를 처벌하면 되지 않을까?

핵 개발자를 적발해 처벌한다면 핵 사용을 줄일 수 있지 않을까?

실제로 적극적인 움직임을 보여주는 회사들도 있다. ‘오버워치’는 최근 서울경찰청과 공조 수사로 핵 관련자 13명을 적발해 검찰에 송치했고, ‘배틀그라운드’는 텐센트를 통해 중국 공안의 협조를 받아 최소 30건의 핵 개발, 유포 건을 해결하고 관련 용의자 120여 명을 체포하기도 했다.

하지만 핵은 근절되지 않았다. ‘오버워치’도 ‘배틀그라운드’도 여전히 핵과의 전쟁을 이어가고 있다. 이러한 원인은 적발 및 제재의 ‘현실적인 어려움’ 때문이다.

핵 개발은 대게 해외에서 이뤄진다. 게임사는 정확히 핵 개발이 어디서 이뤄지는지 추적하기 힘들다. 또한 대부분의 핵은 개발자가 직접 거래하는 것이 아니라 별도의 유통책을 통해 거래되고 있다. 유통책 역시 적발되지 않기 위해 일정한 거점을 두지 않고 ‘오픈챗’이나 ‘디스코드’를 사용하고 있다.

어렵사리 핵이 개발되는 국가를 찾아내는 데 성공하더라도 실질적인 처벌 단계까지 이어지는 경우는 적다. 지난해 7월 ‘게임산업진흥법’이 개정되면서 해외 거주자나 외국인에 대해 범죄자 인도 요청 등의 조치를 취할 수 있게 됐지만, 중범죄자가 아닌 이상 해당 국가의 실질적인 추적 및 검거 등의 행동을 기대하기 힘든 것이 현실이다.

더 큰 문제는 검거에 성공하더라도 실질적인 처벌로 이어지기 힘들 뿐만 아니라, 처벌 수위도 약하다는 데 있다.

위 판례에서 볼 수 있듯이 과거에 ‘핵’은 게임 프로그램에 대한 직접적인 멸실, 훼손, 변경, 위조를 발생시키지 않는 이상 ‘악성 프로그램’으로 인정되지 않았고, 해당 게임 서버에 장애를 일으키지 않는 이상 일반적인 게임사의 ‘업무방해’로 인정되지도 않았다.

그나마 다행인 점은 지난해 6월 21일부터 시행된 ‘게임산업진흥법’ 개정안에 의해 게임사가 승인하지 않은 프로그램을 개발 및 유통하는 행위를 5년 이하의 징역 또는 5,000만 원 이하의 벌금에 처할 수 있게 됐다는 것이다. 다만, 아직까지 해당 법률이 적용된 사례는 없다.

# 사회적 문제로 자리잡은 ‘핵’

핵의 완벽한 예방은 현재의 기술력으로 불가능하며, 핵 이용 계정을 적발하고 차단하는 과정에도 물리적인 한계가 있다. 또한 핵 개발이 대부분 해외에서 이뤄져 실질적인 적발이 힘들고 처벌 수위도 낮다. 게임사는 핵과의 싸움에서 현실의 벽에 부딪히고 있다. 그렇다면 게임사는 핵에 어떻게 대응해야 할까?

우선 당장 핵을 근본적으로 '막을' 수 없다곤 해도, 손을 놓아선 안 된다. 현재의 기술로 핵을 완벽하게 막을 수 없다고 해도, 아예 효과가 없는 것은 아니기 때문이다.

일례로 ‘리그오브레전드’는 한 때 ‘헬퍼’(핵)에 시달렸으나, ‘데마시아’라는 자체적인 핵 방지 시스템의 업데이트와 더불어 보안이 강화된 클라이언트로 업그레이드하면서 핵을 크게 줄이는 효과를 볼 수 있었다.

‘리그오브레전드’ 부정프로그램 계정 제재 수. 왼쪽은 데마시아 시스템 도입 후(2018.01.19), 오른쪽은 데마시아 시스템 도입 전(2016.05.06)

계정 차단만으로 핵 제재 효과를 보지 못하고 있다면, 계정 생성에 제약을 추가하는 것이 좋다. 계정 생성에 제약이 없는 계정 차단은 ‘밑 빠진 독에 물 붓기’이기 때문이다. 스팀과 같이 계정 생성이 쉬운 플랫폼이라 하더라도, 추가적으로 자신들만의 계정 연동 방식을 추가해 보완책을 마련하는 것이 좋다.

일례로 스팀 플랫폼에서 서비스되는 온라인게임 중엔 게임 실행 후, 별도의 인증 과정을 거친 계정으로 재차 로그인이 필요한 ‘2차 로그인’ 시스템을 도입한 경우도 있다. 이외에도 스팀 플랫폼에 계정 생성과 관련해 수정해줄 것을 요청하거나, 최후의 방법으로는 플랫폼 이전 혹은 자체 서비스를 고려하는 것도 방법이다.

또한 게임사는 핵을 신고한 유저에게 처리 현황을 공유하는 식으로 핵 문제를 투명하게 관리해 유저와 신뢰 관계를 유지해야 한다.

핵이 줄어든 것이 체감되지 않는 상태에서 계정 차단 수량만 발표하는 것은 유저들로부터 ‘실제로 제재하고 있는 것이 맞는가?’라는 의문을 만들어낸다. 게임사는 최소한 유저들이 신고한 건에 대해 어떻게 처리가 됐는지 명확한 피드백을 제공해 신고 처리가 정상적으로 이뤄지고 있음을 알려주는 것이 좋다.

이외에도 ‘카운터스트라이크: 글로벌 오펜시브’처럼 ‘감시부대’ 시스템을 도입해, 유저들이 핵으로 의심되는 유저의 킬캠 또는 리플레이 화면을 관전하고 투표, 제재에 이르는 과정을 일부 담당하게 하는 것도 방법이다.

핵 문제를 해결하려면 게임사는 물론, 국가의 노력도 필요하다. 현재 게임은 국내 콘텐츠 산업 전체 수출액 중 절반 이상을 차지하고 있는 기간 사업이다. 따라서 핵 이슈로 인해 게임사에 손실이 발생하는 것은 국가 산업의 손실로 이어질 수 있는 여지가 있다.​

먼저 변화하는 흐름에 맞춰 법률적인 요소를 개선해야 한다. 현재 핵 개발자ㆍ유통자와 달리, 이용자는 계정 차단 외에 별다른 법적 처벌 근거가 없다. 따라서 게임사로서는 게임 약관에 의한 계정 차단 조치를 취하는 것이 한계다. 핵 이용에 대한 부담과 위험이 적은 탓에 악성 유저들은 계정을 바꿔가며 무차별적으로 핵을 이용하고 있다. 하지만 법적 기준이 존재해 게임사가 핵 유저를 제재할 수 있는 수단이 늘어난다면 이러한 상황은 달라질 것이다.

국가 차원의 핵 대책을 마련하는 것도 한 방법이다. 게임사 입장에서는 법적인 절차 진행, 그리고 개발 부서의 할당, 모니터링 인원 분배 등 핵과 관련한 모든 부분이 게임 콘텐츠 개발에 온전히 투자할 수 없게 만드는 방해 요소다. 따라서 게임사가 온전히 게임 개발에 전념할 수 있도록 핵과 관련된 법적인 절차 및 핵 방지 프로그램 개발을 지원하는 방법도 있다.

게임은 어느새 국내 콘텐츠 산업의 절반 이상을 차지하는 대규모 산업이 됐다. 핵 문제를 사회적인 문제로 받아들이고 국가와 게임사가 힘을 모으려는 노력이 요구된다.

디스이즈게임 제공 ▶ 원문보기

인기 기사

web_cdn 저작권자 © 한국일보 무단전재 및 재배포 금지

경제 최신기사