알고도 막을 수 없는 핵이 있다?
게임, 특히 FPS 장르와 핵과의 전쟁은 떼어놓을 수 없는 관계다. 경쟁형 FPS가 탄생한 이래 타인과의 경쟁에서 손쉽게 승리하기 위해 불법 프로그램을 사용하는 이용자는 늘 꾸준히 존재해 왔다. 이를 막기 위해 ‘안티 치트’와 같은 솔루션이 등장하기도 했지만, 근래 들어 핵을 사용하는 새로운 방법인 DMA(Direct Memory Access)에 대한 이슈가 급부상하며 창과 방패의 전쟁은 다시금 창이 공세적인 모습을 취하는 모양새다.
특히, 이 DMA를 통한 불법 프로그램의 사용은 현재의 안티 치트 솔루션으로는 방지하기 쉽지 않은 것으로 알려져 많은 경쟁형 게임에서 골머리를 썩히고 있다. <발로란트>, <델타 포스> 등 시장에서 탑급의 자리를 차지하고 있는 FPS들은 현재 공식적으로 DMA와의 전쟁을 천명하고 대응을 위해 총력을 기울이는 중이다. 그렇다면 이 DMA라는 것은 대체 무엇일까?
# 끝없는 창과 방패의 전쟁
DMA의 탄생을 알기 위해서는 핵에 대한 역사를 어느 정도 이해할 필요가 있다. 초기의 핵은 외부 프로그램 형태주로 게임 프로세스에 코드를 주입(DLL 인젝션)하거나, 운영체제의 메모리 읽기/쓰기 기능을 사용하여 게임의 메모리 값을 수정하는 방식으로 구현되었다. 당시에는 단순한 호기심 혹은 증명이 어렵고 안티 치트 솔루션이 미비하다는 점을 악용해 남에게 자신의 실력(을 가장한 핵 사용)을 과시하기 위해 사용됐다.
문제가 본격적으로 대두되기 시작하면서, 개발사들은 핵을 탐지하고 차단하기 위해 EAC(이지 안티 치트) VAC(밸브 안티 치트), 배틀아이와 같은 ‘안티 치트’ 프로그램을 개발하거나 전문 업체와 제휴해 시작했다. 안티 치트 프로그램은 윈도우의 사용자 모드에서 사용되는 핵(작업 관리자에 명확히 잡히는)은 대부분 적발할 수 있기에 상당한 효과를 보였다.
▲ 스팀은 VAC 혹은 개별 게임의 개발사에 의해 차단된 유저의 기록이 표시된다. 만약 다른 게임에서 의심스러운 사람을 만났는데 프로필에 이러한 낙인이 있다면, 거의 확정이다.
그러나 핵에 대한 수요는 끊이지 않았고, 한 단계 발전한 방법이 탄생했다. 바로 윈도우 운영체제의 핵심 영역인 ‘커널’에서 핵이 작동할 수 있도록 해 안티 치트의 감시를 우회하는 것이다. 이에 안티 치트 또한 높은 권한 수준을 양도받아 커널 단위로 핵을 탐지함으로써 핵을 막기 시작했다. 라이엇 게임즈의 ‘뱅가드’가 대표적이다.
커널 모드까지의 접근 권한을 요구하는 안티 치트는 많은 논란을 낳았다. <발로란트>를 플레이해 본 사람이라면 출시 당시 ‘뱅가드’와 관련해 여러 논란이 있었다는 사실을 기억할 것이다. 해외에서는 아무리 핵 감지를 위하더라도 커널 모드까지 접근 권한을 허용해야 하기에, 개인 정보 유출 등의 우려가 있다는 점에 특히 부정적인 의견을 표했다. 권한이 더욱 강력해진 대신 신경써야 할 점도 늘어난 만큼 안티 치트가 여러 버그나 에러의 원인이 된다는 문제도 있었다.
다만, 애초에 커널 모드 접근 권한이 없더라도 컴퓨터에 설치되는 (커널 접근 권한이 없는) 프로그램은 사실 모두 해킹 위험을 동반하고 있다. 커널 모드까지 접근하는 것이 핵 방지에 효과적이란 사실은 부인하기 어렵기도 하다. 이렇게 강력한 권한을 양도받은 안티 치트는 여러 논란이 있긴 했어도, 핵 방지에는 상당히 효과적인 만큼 이런 프로그램을 사용하는 게임 개발사들은 이용자를 설득하기 위해 안티 치트의 성능과 검거 효과를 적극적으로 홍보하고 알려 왔다.
이에 커널 단까지 감시하는 안티 치트를 우회하고자 탄생한 것이 'DMA 카드'를 통해 하드웨어 단위에서 핵을 사용하는 방법이다. DMA는 ‘Direct Memory Access’를 줄인 것으로 메모리에 직접적으로 접근한다는 뜻이다. 이전에 <카운터 스트라이크>의 프로게이머가 마우스와 같은 기기에 핵 프로그램을 내장해 사용했던 방법에서 한 단계 더욱 발전한 것이라 볼 수 있다. 커뮤니티에서는 2022년 경부터 관련한 핵 사용이 유행하기 시작한 것으로 파악하고 있는데, 확인해 보면 국내에서도 네이버 직수입 스토어, 중고나라 등지에서 관련 제품이나 세트가 거래 중인 모습을 이외로 쉽게 발견할 수 있다.
▲ DMA 카드를 통한 핵 사용 방법 (출처: 티미 스튜디오)
DMA는 PC의 PCI-익스프레스(간단히 말해 ‘그래픽 카드’ 같은 것을 꽃는 슬롯)에 장착돼 CPU의 제어를 우회해 게임을 실행하는 PC 외부에서 핵 기능을 구현한다. 준비물로만 PC 두 대가 필요한데, DMA 카드를 통해 한 PC에서는 게임만 실행하고, 다른 PC에서는 핵 프로그램을 구동하는 식이다. DMA 카드는 직접적인 연결을 통해 게임이 실행되는 PC의 게임 데이터를 핵이 구동되는 PC에 전송하는 역할을 맡는다.
그리고 보조 PC는 다시 2개의 수단을 통해 게임이 실행되는 PC에 핵 데이터를 전송한다. 입력 신호를 가로채고 조작해 메인 PC에 입력되는 마우스의 움직임 데이터가 정상적인 조작처럼 보이게 해 주는 ‘KMBox’ 그리고 ‘Fuser’라는 기기를 통해 ESP와 같은 기능을 게임 PC의 모니터에 ‘합성’해 준다. 그런 만큼 방송을 하면서도 마치 핵은 사용하지 않는 것처럼 위장할 수 있으며, 위 2개의 기기 대신 무선 연결 등 다른 방식을 통해 불법적인 정보를 얻을 수 있는 방법도 있는 것으로 전해진다.
간단히 말해, 게임이 실행되고 있는 PC에서는 핵이 실행되고 있지 않기에 일반적인 방식으로는 감지할 수 없다는 이야기다. 핵 프로그램 자체가 다른 PC에서 작동하고 있는데 어떻게 기존의 방식으로 감지한단 말인가? 그 외에도 <델타 포스> 개발진에 따르면 가상 머신을 활용해 운영체제 바깥에서 핵이 작동하도록 하는 경우도 존재하며, 라이엇에 따르면 브라질 지역에서는 특정 픽셀의 색깔을 감지하는 '픽셀 봇'이라고 불리는 핵을 <발로란트>에서 주로 사용하고 있다고 한다.
▲ KMbox, 네이버에 검색만 해도 곧바로 공식 사이트가 나온다.
대신 명확한 단점이 하나 있기는 하다. DMA를 사용한 핵은 유지비가 상당히 비싸다. 보조 PC부터 필요한 일이니 말이다. KMbox와 같은 하드웨어도 별도로 구매해 줘야 하며, DMA 카드 자체는 메인 PC에 연결되어 있기에 감지가 가능하다. 그렇기에 대부분은 DMA 카드의 연결을 다른 프로그램처럼 위장(랜카드, 사운드 카드 등)하는 펌웨어를 사용하는데 당연하게도 여기에조차 구매 비용이 들어간다. 위장 펌웨어 또한 언젠가는 적발되기 때문에, 정말로 핵을 오래 사용하고 싶다면 약 한 달 주기로 펌웨어를 바꿔야 하는 것으로 알려져 있다. 초기 세팅 비용도 만만치 않은데 유지비 또한 꾸준히 내야 하는 셈이다.
개발사들도 손을 놓고 있지는 않다. 위에서 언급한 것처럼 위장 펌웨어를 적발한 후 기다렸다가 데이터가 명확해졌을 때 해당 펌웨어를 사용하는 사람을 모두 게임에서 차단하거나, 핵 사용을 위한 기기를 실제로 구매해 분석한 후 데이터를 쌓아 핵 사용을 적발하기도 한다. 게임에 업데이트가 있을 때마다 핵 유저가 크게 줄어드는 이유로 알려져 있다. 또한, 핵 차단을 곧바로 진행하지 않고 일정 시간을 기다린 후 한 번에 진행하는 이유는 핵 제작자가 안티 치트의 대응 방법을 유추해 우회하는 행위를 최대한 방지하기 위함이다.
그 외에도 라이엇 게임즈는 운영 체제가 입출력(I/O) 장치의 메모리 접근을 관리할 수 있도록 하는 하드웨어 기술을 통해, DMA 카드를 사용하는 핵에 대한 보다 명확한 감지 방법 도입을 고려하고 있다고 한다.
▲ <카스>의 유명 대회 프랜차이즈인 ESEA에 따르면 이런 방식으로 우회해 부정하게 정보를 얻는 경우도 있다고 전해진다. 참고로 <카스>는 e스포츠 단에서 유명한 선수가 핵을 몰래 사용하다 적발되어 큰 파장을 일으켰을 만큼, 게임을 넘어 e스포츠에서까지 핵과의 전쟁을 벌여오고 있다. (출처: ESEA)
▲ DMA 카드 등 핵 프로그램에 사용되는 하드웨어의 종류 또한 다양하며, 개중에는 값비싼 프리미엄 장비도 있는 것으로 알려졌다. 사진은 라이엇 게임즈가 입수한 장비와 실제로 DMA 카드와 같은 하드웨어를 통해 핵이 구동되는 모습 (출처: 라이엇 게임즈)
# 비싼 구매 및 유지 비용에도 더욱 기승을 부리고 있는 핵
핵을 사용하길 원하는 사람이 전 세계 80억 인구 중에서 단 한 명도 남지 않는 이상 게임과 핵과의 전쟁은 계속될 것이다. 특히, DMA 카드를 통한 핵은 구매 및 유지를 위해 수백만 원이 필요한 것으로 알려졌음에도 2025년 들어 여러 FPS에서 더욱 기승을 부리고 있어 게이머의 마음을 더욱 슬프게 한다. 몰래 사용하는 사람이 의외로 많다고 전해지는데, 수천 달러를 기꺼이 지불하더라도 남들과의 경쟁에서 부정 행위를 통해 앞서나가며 괴롭히고 싶어 하는 것이 인간의 본성이란 말일까?
중요한 것은 핵이 이전보다 더욱 발전하고 고도화되었기에 ‘손캠’을 보여주는 방송을 요구한다거나 단순히 안티 치트 프로그램을 강화하는 단순한 방식으로는 사용을 적발하거나 증명하기 어려워졌다는 것이다. 모든 사례를 데이터를 쌓아 수동으로 분석해 적발하는 것이 해결책이 될 수도 있겠지만 현실적으로 불가능하다. AI를 활용하는 방안도 아직 데이터가 고도화되지 않은 상황이다.
그래도 이런 내용의 글이 안티 치트 프로그램이 왜 ‘더욱 더 많은 권한’을 요구하고 있는지, 왜 엉뚱한 프로그램을 핵으로 적발하는 오재재가 발생하는지, 게임사들이 ‘핵’에 대한 대응을 하고 있음을 강조하면서도 ‘자세한 방법’이나 ‘안티 치트 프로그램이 수집하는 상세한 데이터’에 대해서는 왜 설명을 꺼리는지에 대해 이해를 도울 수 있으리라 본다.
▲ 지구에 게임하는 인간이 존재하는 한, 핵과의 전쟁은 계속될 것이다. (출처: 라이엇 게임즈)