Home > 전체기사

[BN미팅] 넥슨코리아 김학수 과장이 말하는 게임 분야 보안이슈 TOP 3

  |  입력 : 2022-07-13 15:29
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
플랫폼 경계 허물어짐 이용한 어뷰징 공격, 가상화, 블록체인 및 NFT 보안이슈
학창시절부터 꿈꿔왔던 게임보안 분야에서 한 우믈을 파온 김학수 과장과의 진솔한 인터뷰


[보안뉴스 기획취재팀] “1회에 이어 3회에도 수상하게 되어 영광입니다. 이번 대회에서는 후배들과 함께 준비해 출전한 만큼 더욱 의미 깊은데요. 항상 응원해 주시고 지원해 주시는 염흥열 교수님께 감사하다는 말씀을 전하고 싶어요.”

▲넥슨코리아 게임핵대응팀 게임해킹툴 분석가 김학수 과장[사진=보안뉴스]


넥슨코리아 김학수 과장이 2013년 대학생 시절 참가한 ‘제8회 국제 해킹·보안 컨퍼런스 POC2013’에서 우승한 수상소감이다. 사실 당시 기자 눈엔 김학수 학생이 수상엔 크게 관심이 없어 보였다. 수상자로 자신의 이름이 호명된 줄도 모르고 개구쟁이처럼 키득키득 수다 삼매경에 빠져 있었기 때문이다. 결국 옆에 있던 친구가 “학수야! 너잖아 빨리 나가”라는 말에 떠밀려 얼떨결에 나가 상을 받았다. 김학수 과장의 첫인상은 그랬다. 무표정한 포커페이스의 보안전문가만 만나던 기자에게 김학수 과장은 신선했다. 개구쟁이 같은 모습에 동질감을 느껴서인지, 다소 엉뚱해 보이면서도 털털한 모습이 기자와 잘 통할 것 같아서인지 잘 모르겠으나, 유독 눈에 띄었고 궁금했다.

수년이 흘러 다시 만난 김학수 과장은 그때처럼 여전히 아이같이 맑고 순수한 모습이다. [BN미팅]에서 만나볼 두 번째 주인공은 넥슨코리아 핵대응팀에서 9년차 게임해킹툴 분석가로 맹활약 중인 김학수 과장이다. 지금부터 그녀의 게임보안 이야기를 들어보자.

1. 직업군에 관한 질문
Q. 직업 및 업무와 관련해 본인 소개 좀 부탁드립니다(수상경력 이력 등 포함)
넥슨코리아 글로벌보안본부 게임보안실의 게임핵대응팀 김학수입니다. 넥슨의 글로벌보안본부는 크게 서트실과 게임보안실로 나뉘어 있는데요, 서트실에서는 보안정책, 보안개발, 진단 등의 사내 보안정책 및 개발등의 전반을 맡고 있고요. 게임보안실은 서비스하고 있는 게임의 클라이언트 보안의 전반을 담당하는 곳으로, PC 및 모바일 보안 솔루션 개발과 분석, 운영 및 대응업무를 담당합니다.

이중 게임핵대응팀은 게임보안실의 산하조직으로 PC 및 모바일에서의 해킹툴 분석과 대응을 담당하고 있습니다. 그중 저는 PC 해킹툴의 분석과 대응 업무를 담당하고 있습니다.

Q. 보안분야 입문 과정과 계기가 궁금합니다.
보안 분야에 입문하게 된 것은 대학교 정보보호학과 입학부터였습니다. 정보보호학과 입학은 학생시절 국정원 요원이 등장하는 최지우, 이정재 주연의 드라마 ‘에어시티’와 소지섭 주연의 사이버수사 드라마인 ‘유령’ 등을 보고 정보보호 전공 분야에 관심이 생기면서 입학하게 되었습니다. 그러던 중 대학교 1학년, 당시 넥슨코리아 게임보안팀장님의 발표를 듣고 게임보안 분야를 직업으로 삼아야 겠다는 마음을 먹게 되었습니다.

Q. 넥슨코리아 게임보안팀에 입사한 이유는 무엇인가요?
국내 게임사 중 가장 많은 게임을 개발 및 퍼블리싱하고 있기에 다양한 해킹툴에 대해 분석 하고 대응할 수 있다는 점에 매력을 느껴 입사하게 되었습니다. 해킹툴이란 이를테면 개발자는 10의 속도로 이동하는 것을 의도했다면 해킹툴 제작자는 100의 속도를 내거나 공격값을 10배 또는 100배까지 높여 한 번에 공격하도록 제작된 프로그램을 말합니다. 이러한 비정상적인 행위에 대해 게임운영팀에서 모니터링 중 감지해 제보하면 저희 대응팀에서는 로그를 분석하고 해킹툴을 확보해 분석 및 대응을 진행합니다. 간단하게 말하면, 게임 내 보안관이라고 할 수 있을 것 같습니다.

Q. 넥슨에 입사하려면 어떤 자질과 능력을 보유해야 하나요?
각 부서나 직군에 따라 다르겠지만, 직군의 특수성을 가진 보안 직군으로 입사를 한다면 아무래도 분석 기술을 최우선으로 보유해야 합니다. 새로운 기술에 대해서도 유연하게 받아들이고 응용할 수 있어야 하기 때문에 새로운 걸 잘 받아들일 수 있고, 이러한 업무가 적성에 잘 맞아야 합니다.

Q. 회사 분위기는 어떤가요?
정말로 수평적이고 자유로운 분위기입니다. ‘넥슨 만우절 출근길’이라는 사진으로도 유명한데요. 만우절날 게임 캐릭터 복장으로 출근한다든가, 크리스마스 때는 산타복을 입고 출근하는 등 자유로운 분위기 속에서 각자 자신의 업무에 최대로 집중할 수 있는 분위기를 만들어줍니다.

Q. 직업 또는 업무에 대해 보람을 느낄 때는?
실시간 게임 상황에서 해킹툴을 사용할 때 대응하면 게임 이용자들이 즉각적으로 반응을 하는데요. 이때 희열을 느낍니다. 게임보안은 게임 유저가 실시간 플레이 도중 누군가의 해킹툴 사용으로 게임에서 이탈하지 않도록 예방하기 위한 것으로, 발빠른 대응을 통해 해킹툴 사용을 못하도록 차단하는 것이 중요합니다. 대응 이후 유저 동향을 모니터링 하다 보면 해킹툴 제작자들이 더 이상 해킹툴을 판매하지 않는다는 게시글을 올리는 등의 다양한 반응을 볼 수 있습니다.

Q. 직업군에 관한 고충을 얘기해 주신다면?
게임 개발자에겐 보안담당자가 아무래도 보수적인 가이드를 제시하는 위치이다 보니 원활한 의사소통이 고충입니다. 보안의 필요성을 인지시키고 보안 용어와 보안팀의 의견을 개발자, 사업팀, 운영팀 등의 시선에 맞게 대화하는 방식은 제가 풀어야 할 과제라고 생각합니다.

Q. 자신만의 자기 계발법은 무엇인가요?
최신 트렌드의 보안기술이나 그와 관련해 깃허브(GitHub: Git 저장소)에 올라오는 소스코드들을 많이 봅니다. 그리고 게임보안의 장점 중 하나가 최신 기법을 활용해 만든 핵 툴을 접할 수 있다는 점인데요. 그 툴을 분석하면서 많이 배웁니다. 보안분야는 성별을 떠나 본인이 연구하고 노력한 만큼의 결과를 얻을 수 있는 것 같습니다.

Q. 보안전문가를 꿈꾸는 후배들에게 해주고 싶은 조언은?
트렌드나 기술을 너무 쫓기보단 먼저 근본이 되는 C 언어, OS 구조, 윈도우 시스템이나 리눅스 시스템 등 구조적인 이론을 충실히 익혀야 합니다. 리버싱 기본기만 되어 있다면 분석가가 귀한 요즘 아주 좋은 블루오션을 찾아갈 수 있을 것 같아요(웃음).

2. 본론으로 들어가 보안이슈에 관한 질문
Q. 최근 보안과 관련한 고민은 무엇인가요?
일반적으로 게임 엔진과 클라이언트 내에서의 취약점이 발생하는 경우가 많습니다. 최근에는 PC와 모바일이 동시에 런칭하는 게임들이 많아지면서 OS 플랫폼 환경을 우회해 핵 시도를 하는 등의 보안 홀의 발생에 대한 고민과 연구를 하고 있습니다.

Q. 게임분야 보안이슈 TOP3를 꼽아 주신다면, 그리고 뽑은 이유는?
1. 플랫폼 경계 허물어짐 이용한 어뷰징 공격
2. 가상환경 활용한 어뷰징 공격
3. 블록체인 및 NFT 관련 이슈


지난 2~3년간의 게임 분야의 보안이슈를 3가지 정도 꼽아본다면 첫번째는 플랫폼 경계가 허물어지고 있는 환경 속에서의 어뷰징 공격입니다. 최근 PC와 모바일 기기로 동시에 런칭하는 게임들이 많아지면서 모바일 플랫폼의 게임을 PC에서 구동하는 유저들이 많아지고 있습니다. 이러한 환경 속에서 플랫폼에 귀속되던 대응을 어떻게 벗어날 수 있는지 많은 고민이 필요합니다.

두 번째, 윈도우나 구글 등의 공식 플랫폼에서의 가상환경 제공 이슈입니다. 1대의 PC에서 가상머신 환경을 활용해 여러 개의 클라이언트를 실행하는 어뷰징 이슈에 대한 대응을 의미하는데요. 이젠 공식 플랫폼에서 가상환경을 제공함에 따라 더욱 많은 고민 요소를 만들어내고 있습니다.

마지막으로 최근 게임업계에도 블록체인 및 NFT가 도입되고 있어 이에 대한 대응도 함께 이슈가 되고 있습니다. 특히, 새롭게 개발된 게임 서비스가 출시되기 전 사전에 충분히 보안성이 확보가 된 상태로 서비스되어야 하기에 좀더 심층적인 대응방안 연구가 필요합니다.

Q. 최근 게임 분야 보안위협과 기술 트렌드에 대해 설명해주신다면?
최근 개발되는 게임들은 유니티, 언리얼 등의 개발 엔진을 사용하면서 게임보안에서도 유니티 및 언리얼 분석 방법이나 개발도구 연구에 초점을 맞추고 있습니다. 또한, 이전부터 지속적으로 관심을 갖고 있는 것은 코드 가상화 및 난독화 해제 이슈입니다.

Q. 보안이슈와 관련해 게임분야 보안담당자에게 전하고 싶은 메시지는?
처음 게임보안에 와서 느낀 것 중 하나가 악성코드와는 또 다른 방식으로 파일을 분석하고 사고해야 한다는 것입니다. 이 때문에 게임보안 분석가들만의 세미나 또는 커뮤니티가 생기면 좋을 것 같습니다. 악성코드나 써트 관련 보안 세미나와 커뮤니티는 활성화가 된 반면, 게임보안 분야는 커뮤니티가 거의 없는 데다 폐쇄적인 편입니다. 대응할 수 있는 기술력의 가치를 함께 높일 수 있도록 게임 보안담당자들이 공유할 수 있는 자리가 마련되었으면 좋겠습니다.

3. 분위기 전환, 지극히 개인적인 질문
Q. “나 이런 사람이야 한 마디로 표현한다면?”
운동을 좋아하는 게임보안 윈도우 리버서.

Q. 나의 좌우명은?
오글거려서 좀 밝히기가 그런데요. ‘순간에 최선을 다하자’ 입니다. 아우 부끄러워 하하하!

Q. 스트레스 해소 및 자기 관리는 어떻게 하나요?
저는 주로 운동을 합니다. 입사 후 6년 정도 복싱을 했었는데요, 요즘엔 등산과 달리기를 주로 하며 워라벨을 맞춰가고 있습니다.

Q. 요즘 듣는 곡은?
윤도현 밴드 좋아요. 모든 곡이 다 좋지만, 최근에는 ‘박하사탕’을 듣고 있어요.

Q. 좋아하는 연예인은?
연예인에 관심이 많진 않지만 영화 ‘셜록 홈즈’와 ‘닥터 스트레인지’ 주인공으로 유명한 영국의 배우 베네딕트 컴버배치(Benedict Cumberbatch)를 좋아해요. 외모도 제 스타일이에요. 하하하!

Q. 멘토에 대해 소개해 주신다면?
현재 BoB 멘토로도 활약하고 있는 저희 게임핵대응팀 팀원이신 심영진 님이십니다. 기술적으로도 많이 알려주시고, 고민에 대해서도 아낌없는 조언과 함께 멘탈 케어도 해주셔서 큰 도움을 받고 있습니다.

인터뷰를 마치고...
이미 학창시절부터 자신의 적성과 진로를 찾아 한 직장에서 9년차로 근무한다는 건 대단한 일이다. 젊은 나이에 2~3년 경력을 발판 삼아 이직을 할 수도 있고, 눈을 돌려 다른 곳에 관심이 생길 수도, 스카웃 제의로 혹 할 수도 있을텐데 한 우물을 판다는 것, 꾸준하다는 것, 한결 같다는 것, 이렇게 예나 지금이나 묵묵히 자기 일을 잘 해내고 있는 모습에 기자는 박수를 보낸다.

“기자님! 저희 사내식당 구경 가보실래요? ”
김학수 과장 덕분에 넥슨 사내식당도 와보고.
A코스(닭갈비)와 B코스(밀면)로 골라먹는 재미를 선사했다.
요즘 같은 고물가 시대에 수박주스가 2,000원이라니.
참 좋은 회사구만.
가만 있자, 우리 회사는 사내식당이...
앗~차! 대표님, 열심히 일하겠습니다. 충성! ^^;;

[기획취재팀(boan3@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 위즈디엔에스 2018
설문조사
산업 전 분야의 지능화·융합화·스마트화 추세에 따라 스마트시티와 스마트공장, 스마트의료, 스마트상점 등 각 분야에서도 정보보안과 물리보안이 함께 접목되는 융합보안이 이슈가 되고 있습니다. 올해 융합보안이 가장 활발하게 적용될 분야는 어디라고 보시나요?
스마트시티 보안
스마트공장 보안(OT 보안)
스마트의료 보안
스마트상점 보안
기타(댓글로)