By ANDY GREENBERG, WIRED US

건전한 여러 플레이어의 협동과 악의적인 방해 행위가 합쳐진 인디 게임 어몽어스 사용자 수가 급격히 증가했다. 그러나 어몽어스가 게임 제작자의 의도보다 훨씬 심각한 배반 행위가 발생할 수 있는 게임으로 변했다.

보안 업체 테너블(Tenable) 소속 연구원 제임스 시브리(James Sebree)가 11월 17일(현지 시각), 어몽어스에서 상대적으로 간단하게 해킹을 할 수 있는 취약점 여러 개를 불과 두 달 전에 발견했다고 설명하는 내용의 블로그 게시글을 작성했다. 그중 일부 보안 취약점은 일반 플레이어 여러 명이 우주정거장에서 협력해, 방해 공작을 펼치면서 일반 플레이어를 죽이는 비밀 임포스터를 찾는 기본적인 게임 방식으로 심각한 피해를 줄 수 있다. 시브리 연구원은 해킹을 통해 다른 플레이어를 의도적으로 죽이는 행위와 다른 플레이어 행세를 하는 행위, 게임 내내 여러 공간을 돌아다니는 행위, 벽을 타고 이동하는 행위, 캐릭터 속도를 높이는 행위, 다른 플레이어의 움직임을 제어하는 행위, 유료 게임 아이템을 무료로 얻는 행위, 호스트가 아닌데도 특정 플레이어를 차단하는 행위, 자신에게 가해진 금지 조치를 해제하는 행위 등이 가능하다고 말한다.
 
시브리 연구원은 9월, 게임 참여 인원을 10명 이상으로 변경할 수 있도록 수정할 목적으로 어몽어스 팬인 주변 친구들과 어몽어스 코드를 보기 시작했다고 밝혔다. 그러나 시브리 연구원은 플레이어 수 변경 이상으로 게임을 조작할 수 있다는 사실을 발견했다. 그는 “문제를 자세히 살펴보기 시작했을 때, 다른 문제도 확인했다. 그리고 발견한 문제와 같은 행위를 시도해 보았다. 모든 행위가 가능하다는 사실을 알게 됐다”라고 밝혔다.

그는 어몽어스 버그 중 가장 심각한 문제로 어몽어스 서버 자체가 플레이어의 컴퓨터에서 실행되는 클라이언트가 보내는 정보를 검증하도록 설계되지 않았다는 점을 지적했다. 바로 대다수 인기 PC 게임에서 부정행위를 막기 위한 기본적으로 설정하는 보호 조치이다. dnSpy, IL2CPP와 같은 툴로 어몽어스 게임 코드를 역설계해, 서버에 모방하거나 대체된 모든 데이터를 전송하는 수정된 버전의 게임 클라이언트를 생성할 수 있다. 그는 “플레이어 1로 게임할 때, 플레이어 2로 활동하도록 명령을 전송할 수 있다. 이때, 플레이어 1 대신 플레이어 2로 게임을 실행할 수 있다”라고 설명했다.

시브리 연구원에 앞서 다른 이들도 어몽어스에서 해킹 문제를 발견했다. 그러나 종합적으로, 그리고 공개적으로 해킹 문제를 밝힌 것은 시브리 연구원이 처음이다. 이미 10월 초부터 많은 플레이어가 어몽어스 측에 해킹과 부정행위에 대한 불만을 제기했다. (어몽어스에는 과거에도 자주 이루어진 부정행위 형태인 플레이어들끼리 외부 채널에서 협력하는 행위도 발생한다) 일부 플레이어는 10월 중순, 트럼프 대통령을 지지하는 스팸 메시지를 다량으로 받았다. 시브리 연구원은 스팸 공격을 복제한 뒤, 서버 검증 문제를 악용하는 방식으로 다른 플레이어에게 메시지를 전송할 수 있었다고 설명했다.

와이어드가 어몽어스 개발을 담당한 소기업인 이너슬로스(Innersloth)에 연락을 했을 때, 문제를 확인하고 있다는 답을 받았다. 시브리 연구원은 10월 중순부터 여러 차례 이너슬로스에 연락해 자신이 발견한 문제를 공유하고자 했지만, 연락이 닿지 않았다고 말했다. 그는 캐릭터 색상 변경이나 즉시 임포스터를 확인하는 행위, 즉시 다른 플레이어를 죽이는 행위 등 수정 이후 자신이 강조한 일부 공격에 주목했다. (시브리는 회의를 소집하고 다른 플레이어가 모두 특정 피해자에게 투표해 즉시 죽이는 것과 같이 상대를 죽이는 부정행위가 지금도 발생한다고 덧붙였다) 또한, 지난 몇 주간 다른 플레이어에게 금지 조치를 하는 행위, 자신에게 설정된 금지를 해제하는 행위, 죽은 플레이어를 부활시키는 행위 등 몇 가지 부정행위는 아직 테스트하지 않았다고 밝혔다. 그러나 다른 해킹 수법 모두 그대로 존재한다. 시브리 연구원이 밝힌 모든 문제는 서버의 데이터 검증 부재 때문에 발생했다. 그러나 시브리 연구원은 어몽어스가 모든 문제를 한 번에 전면적으로 수정하는 대신 자체적인 검증 단계를 추가하려면 다른 데이터가 필요할 것이라고 말했다.

시브리 연구원은 이너슬로스 웹사이트의 팀 페이지에 세 명만 프로필이 등록된 것을 보았을 때, 문제를 자세히 살펴보고 해킹이 발생 가능한 모든 취약점을 해결할 인력이 부족한 것이 당연하다고 말했다. 그는 자신이 발견한 기본 버그는 운영 가능한 수준의 최소 개발 인력만 두고, 게임 개발 장벽을 줄이기 위한 유니티(Unity) 엔진과 같은 툴로 제작된 어몽어스 같은 인디 게임에서 발생할 가능성이 크다고 설명했다. 시브리가 작성한 블로그 게시글에는 플레이어가 날아다니는 행위와 순간 이동을 하는 행위와 함께 초고속으로 이동할 수 있는 또 다른 인디 게임 폴가이즈(FallGuys)의 여러 부정행위 수법과 비슷하다고 명시돼 있다.

시브리 연구원은 어몽어스의 보안 취약점이 사용자에게 심각한 위협을 가한다고 보기 어렵다는 점을 인정했다. 게임의 제약 행위를 넘어서 피해 대상이 된 플레이어의 컴퓨터까지 공격 대상으로 삼고 접근할 수 없기 때문이다. 시브리 연구원은 “어몽어스 플레이어가 해킹을 당하고 정보 유출 피해를 보는 일은 없을 것이다. 단순히 어몽어스 게임만 하기 때문이다. 그러나 다른 사람을 조롱하거나 게임 참가자의 흥미를 망칠 수 있다”라고 말했다.

시브리 연구원은 어몽어스에서의 부정행위와 게임을 망치는 행위를 막을 수 있는 특정 코드도 블로그 게시글에 남겨두었다. 시브리 연구원이 시도한 해킹을 쉽게 복제할 수 있는 코드이다. 그는 자신이 발견한 부정행위가 어몽어스 등 인디 게임 개발자들의 게임 보안 강화 조치를 촉진할 수 있기를 바란다. 일부 소프트웨어 수정으로 어몽어스의 속임수와 같은 부정행위가 게임의 코드 자체를 살펴보는 방해 행위보다는 게임 속 임포스터에게 제한되기를 바란다. 

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Forget Impostors. Among Us Is a Playground for Hackers