게임 망치는 핵, 안 잡는건가요? 못 잡는 건가요?

<오버워치> <카운터스트라이크: 글로벌 오펜시브> <배틀그라운드> 등 흥행에 성공한 게임 뒤에는 언제나 심각한 ‘게임 핵’(이하 핵) 문제가 뒤따르고 있다. 핵은 일반 유저들에 불쾌한 경험을 줘, 게임의 장기적인 흥행에 지장을 준다.

이러한 부작용 때문에 게임사는 핵을 근절하기 위한 전쟁을 끊임없이 지속하고 있다. 과거부터 오랜 기간 이어져 온 게임사와 핵의 전쟁. 그런데 왜 게임사는 아직까지도 핵을 확실하게 근절하지 못하고 있을까? 핵 근절이 어려운 이유를 알아봤다. /디스이즈게임 김무겸, 이영록 기자

# 핵, 왜 못 막을까?

게임사는 기본적으로 다양한 보안 프로그램으로 핵 사용을 방지하고 있다. 우리가 게임을 켤 때 흔히 볼 수 있는 ‘게임 가드’나 ‘xigncode’ 같은 것이 대표적이다.

그러나 게임사와 해커의 싸움이 시작된 이래 단 한 번도 완벽하게 핵 사용을 근절한 사례는 없다. 여러 유명 게임사에서 선호하는 ‘데누보’ 조차도 해킹을 방지하기보다는 늦추는 것에 의미를 두고 있을 정도다.

현재의 기술로는 보안 프로그램으로 핵을 완벽하게 막는 것이 거의 불가능하다. 게임사는 보안 프로그램이 뚫리면 업데이트를 통해 취약점을 보완하고, 해커는 다시 이를 해킹하는 과정이 끊임없이 반복된다. 그리고 창과 방패의 싸움은 항상 창의 승리로 끝난다.

실제로 한때 무분별한 핵 사용으로 골머리를 앓던 시기의 <오버워치> ‘불량 사용 제재 내역’을 보면 대규모 계정 제재 이후 한차례 외부 프로그램(핵) 제재 내역이 줄어들었다가 다시 증가를 반복하는 모습을 확인할 수 있다.

# 핵 사용자를 빠르게 차단하면 되지 않을까?

핵 사용을 예방하는 것은 거의 불가능한 상황. 핵 이용자를 빠르게 제재해 유저들이 체감하는 불편을 줄이는 것은 어떨까?

기본적으로 계정 차단은 유저의 소유권(게임 라이센스)을 제한하는 행위다. 따라서 차단에 대한 증거가 없으면 법적 분쟁으로 번졌을 때 게임사가 불리해진다. 게임사가 핵 이용자의 계정을 차단하기 위해서는 해당 유저가 핵을 사용했다는 명확한 증거를 반드시 확보해야 한다.

대부분의 온라인게임들은 ‘로그’(기록)를 핵 적발 방법 및 차단의 근거로 사용한다. 한 예로, RPG에서는 유저들의 현재 좌표 위치나 대미지 등을 로그로 남긴다. 그리고 비정상적인 거리 이동, 혹은 대미지 발생 시 이를 근거로 계정 차단이 이루어진다.

핵 검출 능력을 높이고 증거를 확실하게 마련하려면 좌표, 대미지, 체력 등 다양한 종류의 데이터를 로그로 남겨야 한다. 로그를 남기는 간격도 중요하다. 1분에 한 번과 1초에 한 번은 핵 검출 능력이 확연히 다르다.

하지만 수많은 유저의 실시간 데이터를 초 단위로 서버에 저장하는 것은 서버에 과부하를 일으킬 수 있다. 저장해야 할 데이터의 종류가 늘어날수록, 저장하는 간격이 짧을수록 게임사는 물리적인 한계에 부딪히게 된다.

설상가상으로 FPS게임은 로그 저장이 힘들다. FPS게임은 플레이 특성상 화면 이동이 많은 편인데, 이 데이터를 핵 사용 검출이 가능할 정도로 끌어올리려면 0.1초 단위로도 부족하다. 또 프로게이머 수준의 실력자들은 뛰어난 순간 조준 능력을 보여주기 때문에 오제재가 발생할 위험도 크다.

이 탓에 FPS게임에서 로그만을 이용한 제재는 사실상 불가능하다. 여러 게임 장르 중에서 FPS게임이 특히 핵에게 고통받는 이유 중 하나다.

때문에 FPS게임은 핵 유저를 찾을 때 직접적인 모니터링과 유저들의 신고에 크게 의존하고 있다. 대표적으로 <카운터스트라이크: 글로벌 오펜시브>는 게임 플레이 수, 계급 등 일정 조건을 충족한 유저들이 핵 사용이 의심되는 유저의 플레이 영상을 관전하고 핵 사용 여부를 판별하는 ‘오버워치’(감시부대) 시스템을 사용하고 있다.

여기에도 한계는 존재한다. 한 건의 처리 시간이 약 10분 정도로 긴 편이고, 유저의 판별에도 오제재가 발생할 수 있다는 위험이 있어 게임사의 직접적인 검토가 수반되기 때문이다. 따라서 핵 신고 수량과 오신고 비율이 증가할수록 신고 시스템의 효율은 감소한다.

핵 이용자 계정 차단을 빠르게 진행하더라도 효과를 보지 못하는 경우도 있다.

현행법상 핵 개발 및 유통에 대한 처벌 근거는 있으나 이용자에 대한 처벌 근거는 없다. 게임사는 자체 게임 이용약관에 의한 계정 제재 조치를 취하는 것이 한계다. 따라서 계정을 무한히 생성할 수 있는 구조를 가진 게임은 계정 차단의 효과를 보기 힘들다. 특히, 핵 이용자가 계정이 차단됐을 때 큰 부담을 느끼지 않는 무료 게임일 경우 이 현상은 심화된다.

대표적인 사례가 론칭 초기 <오버워치>다. <오버워치>는 국내/해외 상관없이 ‘블리자드’ 계정만 있다면 PC방에서 무료로 게임을 플레이할 수 있었다. 그리고 해외 배틀넷 계정은 이메일 주소만 있으면 별도의 본인 인증 과정 없이 무제한으로 생성할 수 있었다. 핵 유저들은 이를 악용해 계정이 차단되더라도 새로 계정을 생성해 <오버워치>에서 핵을 계속 사용했다.

결국 블리자드는 지난해 2월, 해외 계정으로는 PC방에서 <오버워치>를 무료로 플레이할 수 없도록 계정 정책을 변경하고 난 뒤에야 계정 차단의 효과를 볼 수 있었다.

최근 핵으로 이슈가 되고 있는 <배틀그라운드>도 <오버워치>의 사례와 비슷하다. ‘스팀’ 플랫폼 또한 이메일 주소만 있으면 별도의 본인 인증 과정 없이 무제한으로 생성할 수 있기 때문이다. 게임을 구매해야 한다는 점이 부담으로 작용할 수 있겠으나, 현재 온라인상에서는 국가 간의 환율 차이를 이용해 <배틀그라운드>를 저렴하게 구매할 수 있는 다양한 방법이 공유되고 있다.

추가로 스팀 플랫폼에서는 환불 정책이 스팀에 귀속되는 탓에 계정을 차단하더라도 환불 이슈에 대해 개발사에서 완벽하게 통제하는 것이 힘들다. 실제로 일부에서는 스팀의 환불 정책을 악용해 핵 사용을 반복하는 사례도 있다.

이렇듯 <배틀그라운드>나 <카운터스트라이크: 글로벌 오펜시브>처럼 스팀 플랫폼을 이용하는 게임들, 그리고 계정 생성에 제한이 없고 가격이 저렴한 게임들은 계정 차단을 통한 제재 효과를 보기 힘들다.

# 핵 개발자를 처벌하면 되지 않을까?

핵 개발자를 적발해 처벌한다면 핵 사용을 줄일 수 있지 않을까?

실제로 적극적인 움직임을 보여주는 회사들도 있다. <오버워치>는 최근 서울 경찰청과 공조 수사로 핵 관련자 13명을 적발해 검찰에 송치했고, <배틀그라운드>는 텐센트를 통해 중국 공안의 협조를 받아 최소 30건의 핵 개발, 유포 건을 해결하고 관련 용의자 120여 명을 체포하기도 했다.

하지만 핵은 근절되지 않았다. <오버워치>도 <배틀그라운드>도 여전히 핵과의 전쟁을 이어가고 있다. 이러한 원인은 적발 및 제재의 ‘현실적인 어려움’ 때문이다.

핵 개발은 대게 해외에서 이뤄진다. 게임사로써는 정확히 핵 개발이 어디서 이뤄지는지 추적하기 힘들다. 또한 대부분의 핵은 개발자가 직접 거래하는 것이 아니라 별도의 유통책을 통해 거래되고 있다. 유통책 또한 적발하기 어렵도록 일정한 거점을 두지 않고 ‘오픈챗’이나 ‘디스코드’를 사용하고 있다.

어렵사리 핵이 개발되는 국가를 찾아내는 데 성공하더라도 실질적인 처벌 단계까지 이어지는 경우도 적다. 지난해 7월 ‘게임산업진흥법’이 개정되면서 해외 거주자나 외국인에 대해 범죄자 인도 요청 등의 조치를 취할 수 있게 됐지만, 중범죄자가 아닌 이상 해당 국가의 실질적인 추적 및 검거 등의 행동을 기대하기 힘든 것이 현실이다.

더 큰 문제는 검거에 성공하더라도 실질적인 처벌로 이어지기 힘들 뿐만 아니라, 처벌 수위도 약하다는 데 있다.

게임사는 ‘포커머니 거래용 자동 프로그램’을 개발 및 유통한 피고인에 대해 ‘정보통신망이용촉진및정보보호등에관한법률위반’, ‘업무방해’, ‘컴퓨터등장애업무방해’로 소송을 걸었다.

법원은 ‘포커머니 거래용 자동 프로그램’을 게임 자체에 대한 ‘훼손’, ‘멸실’, ‘변경’, ‘위조’를 발생시키는 ‘악성 프로그램’이라 할 수 없다며 ‘정보통신망이용촉진및정보보호등에관한법률위반‘에 대해 무죄를 선고했고, 정보 처리에 장애를 발생시키지 않는다는 이유로 ‘컴퓨터등장애업무방해’대해서도 무죄를 선고했다. 다만 N사의 ‘포커게임의 사행화 방지’에 장애를 주었다는 이유로 ‘업무방해’에만 유죄를 인정하며 징역 1년, 집행유예 3년을 판결했다.

[판례] 서울중앙지방법원 2007. 10. 16. 선고 2007노1327 판결

모바일게임의 이용자들의 게임머니나 능력치를 높게 할 수 있는 변조된 게임프로그램을 해외 인터넷 사이트에서 다운로드받은 다음, 위와 같은 게임프로그램을 제공한다는 것을 나타내는 문구가 게임프로그램 실행 시 화면에 나올 수 있도록 게임프로그램을 변조한 후 자신이 직접 개설한 모바일 어플리케이션 공유사이트 게시판에 위와 같이 변조한 게임프로그램들을 게시·유포하였다는 이유로 게임사가 피고인에 대해 ‘업무방해’, ‘저작권법위반’으로 소송을 걸었다.

법원은 1심과 2심에서 피고인의 ‘업무방해’를 인정했다. 하지만 3심에서는 피고인이 변조된 게임 프로그램을 실행해 해당 게임에 접속했는지 전혀 특정하지 않은 상태에서, 변조된 게임 프로그램을 게시·유포했다는 사실만으로는 업무방해죄가 성립하지 않는다고 선고하며 원심판결을 파기·환송했다.

[판례] 대법원 2017. 2. 21. 선고 2016도15144 판결

위 판례에서 볼 수 있듯이 과거에 ‘핵’은 게임 프로그램에 대한 직접적인 멸실, 훼손, 변경, 위조를 발생시키지 않는 이상 ‘악성 프로그램’으로 인정되지 않았고, 해당 게임 서버에 장애를 일으키지 않는 이상 일반적인 게임사의 ‘업무방해’로 인정되지도 않았다.

그나마 다행인 점은 지난해 6월 21일부터 시행된 ‘게임산업진흥법’ 개정안에 의해 게임사가 승인하지 않은 프로그램을 개발 및 유통하는 행위를 5년 이하의 징역 또는 5천만 원 이하의 벌금에 처할 수 있게 됐다는 것이다. 다만, 아직까지 해당 법률이 적용된 사례는 없다.

# 사회적 문제로 자리잡은 ‘핵’

핵의 완벽한 예방은 현재의 기술력으로 불가능하며,핵 이용 계정을 적발하고 차단하는 과정에도 물리적인 한계가 있다. 또한 핵 개발이 대부분 해외에서 이뤄져 실질적인 적발이 힘들고 처벌 수준 또한 낮다. 게임사는 핵과의 싸움에서 현실의 벽에 부딪히고 있다. 그렇다면 게임사는 핵에 어떻게 대응해야 할까?

우선 당장 핵을 근본적으로 '막을' 수 없다곤 해도, 손을 놓아선 안된다. 현재의 기술로 핵을 완벽하게 막을 수 없다고 해도, 아예 효과가 없는 것은 아니기 때문이다.

일례로 <리그오브레전드>는 한 때 ‘헬퍼’(핵)에 시달렸으나, ‘데마시아’라는 자체적인 핵 방지 시스템의 업데이트와 더불어 보안이 강화된 클라이언트로 업그레이드하면서 핵을 크게 줄이는 효과를 볼 수 있었다.

<리그오브레전드> 부정프로그램 계정 제재 수

(좌) 데마시아 시스템 도입 후(2018.01.19) / (우) 데마시아 시스템 도입 전 (2016.05.06)

계정 차단만으로는 핵 제재 효과를 보지 못하고 있다면, 계정 생성에 제약을 추가하는 것이 좋다. 계정 생성에 제약이 없는 계정 차단은 ‘밑빠진 독에 물붓기’이기 때문이다. 그렇기 때문에 스팀과 같이 계정 생성이 쉬운 플랫폼이라 하더라도, 추가적으로 자신들만의 계정 연동 방식을 추가해 보완책을 마련하는 것이 좋다.

일례로 스팀 플랫폼에서 서비스되는 온라인게임 중엔 게임 실행 후, 별도의 인증 과정을 거친 계정으로 재차 로그인이 필요한 ‘2차 로그인’ 시스템을 도입한 경우도 있다.

이외에도 스팀 플랫폼에 계정 생성과 관련해 수정해줄 것을 요청하거나, 최후의 방법으로는 플랫폼 이전 혹은 자체 서비스를 고려하는 것도 방법이다.

또한 게임사는 가능하면 핵을 신고한 유저에게 처리 현황을 공유하는 식으로 핵 문제를 투명하게 관리해 유저와 신뢰 관계를 유지해야 한다.

핵이 줄어든 것이 체감되지 않는 상태에서 계정 차단 수량만 발표하는 것은 유저들로부터 ‘실제로 제재하고 있는 것이 맞는가?’라는 의문을 만들어낸다. 게임사는 최소한 유저들이 신고한 건에 대해 어떻게 처리가 됐는지 명확한 피드백을 제공해, 신고 처리가 정상적으로 이뤄지고 있음을 알려주는 것이 좋다.

이외에도 <카운터스트라이크: 글로벌 오펜시브>처럼 ‘감시부대’ 시스템을 도입해, 유저들이 핵으로 의심되는 유저의 킬캠 또는 리플레이 화면을 관전하고 투표, 제재에 이르는 과정을 일부 담당하게 하는 것도 방법이다.

핵 문제를 해결하려면 게임사는 물론, 국가의 노력도 필요하다. 현재 게임은 국내 콘텐츠산업 전체 수출액 중 절반 이상을 차지하고 있는 기간 사업이다. 그런만큼 핵 이슈로 인해 게임사에 손실이 발생하는 것은 조금 과장하자면 국가적 손실이라고도 할 수 있다.

먼저 변화하는 흐름에 맞춰 법률적인 요소를 개선해야 한다.

현재 핵 개발자·유통자와 달리, 이용자는 계정 차단 외에 별다른 법적 처벌 근거가 없다. 따라서 게임사로써는 게임 약관에 의한 계정 차단 조치를 취하는 것이 한계다. 핵 이용에 대한 부담이 위험이 적은 탓에 악성 유저들은 계정을 바꿔가며 무차별적으로 핵을 이용하고 있다. 하지만 법적 기준이 존재해 게임사가 핵 유저를 제재할 수 있는 수단이 늘어난다면 이러한 상황은 달라질 것이다.

국가 차원의 핵 대책을 마련하는 것도 한 방법이다.

게임사 입장에서는 법적인 절차 진행, 그리고 개발 부서의 할당, 모니터링 인원 분배 등 핵과 관련한 모든 부분이 게임 콘텐츠 개발에 온전히 투자할 수 없게 만드는 방해 요소다. 따라서 게임사가 온전히 게임 개발에 전념할 수 있도록 핵과 관련된 법적인 절차 및 핵 방지 프로그램 개발을 지원하는 방법도 있다.

게임은 어느새 국내 콘텐츠산업의 절반 이상을 차지하는 기간 산업이 됐다. 핵 문제를 사회적인 문제로 받아들이고 국가와 게임사가 힘을 모으는 것이 필요해 보인다.