주제: 게임 내 악성행위분석 및 사설서버 탐지
강연자 : 김휘강 Kim, Huykang | 고려대학교 정보보호대학원
권장 대상 : 데이터 분석가 , 게임보안분야 업무담당자
난이도 : 기본적인 사전지식 필요
[강연 주제] 이번 NDC 발표를 통해서 게임 내 유저들의 행위를 분석한 사례를 공유하고 '선한 유저, 악성 유저', 이를 통해 게임 유저들에게 쾌적한 플레이 환경을 제공하기 위한 게임회사의 대응 방안을 정리해 보고자 합니다. 더불어 사설 서버가 있을 경우 게임의 이미지 실추, 보안 문제, 법적 분쟁 등 다양한 문제를 발생시키게 되는데, 이를 데이터분석 기반으로 해결할 수 있는 방안 역시 같은 맥락에서 공유하고자 합니다.
게임 내에서는 다양한 악성 행위가 일어난다. 게임봇과 작업장, 골드 파밍으로 진단된 그룹은 가장 큰 위협요소다. 작업장은 PC, 모바일 모두 존재하며 자동 플레이를 통해 아이템을 파밍하고 금전적 이익을 내는데 게임을 악용하는 집단이다. 이들은 RMT(Real Money Trade)라고 불리는 현금거래를 통해 금전적 이득을 얻고 있다. 이로 인해 과도한 게임 콘텐츠 소모를 통한 게임 수명의 단축 및 정상적인 이용자들의 이탈을 유발하는 등 많은 문제를 일으키고 있다.
물론 기존 게임 내에서 악성 행위를 탐지하는 다양한 연구가 있다. 그간 많은 게임들에서 머신러닝과 딥러닝을 이용하여 게임봇과 작업장을 탐지하고 있다. 이는 게임봇과 작업장의 행동 패턴이 정상적인 유저의 행동 패턴과 다르다는 점에 착안한 방법이며, 연구를 통해 더 정밀한 딥러닝 알고리즘으로 정확도를 높이고 있다.
■ 딥러닝 탐지의 한계와 개선
이러한 연구들은 계속 진화하여, 고도화된 알고리즘을 통해 그간 이 분야에서 난제였던 하드코어 유저들의 행위 패턴과 게임봇 패턴을 구분하여 식별이 가능한 수준에 이르렀다. 하지만 이렇게 발전한 딥러닝, 머신러닝을 통한 탐지가 게임봇 유저 밴 업무에 적용에는 한계점이 존재한다.
이는 결과에 대해서는 정확도를 보장할 수 있지만, 어떠한 사유로 봇이라는 탐지 결과가 도출되어 있는지에 대한 설명력은 부족한 머신러닝과 딥러닝의 약점이다. 그래서 현업에서는 머신러닝과 딥러닝을 이용하여 높은 정확도를 확보했음에도 불구하고 봇으로 탐지한 유저들이 이의 제기를 할 경우에 설명을 용이하게 하기 위해 설명 가능한 알고리즘을 병행하여 중복 적용하거나, 역으로 원인을 설명할 수 없어서 재분석하거나 항의가 올 경우 제재를 풀어주고는 했다.
'이루다' 챗봇 AI의 사례에서 볼 수 있듯이, 높은 성능을 보여줬다 하더라도 학습 과정에서 데이터가 오염되었다거나 잘못된 학습 방식으로 원치 않은 결과가 유발될 수 있다. 이는 이루다 AI에 국한된 게 아니라, 모든 AI 기반 서비스가 가지는 약점이다.
AI 모드를 악용하는 공격인 Adversarial Machine Learning Attack 분야 역시 최근 많이 연구되는 분야이기도 하다. 마찬가지로 게임봇 탐지를 위하여 머신러닝을 적용하였지만 만약 학습과정에서 아주 뛰어난 게임봇 제작자 및 이용자가 머신러닝을 속이는 형태로 장기적인 행위 변화를 시도한 경우에는 탐지 모델의 신뢰성이 떨어진다.
이에 대응하기 위하여 지속적으로 AI 모델에 대한 검증과 유지 보수를 해야 하는 점은 상당한 부담이 될 수 있고, 모처럼 큰 비용을 투자해 AI 탐지 시스템을 갖췄다 하더라도 현업에 적용하기 어려운 문제를 야기할 수 있다.
이를 보완할 수 있는 솔루션으로 XAI(Explainable AI), 즉 설명 가능한 AI 또는 Interpretable 머신 러닝이라고 하는 개념이 제시됐다. Class Activation Map이 등장한 뒤 나온 방법론이다. CNN(Convolutional Neural Network) 구조에서 GAP(Global Average Pooling)을 넣어 이미지를 분류할 때 왜 이 이미지를 특정 결과로 분류하였는지 나타낸다. 요약하자면 분류 결과에 영향력을 준 주요 요소를 찾는 방법론이다.
이와 같은 방법을 응용하면, 왜 유저의 행위가 게임봇으로 식별되었는지 설명할 수 있게 되므로, 악의적인 게임봇 유저가 왜 나를 게임봇으로 분류하였는지 설명해보라는 이의 제기가 들어왔다 하더라도 주요한 원인을 설명할 수 있게 된다.
XAI를 이용하여 설명력을 확보할 수 있는 건 매력적이지만, 상당한 비용의 투자가 필요해 부담이 된다. 게임 장르가 단순하거나 명확한 특성이 있어 게임봇, 매크로, 게임핵 탐지에 있어서 딥러닝이 필요 없는 경우도 있다. 부정행위의 유형이 최대 스코어를 올리거나, 무한 헤드샷이나 총알이 도달할 수 없는 궤도상의 장애물을 뚫고 사격하는 것을 탐지하는 기법이 그냥 룰 베이스로 잡아도 충분한 경우 XAI가 아니더라도 충분히 대응할 수 있다.
하지만 정상 유저와 게임봇 유저 간의 경계선이 모호하여 딥러닝과 같은 고도의 탐지가 필요한 경우가 많다. 내부의 모니터링 인원에 의한 수동 모니터링이 불가능하여 분류 시스템에 의존해야만 하는 대부분의 회사들의 상황에서는 고려해볼 만한 요소다. 제재로 인한 소송에 능동적으로 대응하기 위해서라도, XAI 기반의 설명력을 갖춘 시스템을 준비하는 게 좋다.
XAI는 게임봇 탐지 외에도 온라인 게임 내에서 결제 부정과 같이 게임 서비스에 심각한 위협을 가하는 요소들을 탐지할 때 AI/딥러닝과 같이 사용하여 상호보완이 될 수 있으므로, 앞으로 활용 범위가 점차 늘어날 것으로 기대할 수 있는 분야다.
■ 컨테이션, 악성 행위의 확산
게임 내 행위들이 서로 다른 유저들에게 영향을 주면서 확산될 수 있다. 특히 사설서버 이용과 같이 게임회사의 수익을 저해하는 행위 역시 사설서버 이용자들이 늘어날수록 확산 속도도 높아질 수 있다.
우리의 행동을 소셜 네트워크 상에서 또는 우리 일상생활 속에서 여러 경로로 타인으로 영향을 받는다. 지인, 마케팅, 광고, 뉴스 및 소셜 네트워크와 같은 미디어로부터 접하는 수많은 정보들에 의해 영향을 받을 수 있다. 이렇게 타인으로부터 영향을 받고 다시 나의 행위가 다른 사람에게도 전파되는 현상을 '컨테이젼(Contagion)'이라고 부른다.
이러한 컨테이젼을 설명하는 모델은 'SIR'이라고 하는 질병 전파 모델로 설명을 하기도 하며, 이런 모델을 이용할 경우에는 확산 속도가 급격히 높아지는 지점을 예측할 수 있다. 더 이상 확산 속도를 억제할 수 없는 임계점이 언제 도달하게 되는지를 예측하는 일이 가능하다.
우리가 만일 날마다, 어제까지 게임봇을 이용하지 않다가 오늘부터 게임봇을 이용하게 되는 사람들의 숫자를 꾸준히 관찰하게 된다면 게임 유저들이 급격하게 게임봇을 너도나도 쓰게 되는 시점을 예상할 수도 있다. 마찬가지로 우리가 전 세계 사설 서버를 파악하고 각 사설 서버의 이용자 규모를 파악하고 있다면 이용자들이 사설 서버로 이탈하는 추세 역시 예측이 가능하다.
이와 같이 관찰하고자 하는 게임 내 악성 행위를 정의하고, 그 숫자들을 지속적으로 모니터링한다면 그 행위의 확산성을 예측할 수 있다는 점에서 컨테이젼 모델은 상당히 활용성이 높다.
확산을 디퓨전(Diffusion)이라고 하는 용어로 표현하기도 하는데, 예를 들어 게임봇을 쓰는 이용자를 친구로 두고 있는 경우 이 친구가 "게임봇을 쓰면 정말로 좋더라. 빠르게 성장할 수도 있고 매일 벌어들이는 아이템의 현금 가치가 게임 이용료와 아이템 구매에 들어간 돈을 뽑고도 남는다"라는 식으로 전파를 해올 수 있다.
만약 이 친구가 게임 내에서 영향력이 높은 인플루언서이거나 동일 게임 내 친구들이 많은 유저인 경우, 즉 '노드'의 역할을 하는 유저인 경우라면 이 유저에 의해 게임봇의 확산 속도가 빨라질 수 있다. 이러한 유저들을 선별적으로 탐지하여 제거하는 외과적 수술 기법이 연구 논문으로 나오기도 했다. 악성 행위를 하는 영향력이 높은 유저를 빠르게 식별하고, 확산 속도를 예측하는 것이 게임 내 건전한 환경을 조성하고 게임봇의 확산을 억누르는 데 있어 중요하다고 할 수 있다.
물론 게임 안의 선한 행위 역시 확산이 된다. 게임 내의 초보자를 도왔다거나 이타적으로 플레이하는 경우, 이런 선한 행위를 보고 영향을 받아 나 역시 선한 행위를 전파할 수도 있다. 불행히도 선한 행위의 전파 속도보다는 악한 행위의 전파 속도가 몇 배나 빠르다는 것이 안타까운 일이다.
다만 가상세계, 즉 온라인 게임 내에 선한 행위가 전파된다는 것은 왕이나 메이시의 연구 결과 등에서 발표된 바 있다. 특히 왕(Wang)의 연구에서는 가상세계에서 내가 어떤 성별, 어떤 역할의 아바타를 갖고 있냐에 따라 가상세계에서의 나의 행동이 영향을 받게 된다는 것 역시 흥미로운 시사점이기도 하다.
모 게임이 서비스를 새로 오픈하고, 특별히 제재를 하지 않을 경우 약 40일 정도가 지나게 되면 전체 유저 19,833명 중에서 963명 정도가 게임봇을 쓰게 되는 결과가 나왔다. 이중 초기 게임봇을 쓴 사람들로부터 영향을 받아 게임 내 친구 네트워크를 통해 확산되는 비율이 10.91% 정도였다.
이 분석 결과에서는 초기부터 게임봇 이용자를 강하게 제재해야 이러한 조기 확산을 막을 수 있다는 것을 시사한다. 가까이에서 게임봇과 같은 악성 행위를 이용하는 걸 목격하는 경우 확산력은 더욱 높아진다. 같이 파티 플레이를 한 이용자 중에서 게임봇을 이용한 사람이 있는 경우에는 95%의 확산력을 갖게 된다는 결과가 나왔다.
물론 게임봇을 쓰게 되는 사람들의 30%가 파티 플레이를 하는 것을 감안해보면 시작부터 게임봇 파티를 구성한 작업장임을 감안해야 하겠지만 그럼에도 불구하고 무척 높은 수치다. 반면에 같은 길드에 있는 지인이 게임봇을 쓰는 경우(간접적으로 알고 있는 사람이 같은 길드 내에서 게임봇을 쓰고 있는 경우)에는 약 27%의 확률로 퍼져나가는 것을 볼 수 있었다. 이와 같이 게임 내에 존재하는 여러 네트워크 중에서도 가시성을 갖는 네트워크에서 활동량이 많은 게임봇 유저들은 특히 더 제재를 해야 한다.
■ '타락천사'의 보호와 사설 서버
게임을 이용하는 유저층을 게임봇 이용을 컨테이젼(Contagion) 개념을 적용하면, 크게 네 가지 유형으로 분류할 수 있다. 처음부터 게임봇을 사용하지 않은 선한 유저(Holy Noble), 게임봇을 사용하지 않았으나 타인에 영향을 받아 게임봇을 이용하게 되거나 가능성이 있는 타락 천사(Fallen Angel), 게임봇을 사용하였으나 마음을 고쳐먹고 이제는 게임봇을 이용하지 않게된 돌아온 탕자(Penitent), 마지막으로는 어떠한 계도활동이나 제재에도 변함없이 시종일관 게임봇을 써온 베노머스 데빌(Venomous Devil)이다.
선한 유저 계층은 앞으로도 변치 않을 가능성이 높다. 그리고 베노머스 데빌 유저군 역시 계속 게임봇을 이용하고 게임 내 악한 행위를 계속할 가능성이 높다. 안타깝게도 돌아온 탕자인 페니턴트 유저군들은 거의 발견되지 않는다.
그러므로 집중 보호/관리해야 할 대상은 정상 유저였는데 주변의 영향을 받아 게임봇이나 사설 서버를 쓰게 될 수 있는 '타락 천사(Fallen Angel)'군이다. 악성향 유저들 중에서도 영향력이 높은 악한 유저들을 외과 수술식으로 신속히 제거해야, 선량한 유저들이 타락 천사가 되는 것을 막을 수 있다.
악한 행위의 전파는 비단 게임봇의 전파만은 아니다. 게임 내 욕설 사이버 불링과 같은 행위를 '톡식 비해이비어(Toxic Behavior)라 부른다. 특히 롤, 오버워치같은 장르에서 플레이가 서툰 유저들에게 심한 비난과 욕설을 날리는 행위 역시 전파성이 무척 강한 악성 행위 중 하나다.
게임봇 이용은 전파 확산성이 매우 높은 악성 행위다. 특히 단기간에 몰입도가 높은 장르 게임인 경우에는 상대방에게 더 많은 영향을 끼치게 된다. 특히 단기에 집중을 많이 해야 하는 FPS, AOG 장르의 경우 악성 행위가 승부에 영향을 미쳐 공정성을 해치게 되었다면 이는 유저들의 이탈을 일으킬 만큼 높은 불만요소가 되므로 특히 헬퍼, 치팅툴, 다양한 핵, 욕설 전파를 반드시 탐지 및 제재를 해야 한다.
게임봇, 치팅툴, 사설서버에 대해 능동적으로 대응하지 않을 경우 게임 회사의 수익에도 심각한 악영향을 줄 수 있으므로 이에 대한 재고도 필요한 시점이다. 사설서버의 이용 및 차단 건수는 계속 증가하고 있다. 근거는 충분히 마련되었지만 여전히 정확한 규모에 대해서 밝혀지지 않았고 차단이 된 경우도 극히 일부다.
사설 서버가 해외에 위치한 경우는 국제 사법 공조에 어려움이 있고 차단이 쉽지 않다. 과거 2017년 사설서버 대응 포럼에서 주요 3대 게임 피해 규모가 약 2조 4천억 원이 넘는 것으로 추정된다는 결과가 있었고, 2021년인 현재는 더 늘어났을 것으로 추정된다.
사설 서버는 끊임없이 도메인을 개설했다가 폐쇄하거나 끊임없이 사이트 이름을 변경하면서 운영 위치를 바꾸고 있으므로 동일한 웹페이지 콘텐츠를 가지고 이동하는 운영자들을 지속적으로 추적 및 변경 관리를 하는 기능이 매우 중요하다고 할 수 있다. 이러한 히스토리를 추적한 뒤 모두 스냅샷으로 떠서 법적인 대응을 할 수 있다면 상당히 소송에서 유리한 위치를 점할 수 있다. 상당히 규모가 있는 사이트들을 계속 방치해둘 경우 특정 국가 서비스에 악영향을 충분히 줄 수 있을 것으로 예상된다.
■ 악성행위에 대한 해결책, '선한 행위의 전파'로는 안될까?
그렇다면 이러한 악성행위들에 대한 해결책을 고민해볼 차례다. 여러 해결 방법이 있지만, 이번 발표에서는 선한 행위의 전파 모델 중 하나인 피어 프레셔(Peer pressure, 또래 압력)를 이용하여 자정이 될 수 있는 방법은 없을까 고민해봤다. 다소 원론적이고 이상적인 모델이지만, 다같이 고민해볼 수 있는 계기가 될 수 있었으면 한다.
유저들은 여러 원인에 의해 게임에서 이탈한다. 다만 과거 게임 내 길드와 같이 게임 내 소사이어티가 확실히 존재하는 경우에는 게임 콘텐츠를 다 즐겼다 하더라도 게임 내 형성된 인간관계로 인해 게임을 계속 이용하는 사례가 많았다. 이러한 점에 착안하여 길드와 같은 게임 내 소사이어티가 유저들의 이탈을 예방하고 불만을 다독여줄 수 있는지 살펴보고 싶었다.
이를 위해 N사의 데이터 셋을 이용해 실험을 진행했다. 관측 기간 동안 게임 유저들을 네 가지 유형으로 나누어서 지속적으로 접속을 하는 유저군과 이탈을 하는 유저군으로 식별하여 보았다. 주요 관측 대상은 분석 기간 동안 또는 분석 시점 전에 한 번도 이탈한 적이 없는 유저들을 선정했다.
길드는 완전히 친목을 도모하기 위한 길드도 있지만, 서로 간의 경험치를 획득하고 빠른 성장을 위해 어쩌면 약간의 비즈니스 목적으로 형성된 길드도 있을 것이다. 그리고 결속력이 떨어져 유명무실 해진 케이스도 있다. 기존에 친밀 관계에 기반하여 초대에 의해 형성된 길드는 소속감이 상대적으로 높고 단순히 비즈니스 목적으로 규모를 키우는데 집중한 길드의 경우에는 딱히 온오프상의 연결 관계와 관계없이 가입을 허용해서 유대감을 강하게 형성하고 있다고 말하기는 어렵다.
친목 도모 성격이 강한 길드는 607개가 관찰되었고, 파티 플레이 레이드와 같이 경험치 상승과 경제적인 목표를 주로 하는 비즈니스 중심의 길드는 3,835개가 관찰됐다. 각 소속원의 이탈률을 분석해본 결과, 비즈니스 중심의 길드에서 이탈률이 더 높았다. 친교 관계가 기반이 되어 있지 않으므로 파티나 레이드 후 아이템 배분이 마음에 들지 않거나 자신을 버스를 태워주거나 밀어줄 길드원이 마땅히 없는 경우 즉시 이탈로 이어지게 된다.
사회적 규범, 소위 'Norm'을 적극적으로 따르고 그 안에서 개인적인 발전도 추구하고 사회적인 관계도 추구하는 경우는 리텐션 수가 높은 것으로 볼 때, 온라인 게임 내 유저를 가상 공간에 고립된 개인으로 남겨둘 것이 아니라 소사이어티에서 포용하고 같이 갈 때 게임 내 문화를 긍정적으로 구축할 수 있는 시작점이 될 수 있을 것이다.
오늘날 우리 온라인 게임 내 유저들의 문화는 어찌 보면 유목민 문화처럼 되어가고 있다. 내가 이 마을에서 계속 뿌리내려서 살 것도 아니고 일정 기간 후에는 언젠가 떠날 것이라고 전제하고 이 지역에 모든 풀과 자원을 소진하고 다른 지역으로 이동하는 유목민과 유사하게 행동한다.
모바일 게임으로 급속히 변해가면서 게임의 소사이어티는 약해지고 게임 시스템 역시 유저들을 언젠가는 떠날 유목민처럼 대하여 단기적인 이익 극대화에 열을 올린다. 유저도 이에 반응하여 언젠가 떠날 서버이므로 타인의 시선, 사회적인 규범이라는 것을 신경 쓰지 않은 채 게임봇을 써서라도 단기적으로 나만 성장을 하면 되고, 사설서버에 접속해서라도 성취감을 단기적으로 맛보려하는 건 아닐까 생각된다.
실험적이기는 하나, 유저들의 행동을 토대로 이 유저가 이탈하게 될지 아닐지는 다양한 방법으로 예측할 수 있다. 개선을 위해 예측도 좋지만 예측이 된 시점에서 '이미 떠나기로 마음먹은 유저'들의 마음을 돌릴 방법은 거의 없다는 것도 간과해서는 안 된다.
게임봇, 사설서버와 같이 게임 내 다양한 악성 행위가 있고 이를 탐지하고 막을 수 있는 기술적인 방법도 점차 고도화되어가고 있다. 물론 기술적인 방법이 실용적이고 현실적인 솔루션이지만 지금이야말로 유저들이 장기적으로 리텐션하고 게임 소사이어티 내의 규범(Norm)을 올바르게 형성하고 지켜갈 수 있도록 동료, 친구, 커뮤니티 활동에 다시 방점을 두어야 하는 시점이 아닐까.
Lavii@inven.co.kr
페이지 구독하기
다른 기사 보기
기사 제보하기
