“이 게임을 깔면 스마트폰이나 PC에 저장된 내 개인 정보가 모두 중국 정부로 빼돌려진다.”
중국 게임사 미호요(Mihoyo)가 신규 게임 ‘원신’을 출시한 9월 28일, 이런 논란이 온라인 공간을 뜨겁게 달궜다. 원신 PC 버전에 동봉된 ‘mhyprot2.Sys’라는 커널(kernel) 프로그램이 게임을 종료한 뒤에도 백그라운드에서 계속 구동되는 현상이 발견됐기 때문이다. 커널은 컴퓨터 운영체제의 최심부에서 시스템의 모든 것을 완전히 통제하는 프로그램이다.
해당 프로그램이 심지어 게임을 삭제해도 지워지지 않자, 이용자들은 ‘개발사에서 게임에 ‘백도어(back door)’를 심어둔 것이 아니냐’는 의혹을 제기했다. 모바일 버전에서도 게임 프로그램이 클립보드 정보에 접근하거나 슈퍼 사용자 권한을 요구하는 등 수상한 점이 발견됐다. 화웨이·틱톡 사례 등 개인 정보 무단 수집 논란이 빈번하게 나오는 중국 기업에서 만든 게임인 만큼 의혹은 순식간에 부풀었다.
개발사인 미호요는 즉각 해명에 나서 “해당 프로그램은 악성 사용자가 게임을 분석하거나 해킹하는 것을 막기 위해 있는 안티 치트(anti-cheat)”라며 “안티 치트는 시스템 정보 읽기에만 사용될 뿐 개인 정보를 포함한 정보에 대한 처리·저장·업로드를 하지 않는다”고 공식 카페에 밝혔다.
이어 미호요는 앞서 언급된 여러 문제를 해소하는 업데이트를 신속하게 진행했다. 그러나 이용자들의 불안감은 가라앉지 않고 있다. 프리랜서 최모(26)씨는 “이번 사건으로 대부분의 게임에 안티 치트가 내장돼 있으며, 그런 프로그램들은 굉장히 높은 권한을 갖는다는 것도 알게 됐다”며 “그렇다면 개발사가 나쁜 마음을 먹으면 게임 프로그램을 통해 메시지나 사진·동영상 등을 전부 들여다볼 수 있는 것 아니냐”고 말했다.
잡음 잇따르는 ‘안티 치트’
안티 치트는 소위 ‘핵(hack)’으로 불리는 비인가 프로그램에 대응하기 위해 존재하는 보안 프로그램의 일종이다. 게임이 구동되는 동안 컴퓨터나 모바일 기기에서 실행 중인 모든 앱과 백그라운드를 감시하고, 그중에서 게임 클라이언트에 대한 부적절한 접근을 적발하고 차단하는 원리다.
이런 안티 치트에는 몇 가지 딜레마가 있다. 운영체제 깊은 곳(커널)에서 교묘하게 게임 클라이언트에 침입하는 비인가 프로그램을 막아 내기 위해, 안티 치트도 커널 공간에서 구동되며 ‘개인 정보 탈취가 이론상 가능할 만큼’ 높은 권한을 갖게 된다는 것이다.
실제로 2014년에는 글로벌 게임 유통·개발사 ‘스팀(steam)’이 사용하는 ‘밸브 안티 치트(VAC)’가 사용자의 DNS 캐시(이전에 방문했던 사이트에서 주고받았던 데이터)를 자사 서버로 보냈다는 것이 밝혀져 소동이 일기도 했다. 상황이 격화되자 게이브 뉴웰 스팀 최고경영자(CEO)가 직접 “우리는 당신이 어떤 성인 사이트를 방문했는지 보려고 하지 않는다”며 진화에 나서기도 했다.
또 안티 치트는 모든 프로세스를 실시간으로 모니터링하기 위해 중앙처리장치(CPU) 자원을 점유하다 보니, 사양이 낮은 기기에서는 원활한 게임 진행에 방해될 수 있다. ‘리그오브레전드’ 개발사인 라이엇게임즈가 지난 6월 출시한 일인칭 슈팅(FPS) 게임 ‘발로란트’에 적용되는 안티 치트 ‘뱅가드’가 대표적이다. 이용자들에 따르면, 불법 프로그램만 골라 차단해야 할 뱅가드가 다른 엉뚱한 프로그램을 종료시키거나, PC 자체의 속도를 낮추는 부작용을 일으키는 현상 등이 빈번하게 나타났다.
특히 문제가 된 것은 PC방 관리 프로그램과 충돌하는 현상으로 업주들의 골머리를 앓게 했다. 서울 창천동에서 PC방을 운영하는 A씨는 “손님들이 ‘발로란트 되냐’고 물으면 딱 잘라 ‘안 된다’고 하고 돌려보낸다”며 “매출 일부를 포기하더라도 말썽꾸러기 게임을 버리는 게 낫다는 판단”이라고 했다.
이용자 보호하기 위해 필수적인 ‘방패’
게임 이용자들이 안티 치트에 비판적인 이유 중 하나는 “CPU 자원을 마음껏 가져다 쓰고, 관리자 권한까지 획득하는 안티 치트를 강제하는데, 정작 게임에 접속해보면 ‘핵 이용자’가 넘쳐난다”는 것이다. ‘원신’의 백도어 의혹 논란과 맞물려 일각에서는 ‘아예 안티 치트를 없애는 게 낫지 않냐’는 무용론까지 나오고 있다.
하지만 안티 치트가 비인가 프로그램에 ‘일시적으로’ 뚫리는 것은 자연스러운 현상이다. 한 보안 업계 관계자는 “보안이라는 것 자체가 완전무결한 방벽이라기보다는 끊임없이 반복되는 창과 방패의 싸움과도 비슷하다”며 “비인가 프로그램은 항상 새로운 침입 루트를 개발해 들어오는데, 이를 최대한 빠르게 적발하여 대응하는 것이 안티 치트의 존재 목적”이라고 했다.
게임 업계는 “안티 치트는 게임의 정상적인 운영과 공정성 유지를 위해 꼭 필요한 방패”라는 입장이다. 특히 마우스 조작 실력이 곧 승패로 직결되는 일인칭 슈팅 게임의 경우 비인가 프로그램을 막지 못하면 게임의 존립이 위태로워진다.
크래프톤이 개발한 ‘배틀그라운드’를 예로 들면, 탄환 적중률을 100%까지 높이는 ‘에임핵’부터, 벽 너머의 상대를 관측하게 하는 ‘월핵’, 수 킬로미터 밖의 대상을 저격하는 ‘스나이퍼핵’, 심지어 다른 이용자에게 지연을 일으키는 ‘드랍핵’까지 온갖 기상천외한 비인가 프로그램이 있다. 정정당당한 경쟁을 기대하고 게임에 접속한 이용자들은 이러한 핵 이용자에게 허무하게 패배하는 일이 반복되면 실망하고 게임을 떠난다.
다중접속역할수행게임(RPG) 장르에서는 ‘매크로’라고 불리는 자동 반복 작업 프로그램이 문제가 된다. 국내 대형 게임사 관계자는 “이용자들은 노력하고 투자하는 만큼 캐릭터를 육성하고, 이를 공정한 선상에서 경쟁하며 재미를 느낀다”며 “매크로를 사용해 아무 노력도 투자도 없이 경쟁에서 앞서는 악성 이용자는 정상 이용자의 경쟁 의욕을 감퇴시키고 심한 박탈감을 느끼게 한다”고 했다. 이 관계자는 “특히 대규모로 매크로를 돌려 게임 재화를 획득하고, 이를 현금으로 판매하는 작업장 부정행위를 적발하기 위해서도 안티 치트는 필수”라고 덧붙였다.
‘백도어’ 악용 가능성 거의 없어
전문가들은 안티 치트가 개인 정보를 유출하는 ‘백도어’로 악용될 수 있다는 우려에 대해서도 ‘있을 수 없는 일’이라고 일축했다. 보안 솔루션 업체 ‘리앱’ 관계자는 “안티 치트는 보호하고자 하는 프로세스(게임)를 명확하게 정의하고 여기 접근하는 비정상적인 시도를 차단하는 데 집중할 뿐 이용자의 개인 정보를 서버로 전송하는 등의 행위는 절대 하지 않는다”며 “기기 속도가 느려지거나 다른 프로그램과 충돌하는 등의 이슈로 자주 오해하는데, 이는 그 안티 치트 프로그램 자체의 완성성이 떨어지기 때문에 발생하는 문제”라고 설명했다.
안티 치트 솔루션인 ‘게임가드’를 공급하는 ‘잉카인터넷’ 관계자도 “가장 강력한 보호 법령인 유럽연합의 GDPR을 엄격하게 준수하는 수준으로 안티 치트를 개발하고 운용한다”며 “프라이버시 침해 여지가 있는 기능은 설계 단계에서부터 아예 넣지 않는다”고 말했다.
염흥열 순천향대 정보보호학과 교수는 “안티 치트뿐만 아니라 대부분의 보안 프로그램이 커널 수준의 높은 권한을 획득한다”라며 “그런데도 이용자들이 보안 프로그램을 사용하는 것은 보안 업계가 그동안 지켜온 신뢰가 기반이 되어 있기 때문”이라고 설명했다.