[논문]로그인 패턴 분석을 통한 대규모 계정도용 차단 방안에 관한 연구(온라인 게임 IP/계정 차단시스템을 중심으로)

연수권; 유진호

doi:10.7583/jkgs.2016.16.2.51

로그인 패턴 분석을 통한 대규모 계정도용 차단 방안에 관한 연구(온라인 게임 IP/계정 차단시스템을 중심으로)
A study on Prevention of Large Scale Identity Theft through the Analysis of Login Pattern(Focusing on IP/Account Blocking System in Online Games) 원문보기

한국게임학회 논문지 = Journal of Korea Game Society, v.16 no.2, 2016년, pp.51 - 60

연수권 (상명대학교 일반대학원 경영학과) , 유진호 (상명대학교 일반대학원 경영학과)

초록
AI-Helper

개인정보가 대량으로 유출되는 사고가 최근 몇 년에 걸쳐 지속적으로 발생하고 있다. 이렇게 외부로 유출된 대량의 개인정보는 명의도용 및 계정도용에 불법적으로 사용되고 있다. 특히 온라인 게임머니 게임아이템 등의 가상의 재화를 현금으로 거래할 수 있는 온라인 게임서비스에서 다수 발생하고 있다. 온라인 게임에서 발생하고 있는 도용 사례를 분석해 보면 몇 가지 특징을 확인 할 수 있는데, 요약해 보면 짧은 시간에 대량으로 발생한다는 것이다. 본 연구에서는 온라인 게임에서 발생하고 있는 도용 공격 사례를 통해 대량의 자동화된 계정 도용 공격의 특징을 정의하고 실시간으로 대응할 수 있는 탐지 및 차단 방안을 제안 하였다.

Abstract ▼ AI-Helper

The incidents of massive personal information being leaked are occurring continuously over recent years. Personal information leaked outside is used for an illegal use of other's name and account theft. Especially it is happening on online games whose virtual goods, online game money and game items can be exchanged with real cash. When we research the real identity theft cases that happened in an online game, we can see that they happen massively in a short time. In this study, we define the characteristics of the mass attacks of the automated identity theft cases that occur in online games. Also we suggest a system to detect and prevent identity theft attacks in real time.

주제어

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 국내 온라인 게임회사 에서 실제 발생했던 명의·계정도용 사례의 접속 로그를 분석하여 대규모 도용의 특징을 도출하고 기존에 게임사들이 구축해 놓은 시스템을 활용하여 실시간으로 대응할 수 있는 방법을 연구하였다.
본 연구는 회원가입 및 계정로그인을 시도하는 로그를 분석하여 [10]에서 언급한 해킹속도, 거래패턴과 패턴이 없는 계정명, VPN IP 사용, 동일한 IP 또는 동일한 IP대역에서 대량으로 시도하는 특징을 도출하여 정의하였다. 이를 통해 대량의 도용 공격은 일반적인 사용자의 로그인과 다른 패턴을 가지고 있다는 것을 알 수 있었다.
본 연구에서는 온라인 게임의 테스트 및 오픈 단계에서 발생한 도용 사례를 분석하여 기존에 제안된 Blacklist DB 기반 시스템의 단점을 보완할 수 있는 도용 IP 및 계정을 실시간으로 차단 할 수 있는 시스템 구축 모델을 제안한다. 게임에서의 부정행위는 게임해킹, 시스템해킹, 계정도용 등 다양한 방법을 이용할 수 있으나, 고도의 해킹 기술을 요구하는 게임 해킹이나 시스템 해킹보다 계정 도용을 이용할 경우 손쉽게 부정행위를 할 수 있다.

제안 방법

해당 시스템은 총 7가지로 구성되어 있다. 기존 시스템에서는 ⑦ Blacklist DB를 구축하여 공격자 IP에 대해 사후 차단하는 방식을 사용한 반면, 본 시스템에서는 ② 인증서버와 ④ 캐시서버를 이용하여 실시간으로 시도되는 로그인 IP와 시간을 분석하고 계정도용 여부를 판단한다. 또한 ⑤ 인증로그서버에 주기적으로 로그를 분석할 수 있는 시스템을 구축하여 인증을 통과한 계정에 대해 재검증을 수행한다.
기존 시스템에서는 ⑦ Blacklist DB를 구축하여 공격자 IP에 대해 사후 차단하는 방식을 사용한 반면, 본 시스템에서는 ② 인증서버와 ④ 캐시서버를 이용하여 실시간으로 시도되는 로그인 IP와 시간을 분석하고 계정도용 여부를 판단한다. 또한 ⑤ 인증로그서버에 주기적으로 로그를 분석할 수 있는 시스템을 구축하여 인증을 통과한 계정에 대해 재검증을 수행한다. 각각의 기능은 아래와 같이 정의 할 수 있다.
[12][13]에서는 능동형 계정도용 체계를 제안하면서 도용당한 계정들의 특징을 언급하고 정책적인 부분과 기술적인 부분에 대한 전통적인 대응방안을 언급하였다. 또한 로그를 기반으로 한 Blacklist DB 구축 및 차단 시스템에 대해 제안하였다.
위의 정책은 인증을 시도한 로그를 분석한 결과를 토대로 적용하였다. 해당 정책은 해커의 공격 패턴이 변경될 수 있기 때문에 로그인 시도 현황, 계정도용 차단 IP 현황, 계정도용 차단 계정 수 등의 추이를 지속적으로 모니터링 할 수 있는 시스템을 구성하여 주기적으로 정책을 업데이트 할 필요가 있다.
[Table 3]의 내용을 보면 사람이 할 수 없는 짧은 시간에 다수의 로그온 시도를 한 것을 확인할 수 있다. 이는 자동화된 도구를 사용하여 계정 로그온을 수행한 것으로 판단되며 이를 확인하기 위해 실제 온라인게임 계정 생성 기록과 로그인 기록을 분석하여 대규모 명의도용, 계정도용 계정의 특징을 도출해 보았다.
그러나 계정도용은 짧은 시간에 이루어진다는 특성으로 인해 실시간으로 탐지 및 차단할 수 없다면 이미 계정도용이 발생한 이후, 사후 대응으로서의 역할 밖에 수행할 수 없다. 이러한 특성을 고려하여 실시간으로 계정도용 IP 및 계정을 탐지하고 차단할 수 있는 시스템을 제안하였다. 실제 해당 시스템을 구현하여 적용한 결과 대량의 계정도용 시도로 피해가 발생한 계정을 현격하게 줄일 수 있었다.
또한 해커들은 검증 정책이 적용되어 있다는 사실을 많은 테스트를 통해 쉽게 감지 할 수 있으며 이를 우회할 수 있는 방법을 찾아 낼 수 있다. 이를 방지하기 위해 인증로그서버에서 로그를 기반으로 다시 한 번 도용 여부 검증을 수행한다.
⑤ 인증로그서버 : 로그인 시도IP, 시간, 성공, 실패 여부를 기록하는 로그서버. 저장된 로그를 기반 으로 주기적으로 정책위반 여부를 검증할 수 있는 프로그램을 실행시켜 정책 위반이 발생 시 해당 정보를 Blacklist DB와 본인인증 DB에 전송함.
실제 해당 시스템을 구현하여 적용한 결과 대량의 계정도용 시도로 피해가 발생한 계정을 현격하게 줄일 수 있었다. 제안한 시스템은 게임사의 계정도용에 대한 피해를 줄일 수 있는 방안을 제시한다. 계정도용이 의심되는 계정을 회사가 설정한 기준에 따라 실시간으로 제한하고 해당 계정에 대한 보호 조치를 취할 수 있다.

성능/효과

게임서비스의 정식 오픈 전·후로 1개월간의 로그인 기록을 기준으로 위에 언급한 계정도용의 특징을 대입해본 결과 일평균 약 400,000건의 로그인 시도 중 약 25,000건의 계정도용이 발생하고 있다는 사실을 확인할 수 있었다.
계정도용의 경우 정식 게임서비스 오픈 3개월 전부터 집중적으로 보유 계정의 유효성 점검을 진행하는 것으로 확인되었다.
국내 주요 게임업체 중 한 곳에서 2013년 MMORPG 게임을 런칭하는 단계인 CBT(Close Bata Test) 12일, OBT(Open Beta Test) 및 상용화 전·후 1개월간의 데이터 셋을 얻어 분석한 결과 명의도용과 계정도용이 주로 발생되는 시기가 [Fig. 3]와 같이 다르다는 것이 확인 되었다.
그러나 제안된 시스템을 구축하여 아래와 같이 1차, 2차 정책을 수립하여 적용한 결과 일평균 약 24,000건에 이르던 계정도용 건수가 [Fig. 10]과 같이 일평균 100건 정도로 줄어든 것을 확인할 수 있었다. 본 시스템은 IP를 기준으로 대량 계정도용을 검증하기 때문에 일반유저가 수동으로 수행하는 적은 건수의 도용을 탐지하고 차단하는 데는 한계가 있지만 수만 건의 계정도용을 100건 이하로 줄이는데 의미가 있다.
대규모 계정도용 시도에 성공한 계정 20개를 표본으로 추출하여 분석한 결과, 게임 접속 후 게임 머니 및 아이템을 탈취하고 접속종료 하는 시간은 3분에서 9분 이내인 것으로 확인되었다.
또한 게임서비스의 상용화 전·후로 비교해 봤을 때 상용화전 지속적이고 대량으로 계정도용을 시도하고, 게임 서비스 오픈 이후 이후에는 도용 성공 건수가 줄어드는 양상을 보였다.
해커들은 게임 내 자산을 불법으로 탈취하기 위한 방법으로 피해 계정이 보유하고 있는 게임머니를 갈취하는 방법을 주로 사용하며, 보유하고 있는 게임 머니를 명의도용으로 생성한 계정으로 전송하거나 아이템을 게임머니로 변환하여 전송하는 방법을 사용한다. 또한 다른 캐릭터로 전송이 가능한 아이템이 존재할 경우 아이템 자체를 해커의 계정으로 전송하여 갈취하는 것으로 확인되었다.
해당 게임사의 총 12일간의 테스트 기간(CBT) 동안 가입한 회원을 대상으로 명의도용의 특징을 적용하여 분석한 결과, 총 458,499 중 456,523건이 명의도용이 발생한 것으로 확인 되었으며, 해당 계정에 대해 오용 탐지 여부를 분석하기 위해 계정을 삭제하지 않고 본인인증을 적용하여 통과하는 경우 정상적인 가입으로 간주하여 분석한 결과 전체 대상 중 442개의 계정만 본인인증을 통과한 것으로 확인되었다. 또한 본인인증을 통과한 계정을 집중 분석해본 결과 172개 계정만 정상적인 계정으로 확인되었다. 나머지 270개 계정은 명의도용의 특징을 보이고 있으며, 악의적인 목적으로 계정을 사용하기 위하여 대부분 대포폰 등 타인의 개인정보를 이용하여 본인인증을 수행한 것으로 분석되었다.
본 논문에서 사용한 게임로그를 분석한 내용을 기반으로 명의도용과 계정도용을 발생시기로 구분 해본 보면 명의도용은 통장계정, 작업장 계정 등 불법으로 사용하기 위해 게임서비스가 오픈되기 전 CBT(Close Bata Test) 기간에 집중적으로 이루어지며, 계정도용은 일반사용자가 게임머니, 게임 아이템 등 가상의 재화를 일정기간 모은 이후, 즉 서비스가 정상 제공된 이후에 집중적으로 발생되는 것으로 확인 되었다. 일부 해커들은 게임서비스 정식 오픈 직전 보유하고 있는 계정의 유효성을 체크하기 위해 지속적으로 로그인 시도를 수행하여 최신의 정보로 지속적으로 업데이트하는 치밀한 모습도 확인 되었다.
본 논문에서 제시한 실시간 IP 및 계정 차단시스템 수동으로 하나씩 인증정보를 입력하여 계정을 도용하는 공격에는 적합하지 않을 수 있으나 대량으로 신속하게 진행되는 공격을 사전에 차단하는 방안으로는 큰 효과를 볼 수 있다. 대량의 게임로그를 분석하여 계정을 제재하는 기존의 빅데이터 시스템 기반의 계정도용 탐지 연구와 결합하면 계정도용을 효과적으로 탐지 및 차단할 수 있는 시스템으로 활용할 수 있을 것으로 판단되며, 게임이용자의 자산을 보호하는데 도움을 줄 수 있을 것으로 기대한다.
본 논문에서 제안한 IP/계정 실시간 차단시스템을 적용하기 전 1개월 간의 계정도용 현황을 분석해본 결과 [Fig. 9]와 같이 일일 최저 약 1,000건에서 최고 약 50,000건까지 발생하는 것을 확인할 수 있었다.
본 논문에서 제안한 계정도용차단 시스템을 적용하기 전·후를 비교해 보면 [Fig. 11]과 같이 계정 도용 차단 시스템을 적용할 경우 계정도용이 현격하게 줄어든 것을 확인할 수 있다.
이러한 특성을 고려하여 실시간으로 계정도용 IP 및 계정을 탐지하고 차단할 수 있는 시스템을 제안하였다. 실제 해당 시스템을 구현하여 적용한 결과 대량의 계정도용 시도로 피해가 발생한 계정을 현격하게 줄일 수 있었다. 제안한 시스템은 게임사의 계정도용에 대한 피해를 줄일 수 있는 방안을 제시한다.
위 분석 결과를 조합해 보면 해커는 보유하고 있는 계정의 지속적인 유효성 체크를 통해 최신의 계정 정보를 유지하고 자동화된 공격도구를 이용하여 계정을 도용하고 있으며, 짧은 시간에 피해 계정의 재화를 갈취하고 종료하는 것을 확인 할 수 있다. 이렇게 대규모·자동화된 툴을 이용한 공격은 실시간 또는 몇 분 안에 대응해야만 이용자의 중요한 자산을 보호할 수 있다는 사실이 확인되었다.
이렇게 대규모·자동화된 툴을 이용한 공격은 실시간 또는 몇 분 안에 대응해야만 이용자의 중요한 자산을 보호할 수 있다는 사실이 확인되었다.
본 연구는 회원가입 및 계정로그인을 시도하는 로그를 분석하여 [10]에서 언급한 해킹속도, 거래패턴과 패턴이 없는 계정명, VPN IP 사용, 동일한 IP 또는 동일한 IP대역에서 대량으로 시도하는 특징을 도출하여 정의하였다. 이를 통해 대량의 도용 공격은 일반적인 사용자의 로그인과 다른 패턴을 가지고 있다는 것을 알 수 있었다. 계정도용은 짧은 시간에 대량으로 발생하고 있으며, 다양한 게임로그를 활용하면 좀 더 정교하고 명확한 계정도용을 탐지 할 수 있다.
해당 게임사의 총 12일간의 테스트 기간(CBT) 동안 가입한 회원을 대상으로 명의도용의 특징을 적용하여 분석한 결과, 총 458,499 중 456,523건이 명의도용이 발생한 것으로 확인 되었으며, 해당 계정에 대해 오용 탐지 여부를 분석하기 위해 계정을 삭제하지 않고 본인인증을 적용하여 통과하는 경우 정상적인 가입으로 간주하여 분석한 결과 전체 대상 중 442개의 계정만 본인인증을 통과한 것으로 확인되었다. 또한 본인인증을 통과한 계정을 집중 분석해본 결과 172개 계정만 정상적인 계정으로 확인되었다.

후속연구

본 논문에서 제시한 실시간 IP 및 계정 차단시스템 수동으로 하나씩 인증정보를 입력하여 계정을 도용하는 공격에는 적합하지 않을 수 있으나 대량으로 신속하게 진행되는 공격을 사전에 차단하는 방안으로는 큰 효과를 볼 수 있다. 대량의 게임로그를 분석하여 계정을 제재하는 기존의 빅데이터 시스템 기반의 계정도용 탐지 연구와 결합하면 계정도용을 효과적으로 탐지 및 차단할 수 있는 시스템으로 활용할 수 있을 것으로 판단되며, 게임이용자의 자산을 보호하는데 도움을 줄 수 있을 것으로 기대한다.
본 시스템은 IP를 기준으로 대량 계정도용을 검증하기 때문에 일반유저가 수동으로 수행하는 적은 건수의 도용을 탐지하고 차단하는 데는 한계가 있지만 수만 건의 계정도용을 100건 이하로 줄이는데 의미가 있다. 차단되지 않은 100건에 대해서는 게임로그를 분석하여 계정도용을 판별하는 기존 탐지방안을 통해 추가 차단할 수 있을 것으로 판단된다.

질의응답

핵심어	질문	논문에서 추출한 답변
	개인 정보 유출 사고로 인해 어떤 악영향이 있는가?	개인정보가 유출되는 경로는 웹사이트 해킹, 내부자 및 협력업체 인력을 통한 유출, 악성코드에 의한 계정탈취, 피싱(phishing), 스미싱(smishing) 등 다양 하지만 대규모 개인정보 유출은 고도화된 해킹기술로 인한 유출과 관리체계 부실에 의한 내 · 외부자의 고의적인 유출로 발생한다. 이러한 개인 정보 유출 사고는 국민들로 하여금 내 정보가 범죄에 사용될지 모른다는 사회적 불안감을 조성하고 있으며, 실제로 유출된 개인정보는 불법으로 판매 되어 명의도용, 계정도용, 불법 마케팅 등에 사용되고 있다.
	대규모 개인정보 유출은 어떻게 발생하는가?	개인정보가 유출되는 경로는 웹사이트 해킹, 내부자 및 협력업체 인력을 통한 유출, 악성코드에 의한 계정탈취, 피싱(phishing), 스미싱(smishing) 등 다양 하지만 대규모 개인정보 유출은 고도화된 해킹기술로 인한 유출과 관리체계 부실에 의한 내 · 외부자의 고의적인 유출로 발생한다. 이러한 개인 정보 유출 사고는 국민들로 하여금 내 정보가 범죄에 사용될지 모른다는 사회적 불안감을 조성하고 있으며, 실제로 유출된 개인정보는 불법으로 판매 되어 명의도용, 계정도용, 불법 마케팅 등에 사용되고 있다.
	대규모 명의도용, 계정도용 계정의 특징은 무엇인가?	① 패턴이 없는 계정명 : 대량 명의도용 회원가입은 일반 사용자와 다르게 비정형화된 의미 없는 문자열로 계정을 생성하거나 대량의 연속적인 계정명으로 생성이 된다. ② VPN IP 사용 : 대부분의 게임사에서 로그인 가능한 국가 대역을 지정하여 IP기반으로 차단을 수행하고 있으며, 공격자는 접속한 위치나 실제 접속IP를 숨기기 위해 VPN 서비스를 이용한다. ③ 동일한 IP 또는 IP대역 대량으로 시도 : 수십 개에서 수천 개까지 대량으로 회원가입 및 도용을 시도한다. ④ 짧은 시간에 시도 : 1분에 3개에서 50개까지 빠른 속도로 회원가입 및 계정 로그인을 시도한다.

참고문헌 (13)

Sun Tae Park, "2013년 주요 침해사고 사례와 대응", 2013 Annuual Security User's Festival, pp. 3, Dec. 2013.
Open Expert Group, http://www.openeg.co.kr/490, 국내 주요 해킹 사례, May 2014.
Statistics Korea, http://www.index.go.kr/potal/main/EachDtlPageDetail.do?idx_cd1366, 2015년 개인정보침해신고 상담 건수 통계, Jan. 2016.
Blizzard Entertainment, "Account Security: General Tips - World of Warcraft (WoW)", "http://www.vidqt.com/id/nW6SytPikDM?lang ko", Sept. 2011.
Myeong Hwan Kim, "이상행위와 Entropy를 이용한 계정도용 탐지 모델", 고려대학교 정보보호대학원 학위논문, pp. 4, Dec. 2012.
J. Yan and B. Randell, "An Investigation of Cheating in Online Games", IEEE Security and Privacy, Vol. 7, pp. 37-44, 2009.

상세보기
Y. C. Chen, P. S. Chen, J. J. Hwang, L.Korba, R. Song, and G. Yee, "An Analysis of Online Gaming Crime Characteristics", Internet Research, Vol. 15, pp. 246-261, 2005.

상세보기
Dong Gyu Kim, "온라인게임계정 도용방지 시스템", 특허청, May. 2007.
Mi Gee Lee, Sung Ho Kim, "온라인 게임에서의 도용계정 검출시스템 및 그 방법", KIPO, Aug. 2011.
Hwa Jae Choi, Ji young Woo, Huy Kang Kim, "Online Game Identity Theft Detection Model based on Hacker's Behavior Analysis", Journal of Korea Game Society, Vol.11, No.6, pp. 81-94, Dec. 2011.
Hana Kim, Byung Il Kwak, Huy Kang Kim, "A Study on the Identity Theft Detection Model in MMORPGs", Journal of The Korea Institute of Information Security & Cryptology, Vol.25, NO.3, Jun. 2015.
Huy Kang Kim, "국내포털, 게임사를 위한 능동형 계정도용 대응 체계", 정보통신망 정보보호 워크샾 "NETSEC-KR 2011", pp. 12-25, Apr. 2011.
Hwa Jae Choi, Huy Kang Kim, "온라인 게임의 로그정보를 이용한 계정 도용 방지 방법", KIPO, Feb. 2013.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format