[논문]S.O.S : Shield of Steam API 콜 버스마크 기반의 온라인 게임 ESD DRM 보호

오동빈; 김휘강

doi:10.13089/jkiisc.2018.28.6.1297

S.O.S : Shield of Steam API 콜 버스마크 기반의 온라인 게임 ESD DRM 보호
S.O.S : Shield of Steam Protection Based on API Call Birthmark in Online Game ESD DRM 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.28 no.6, 2018년, pp.1297 - 1307

오동빈 (고려대학교 정보보호대학원) , 김휘강 (고려대학교 정보보호대학원)

초록
AI-Helper

Steam과 같은 온라인 게임 ESD(Electronic Software Distribution)이 등장하면서 게임 불법 복제 방법도 다양화되고 있다. 온라인 게임 ESD에서는 오프라인에서도 게임을 플레이할 수 있어야한다는 특징 때문에 소프트웨어 DRM을 이용하고 있다. 그러나 기본적으로 제공하는 보안 수준이 낮아 쉽게 우회되고 있는 것이 현실이다. 본 연구에서는 불법 복제된 게임의 크랙을 분석하여 Steam DRM을 우회하는 방법에 대해 알아보고 API 콜 버스마크를 이용해 DRM을 보호하는 방법을 개발하였다. 생성한 버스마크는 크랙 그룹을 나타내는 데 있어 85% 이상의 강인성을 보였고, 크랙 여부를 탐지하는 데 95%의 신뢰성을 보였다. 수행한 연구를 통해 온라인 게임 ESD의 보안 향상을 도모할 수 있고, Third Party DRM을 구매할 수 없는 영세한 인디게임 개발자들에게도 일정 수준 이상의 게임 복제 방지 기능을 제공할 수 있다는데 의의가 있다.

Abstract ▼ AI-Helper

The rise of Online game ESD(Electronic Software Distribution) like Steam, the method of game piracy are more diversified. In Online Game ESD, Software DRM is applied to game because we have to play in offline situation, but it is easily bypassed due to low security level. In this study, we analyze crack files of pirated games to learn how to bypass Steam DRM and to establish countermeasures for based on API call birthmark. The generated birthmark showed more than 85% resilience in representing crack groups and 95% credibility in detecting cracked games. With this study, it is possible to enhance the security of the online game Electronic Software Distribution platform, and to provide a high level of game piracy protection for indie game developers, especially those who can not purchase Third Party DRM to protect their own games.

주제어

표/그림 (12)

그림 Fig. 1. Structure of Steam DRM Version 2.x
그림 Fig. 2. Structure of Steam DRM Version 3.0
그림 Fig. 3. Use Protection iD to detect Steam Stub
표 Table 1. Security Features of Steam DRM
그림 Fig. 4. Overview of S.O.S (Shield of Steam)
표 Table 2. Example of Dll Emulating
표 Table 3. Dll Search Order
표 Table 4. Dataset Description
표 Table 5. Patternized Function list
표 Table 6. Rules to map Parameter
표 Table 7. Result of Resilience Test
표 Table 8. Result of Credibility Test

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

본 논문에서는 API 콜 버스마크를 이용한 온라인 게임 ESD의 DRM 보호 방법을 개발하였다. 생성한 버스마크를 검증하기 위해 강인성과 신뢰성을 수집한 게임을 대상으로 실험하였다.
DRM은 소프트웨어를 불법 복제로부터 보호할 수 있는 보호 메커니즘과 구매자의 라이센스 권한을 프로그램이 알아낼 수 있는 라이센스 정책이라는 두 가지의 기능으로 이루어져 있다[7]. 본 논문에서는 게임 ESD의 DRM을 보호를 통한 불법 복제 방지 측면인 보호 메커니즘 기능의 DRM에 초점을 맞추고자 한다. 불법 복제 방지를 위해 진행되는 연구는 하드웨어를 이용한 DRM과 소프트웨어를 이용한 DRM에 대한 연구로 분류할 수 있다.
부정행위에 대한 조치는 온라인 게임이 제공되는 환경과 상황을 고려해서 대응하도록 설계해야한다 [6]. 본 논문은 게임 불법 복제를 막기 위해 온라인 게임 ESD의 DRM을 보호하는 방법을 개발하고자 한다. 2장에서는 기존의 소프트웨어 불법 복제 방지를 위하여 DRM과 관련한 어떠한 연구가 진행되었는지 알아보고 게임 크랙 파일의 고유한 특징을 추출하기 위해 소프트웨어 버스마크와 관련된 연구를 살펴본다.
실험 결과 유사한 기능을 가지고 있지만 실제 소프트웨어는 다른 경우에는 10% 미만으로 유사도가 나타났고 세부 버전만 다른 동일 소프트웨어에 대해서는 60% 이상의 유사도를 보여주었다. 이 연구는 API 콜을 뽑을 필요 없이 실행 파일 구조만 이용하여 버스마크를 추출할 수 있다는 것에 강점이 있다. Choi 등[15]의 연구에서는 IDA 디스어셈블러를 이용해 Code Graph를 생성하고 버스마크로 사용했다.

제안 방법

API 콜을 수집하기 위해 마이크로스프트에서 개발한 Detours라는 소프트웨어 패키지를 활용하였다. Detours는 실행 파일의 API를 후킹하여 API 콜을 모니터링하거나 API 콜을 이용하는 데 사용할 수 있다.
강인성 실험에서 대부분의 크랙 그룹의 자신을 나타내는 크랙 그룹 버스 마크 유사도의 평균이 약 88%로 나타났으므로, 신뢰성 실험에서 사용할 유사도의 임계값을 88%로 설정하였다. 게임 버스마크의 유사도가 88% 이상일 경우 크랙된 게임으로 판단하였고, 88% 미만일 경우 크랙되지 않은 게임으로 판단하여 버스마크의 신뢰성을 검증하는 실험을 진행하였다.
또한 다양한 윈도우 운영체제 환경에서 작동할 수 있다는 장점이 있다[22]. 게임 실행 파일 내에서 API 콜을 추출하기 위해 Detours를 이용해 게임 소프트웨어를 실행하고 나타나는 API 콜들을 텍스트 파일로 저장하였다.
게임 크랙 그룹 버스마크의 강인성을 판단하기 위해 수집한 46개의 게임 실행 파일에 대해 생성한 크랙 그룹 버스마크와 유사도를 비교한 후 평균을 내어각 그룹 버스마크가 그룹의 특징을 대표하고 있는지를 확인하였다. 실험을 진행한 결과, 강인성 평가에 사용된 4가지 크랙 게임 그룹 모두 자신의 그룹에서 생성한 버스마크에서 85% 이상의 유사도를 보이면서 높은 강인성을 나타내고 있었다.
게임 파일의 크랙 여부를 확인하기 위해서는 생성한 버스마크와 사전에 크랙 그룹의 고유한 버스마크 간의 유사도를 측정하였다.
김종우 등[9]은 네트워크에서의 디지털 콘텐츠의 보호를 위하여 DRM 프레임을 재설계하였다. 디지털 콘텐츠에 실행 파일 구조를 가지는 시큐어 컨테이너를 이용하여 콘텐츠를 암호화하여 보호하고 실행 시 복호화 하여 실행한다. 복제가 되더라도 하드웨어 고유 정보로 암호화하였기 때문에 다른 컴퓨터 환경에서는 실행되지 않는다.
생성한 버스마크를 사전에 생성된 크랙 그룹의 버스마크와 비교하여 특정 크랙 그룹의 버스마크와 유사도가 88% 이상으로 나타나면 크랙 게임으로 판단하고 게임 프로세스를 종료하게 된다. 만약 모든 크랙 그룹과의 버스마크 유사도가 88% 미만이라면 크랙되지 않은 게임으로 판단하고 게임이 실행되게 되도록 크랙 여부 모니터링 방안을 구상하였다.
Kim 등[16]의 연구에서는 API 콜 빈도를 이용해 버스마크를 생성하였다. 목표가 되는 어플리케이션에 주요 함수들이 실행되는 빈도를 기반으로 버스마크를 만들어 코사인 유사도를 이용해 유사도를 측정하였다. 생성한 유사도는 동일 소프트웨어이지만 다른 버전을 가졌을 경우 99% 이상의 유사도를 보였다.
이를 이용해 Steam 게임을 실행함에 있어서 특정 패턴의 빈도와 중요도를 기반으로 크랙 그룹 별 특징을 판별할 수 있다. 생성된 버스마크 각각을 하나의 문서로 취급하여 버스마크 간의 단어 빈도와 역 문서 빈도를 계산하였다. 위의 방법으로 문서를 구성하는 단어, 즉 버스마크를 구성하는 패턴에 세분화된 가중치를 부여할 수 있다.
함수와 변수의 포인터를 이용한 정보를 기반으로 버스마크를 생성하였다. 생성한 버스마크를 기반으로 유사한 기능을 가지고 있지만 다른 소프트웨어인 경우, 같은 소프트웨어지만 세부 버전이 다른 경우에 대하여 유사도를 측정하였다. 실험 결과 유사한 기능을 가지고 있지만 실제 소프트웨어는 다른 경우에는 10% 미만으로 유사도가 나타났고 세부 버전만 다른 동일 소프트웨어에 대해서는 60% 이상의 유사도를 보여주었다.
선별된 API 콜을 이용해 패턴을 생성하기 위해 매핑을 진행하였다. 매핑은 일반적인 API 호출을 포함 하여 Public 계정의 디렉터리에 접근하거나 특정 크랙 그룹과 관련된 디렉터리 생성, Steam 관련된 문자열 비교와 같은 정상적으로 Steam을 통해 게임을 실행시켰을 때에는 나타나지 않는 API 콜과 변수를 대상으로 하였다.
선별한 14개의 함수로부터 함수 별 최대 6개의 변수가 나타낼 수 있는 특징들을 이용하여 총 55 종류의 패턴을 생성하여 크랙 그룹의 버스마크를 생성하였다.
실험 결과 크랙 그룹의 자체적인 특징을 나타내는 강인성의 경우 각 그룹 모두 자신의 그룹에서 85% 이상의 유사도를 보이는 것으로 나타났고, 신뢰성의 경우 약 95%의 정확도를 기반으로 크랙 그룹을 탐지하는 버스마크를 생성했음을 알 수 있었다. 신뢰성과 강인성이 검증된 버스마크를 사용해서 파이썬으로 만든 디버거를 이용해 크랙된 Steam 게임을 탐지하는 모니터링 프로그램을 제작할 수 있었다.
소프트웨어를 위한 버스마크에서 강인성은 동일 소소코드라도 난독화나 컴파일러를 이용하여 소프트웨어에 변화가 있더라도 같은 소프트웨어임을 나타낼 수 있는 정도를 의미한다. 신뢰성은 같은 기능을 가진 소프트웨어이지만 명백히 다른 소프트웨어일 경우에 다르다고 판단할 수 있는 기준으로 버스마크를 테스트할 수 있다, 본 논문에서는 소프트웨어가 아닌 크랙 그룹에서 사용하는 크랙 방식을 기반으로 버스마크를 생성하였다. 크랙 그룹의 API 호출 시퀀스를 기반으로 생성된 버스마크 또한 신뢰성과 강인성을 평가할 수 있다.
위의 두 가지 실험을 통해 버스마크의 신뢰성과 강인성을 모두 검증하였다. API 호출 기반 버스마크를 생성한 데이터로부터 신뢰성을 검증한 결과 각 크랙 그룹의 버스마크의 신뢰도가 평균 85% 이상 나타났고, 강인성 실험의 경우 약 95%의 정확도를 기반으로 게임의 크랙 여부를 판단할 수 있었다.
게임 파일의 크랙 여부를 확인하기 위해서는 생성한 버스마크와 사전에 크랙 그룹의 고유한 버스마크 간의 유사도를 측정하였다. 유사도 측정을 위해 TF-IDF를 이용하여 크랙 게임 버스마크를 벡터로 변환하였다. TF-IDF는 문자열에 있는 특정 요소가 얼마나 자주 등장하는지를 나타내는 통계적 값으로 변환할 때 주로 사용한다[24].
동적 버스마크의 경우 정적 버스마크와 달리 소프트웨어가 실행되기 전에 초기화하는 과정을 버스마크로 생성할 수 있다. 이를 이용해 크랙 게임 소프트웨어 자체의 버스마크를 생성하는 것이 아니라, 각 크랙 그룹에서 게임을 크랙하기 위해 사용하는 방법에 대한 버스마크를 생성하여 유사도를 측정해 크랙 여부를 탐지하는 데 사용하였다.
전 처리된 버스마크를 동일한 그룹의 다른 크랙된 게임으로부터 추출한 버스마크들과 LCS(Longest Common Substring) 알고리즘을 이용해 공통 문자열을 생성하고 게임 크랙 그룹의 고유한 버스마크로 활용하였다.
55개의 패턴을 기반으로 매핑된 버스마크는 전처리 과정을 거친다. 전처리 방법으로는 버스마크 내의 단순히 반복되는 패턴에서 중복된 부분을 제거하는 방법을 사용하였다. 사용자 환경에 따라 반복문을 이용해 게임 실행 환경을 세팅하는 경우와 같이 실제로는 동일한 행위이지만 의미 없이 패턴의 길이를 증가시키는 경우에는 동일 행위로 치환하여 버스마크의 길이를 줄일 수 있다[23].
IAT는 실행 파일에서 사용하는 함수와 변수의 포인터를 가지고 있는 테이블이다[14]. 함수와 변수의 포인터를 이용한 정보를 기반으로 버스마크를 생성하였다. 생성한 버스마크를 기반으로 유사한 기능을 가지고 있지만 다른 소프트웨어인 경우, 같은 소프트웨어지만 세부 버전이 다른 경우에 대하여 유사도를 측정하였다.
버스마크의 신뢰성을 테스트하기 위해서는 마이너 크랙 그룹에서 크랙한 게임과 Steam을 통해 정상적으로 받은 크랙되지 않은 게임을 대상으로 하였다. 해당 게임들로부터 동일한 방법으로 버스마크를 생성한 뒤 기존에 생성한 4가지 그룹의 버스마크와 유사도를 측정하는 방법으로 실험을 진행하였다.

대상 데이터

게임을 크랙하는데 사용되는 Dll 파일과 게임을 실행하는 데 사용되는 exe 파일을 대상으로 역공학을 이용해 API 콜 중 게임 크랙과 관련된 함수 14개를 선정하였다. 선정한 함수는 파일시스템 접근, 문자열 비교, 라이브러리 로드와 기타 게임 실행에 필요한 함수를 대상으로 하였다.
실험을 위해 크랙이 적용된 Steam 게임 65개와 크랙되지 않은 게임 19개를 수집하였다. 그 중 메이저 크랙 그룹의 고유한 버스마크를 생성하기 위해 4개의 메이저 게임 크랙 그룹으로부터 제작된 46개의 크랙된 게임 파일을 이용하였다. 나머지 38개의 마이너 크랙 그룹의 크랙 게임과 크랙되지 않은 게임은 버스마크의 신뢰성을 검증하는데 사용하였다.
선별된 API 콜을 이용해 패턴을 생성하기 위해 매핑을 진행하였다. 매핑은 일반적인 API 호출을 포함 하여 Public 계정의 디렉터리에 접근하거나 특정 크랙 그룹과 관련된 디렉터리 생성, Steam 관련된 문자열 비교와 같은 정상적으로 Steam을 통해 게임을 실행시켰을 때에는 나타나지 않는 API 콜과 변수를 대상으로 하였다.
버스마크를 테스트하기 위해서는 강인성과 신뢰성을 대상으로 한다. 소프트웨어를 위한 버스마크에서 강인성은 동일 소소코드라도 난독화나 컴파일러를 이용하여 소프트웨어에 변화가 있더라도 같은 소프트웨어임을 나타낼 수 있는 정도를 의미한다.
버스마크의 신뢰성을 테스트하기 위해서는 마이너 크랙 그룹에서 크랙한 게임과 Steam을 통해 정상적으로 받은 크랙되지 않은 게임을 대상으로 하였다. 해당 게임들로부터 동일한 방법으로 버스마크를 생성한 뒤 기존에 생성한 4가지 그룹의 버스마크와 유사도를 측정하는 방법으로 실험을 진행하였다.
본 논문에서는 API 콜 버스마크를 이용한 온라인 게임 ESD의 DRM 보호 방법을 개발하였다. 생성한 버스마크를 검증하기 위해 강인성과 신뢰성을 수집한 게임을 대상으로 실험하였다. 실험 결과 크랙 그룹의 자체적인 특징을 나타내는 강인성의 경우 각 그룹 모두 자신의 그룹에서 85% 이상의 유사도를 보이는 것으로 나타났고, 신뢰성의 경우 약 95%의 정확도를 기반으로 크랙 그룹을 탐지하는 버스마크를 생성했음을 알 수 있었다.
게임을 크랙하는데 사용되는 Dll 파일과 게임을 실행하는 데 사용되는 exe 파일을 대상으로 역공학을 이용해 API 콜 중 게임 크랙과 관련된 함수 14개를 선정하였다. 선정한 함수는 파일시스템 접근, 문자열 비교, 라이브러리 로드와 기타 게임 실행에 필요한 함수를 대상으로 하였다. 선정한 함수를 기반으로 SteamAPI를 초기화하는 SteamAPI_Init이 호출되기 전까지의 API 콜을 선별하였다.
실험을 위해 크랙이 적용된 Steam 게임 65개와 크랙되지 않은 게임 19개를 수집하였다. 그 중 메이저 크랙 그룹의 고유한 버스마크를 생성하기 위해 4개의 메이저 게임 크랙 그룹으로부터 제작된 46개의 크랙된 게임 파일을 이용하였다.

이론/모형

복제 방지를 위해서는 보안 강도가 높아야하며 범용적 사용을 위해서는 비용이 저렴해야하며 사용이 편리해야한다. 고안한 보안 칩내부에는 역공학 방지에 강력한 KSE96이라는 암호 알고리즘을 사용하였다. 그러나 Steam과 같은 온라인 게임 ESD에서는 게임 소프트웨어를 인터넷을 이용하여 구매하고 다운로드 받기 때문에 하드웨어 장치를 사용하는 것은 물리적 한계가 있고 온라인으로 구매, 유통, 판매되는 온라인 게임 ESD라는 서비스 특성과 어울리지 못한다는 문제가 있다.
본 논문에서는 API 콜 호출 빈도를 이용한 동적 버스마크를 이용하였다. 동적 버스마크의 경우 정적 버스마크와 달리 소프트웨어가 실행되기 전에 초기화하는 과정을 버스마크로 생성할 수 있다.
매개변수에 따른 실행 결과가 변하는 것을 고려하지 않고 함수 자체만 고려하였다. 생성된 버스마크는 준 전체 정렬 알고리즘을 이용하여 유사도를 측정하였다. 실험 결과 같은 소프트웨어이지만 세부 버전이 다른 경우 82%, 같은 기능을 가지고 있지만 프로그램이 다른 경우 68%로 유사도가 측정되었다.

성능/효과

위의 두 가지 실험을 통해 버스마크의 신뢰성과 강인성을 모두 검증하였다. API 호출 기반 버스마크를 생성한 데이터로부터 신뢰성을 검증한 결과 각 크랙 그룹의 버스마크의 신뢰도가 평균 85% 이상 나타났고, 강인성 실험의 경우 약 95%의 정확도를 기반으로 게임의 크랙 여부를 판단할 수 있었다. 강인성 실험에서 크랙된 게임 중에서 실제로 크랙되었다고 탐지된 경우의 유사도와 크랙되지 않은 게임 중에서 실제로 크랙되었다고 판단하지 않은 경우의 버스마크의 유사도가 각각 약 94%와 약 69%로 나타남을 알 수 있었다.
그러나 온라인 게임 ESD에서 사용하는 소프트웨어 DRM은 게임 크랙 그룹에 의해 쉽게 우회되어 게임 불법 복제 시장에 유포되고 있는 현실이다[4]. Crackwatch[5]에서 제공하는 온라인 게임 ESD 별 크랙 출시 정보와 게임 출시 정보, 크랙 개발 그룹의 정보를 조사한 결과, Steam DRM을 이용한 최근 200개의 게임은 평균적으로 14일 이내에 크랙 되었고, 200개의 게임 중 80% 이상이 게임 출시 후 1일 이내에 크랙되었다. 나머지 20% 이하에 해당하는 게임 크랙에 2주 이상 소모되었다.
강인성 실험을 기반으로 신뢰성에서 마이너 크랙 그룹에서 크랙한 Steam 게임과 크랙되지 않은 Steam 게임에 대해 크랙 여부를 판단할 수 있는 유사도의 임계값을 설정해야한다. 강인성 실험에서 대부분의 크랙 그룹의 자신을 나타내는 크랙 그룹 버스 마크 유사도의 평균이 약 88%로 나타났으므로, 신뢰성 실험에서 사용할 유사도의 임계값을 88%로 설정하였다. 게임 버스마크의 유사도가 88% 이상일 경우 크랙된 게임으로 판단하였고, 88% 미만일 경우 크랙되지 않은 게임으로 판단하여 버스마크의 신뢰성을 검증하는 실험을 진행하였다.
API 호출 기반 버스마크를 생성한 데이터로부터 신뢰성을 검증한 결과 각 크랙 그룹의 버스마크의 신뢰도가 평균 85% 이상 나타났고, 강인성 실험의 경우 약 95%의 정확도를 기반으로 게임의 크랙 여부를 판단할 수 있었다. 강인성 실험에서 크랙된 게임 중에서 실제로 크랙되었다고 탐지된 경우의 유사도와 크랙되지 않은 게임 중에서 실제로 크랙되었다고 판단하지 않은 경우의 버스마크의 유사도가 각각 약 94%와 약 69%로 나타남을 알 수 있었다. 약 25%의 유사도의 차이는 크랙 여부에 따라 호출되는 API에 차이가 있음을 의미한다.
5장에서는 제안한 방법에 따라 버스마크를 생성하고 생성한 버스마크를 강인성과 신뢰성에 따라 검증하였다. 검증 결과, 게임 크랙 그룹에 대해서는 85% 이상의 버스 마크 강인성이 나타났고 크랙 여부를 판단하는 데 있어서는 95%의 신뢰성을 나타내었다. 6장에서는 실험 결과를 종합하고 실험에서의 한계와 향후 연구에 대하여 제시하였다.
Choi 등[15]의 연구에서는 IDA 디스어셈블러를 이용해 Code Graph를 생성하고 버스마크로 사용했다. 생성한 Code Graph는 가중치 이분 그래프 정합 방법을 이용하여 유사도를 계산하였고 같은 소프트웨어이지만 세부 버전이 다른 경우 90%의 유사도를 보였다.
목표가 되는 어플리케이션에 주요 함수들이 실행되는 빈도를 기반으로 버스마크를 만들어 코사인 유사도를 이용해 유사도를 측정하였다. 생성한 유사도는 동일 소프트웨어이지만 다른 버전을 가졌을 경우 99% 이상의 유사도를 보였다.
약 25%의 유사도의 차이는 크랙 여부에 따라 호출되는 API에 차이가 있음을 의미한다. 수집한 게임 데이터가 늘어나면 크랙 그룹에서 사용하는 크랙 방법이 반영된 더 정확한 버스마크가 생성되어 크랙 게임에서는 유사도가 더 높게, 크랙되지 않은 게임에서는 유사도가 더 낮게 측정되어 더욱 명백한 크랙 여부를 판단할 수 있을 것이다.
생성된 버스마크는 준 전체 정렬 알고리즘을 이용하여 유사도를 측정하였다. 실험 결과 같은 소프트웨어이지만 세부 버전이 다른 경우 82%, 같은 기능을 가지고 있지만 프로그램이 다른 경우 68%로 유사도가 측정되었다. Kim 등[16]의 연구에서는 API 콜 빈도를 이용해 버스마크를 생성하였다.
생성한 버스마크를 기반으로 유사한 기능을 가지고 있지만 다른 소프트웨어인 경우, 같은 소프트웨어지만 세부 버전이 다른 경우에 대하여 유사도를 측정하였다. 실험 결과 유사한 기능을 가지고 있지만 실제 소프트웨어는 다른 경우에는 10% 미만으로 유사도가 나타났고 세부 버전만 다른 동일 소프트웨어에 대해서는 60% 이상의 유사도를 보여주었다. 이 연구는 API 콜을 뽑을 필요 없이 실행 파일 구조만 이용하여 버스마크를 추출할 수 있다는 것에 강점이 있다.
생성한 버스마크를 검증하기 위해 강인성과 신뢰성을 수집한 게임을 대상으로 실험하였다. 실험 결과 크랙 그룹의 자체적인 특징을 나타내는 강인성의 경우 각 그룹 모두 자신의 그룹에서 85% 이상의 유사도를 보이는 것으로 나타났고, 신뢰성의 경우 약 95%의 정확도를 기반으로 크랙 그룹을 탐지하는 버스마크를 생성했음을 알 수 있었다. 신뢰성과 강인성이 검증된 버스마크를 사용해서 파이썬으로 만든 디버거를 이용해 크랙된 Steam 게임을 탐지하는 모니터링 프로그램을 제작할 수 있었다.
실험 결과, 실제로 크랙되었지만 버스마크를 이용해 크랙되었다고 예측된 경우 약 95%의 탐지율을 보였고 크랙되지 않았지만 크랙된 게임이라고 판단하는 약 10%의 오류를 나타내고 있었다.
게임 크랙 그룹 버스마크의 강인성을 판단하기 위해 수집한 46개의 게임 실행 파일에 대해 생성한 크랙 그룹 버스마크와 유사도를 비교한 후 평균을 내어각 그룹 버스마크가 그룹의 특징을 대표하고 있는지를 확인하였다. 실험을 진행한 결과, 강인성 평가에 사용된 4가지 크랙 게임 그룹 모두 자신의 그룹에서 생성한 버스마크에서 85% 이상의 유사도를 보이면서 높은 강인성을 나타내고 있었다. 다른 크랙 그룹과 크랙 그룹이 사용하는 Steam 게임의 크랙 방법인 Dll Emulation이나 Dll Search Order Hijacking과 같이 게임 크랙에 사용하는 방법은 유사하지만 파라미터에 들어가는 변수 이름과 같이 세부적인 사항에서만 차이가 존재하기에 높은 유사도를 나타낸다고 볼 수 있다.

후속연구

추가적으로, 게임 크랙과 관련된 데이터를 더 확보해서 단순히 게임의 크랙 여부 탐지뿐 아니라 게임 크랙 파일이 어떠한 크랙 그룹에서 개발되었는지 탐지할 수 있는 게임 크랙 그룹 프로파일링 기법을 개발하는 연구를 진행하고자 한다.
또한 탐지되는 속도의 측면에서 실제 게임 서비스에 적용하여 온라인 상으로 서비스하기에는 느리다는 한계가 있었다. 추후 연구에서는 경량화된 알고리즘을 적용하여 탐지 속도를 높일 수 있을 것이다. 후킹 탐지 회피와 관련해서는 Windows에서 유저 모드의 API를 이용한 후킹이 아니라 커널 모드에서의 후킹과 같은 다양한 후킹 탐지 회피 기법을 이용할 것이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	온라인 게임 ESD에서 구매한 게임 파일이 실행되려면 무엇을 거쳐야 하는가?	온라인 게임 ESD는 게임 구매자들에게 온라인으로 인증 절차를 거친 이후 구매한 게임 파일이 실행된다. 하지만 매번 게임을 플레이할 때마다 온라인으로 인증을 받는 방법은 온라인 인증을 받을 수 없는 오프라인 환경에서는 자신이 구매한 게임을 플레이할 수 없는 상황이 발생한다.
	DRM은 어떤 기능으로 이루어져 있는가?	DRM은 소프트웨어를 불법 복제로부터 보호할 수 있는 보호 메커니즘과 구매자의 라이센스 권한을 프로그램이 알아낼 수 있는 라이센스 정책이라는 두 가지의 기능으로 이루어져 있다[7]. 본 논문에서는 게임 ESD의 DRM을 보호를 통한 불법 복제 방지 측면인 보호 메커니즘 기능의 DRM에 초점을 맞추고자 한다.
	소프트웨어 버스마크를 생성하는 방법 중 정적 특징을 이용한 것과, 동적 특징을 이용한 것에 대한 설명은 무엇인가?	소프트웨어 버스마크를 생성하는 방법은 정적인 특징을 이용한 방법과 동적인 특징을 이용한 방법이 있다. 정적 특징을 이용한 버스마크는 실행시키지 않고 소프트웨어 내부의 코드를 기반으로 생성한다. 동적 특징을 이용한 버스마크는 소프트웨어를 실행하여 시스템에 나타나는 변화를 기반으로 생성한다[12].

참고문헌 (25)

KOCCA, "White paper on Korean Games", Dec. 2012
VPNrank, "Best Game Torrents Sites", https://www.vpnranks.com/best-gametorrents-sites/, Aug, 2018.
Ji-young Woo, Huy-Kang Kim. "Survey and research direction on online game security." Proceedings of the Workshop at SIGGRAPH Asia. ACM, 2012.
Game Donga, "the history of crack group", http://game.donga.com/51123/
CrackWatch, "Crack Status of All Games", https://crackwatch.com/, Aug. 2018.
Byung-Il Kwak, Huy-Kang Kim. "A survey and categorization of anomaly detection in online games," Journal of the Korea Institute of Information Security & Cryptology, Vol. 25, No. 5, pp. 1097-1114, Oct, 2015.

원문보기 상세보기
Steven Davis. Protecting games: a security handbook for game developers and publishers. Charles River Media, Inc., 2009.
Myung-Shin Oh and Seung-Jo Han, "The Secure Chip for Software Illegal Copy Protection," Journal of the Korea Institute of Information Security & Cryptology, Vol. 12, No. 4, pp. 87-98, Aug, 2002.
JJong-Woo Kim, Won-Il Yang and Seung Jo Han, "Design of DRM Frame for Digital Contents Protection in Network," Journal of the Korea Institute of Information Security & Cryptology, Vol. 16, No. 3, pp. 101-113, Jun, 2006.
Jin-Heung Lee, Tea-Jung Kim and Ji-Hwan Park, "Design and Implementation of Secure DRM System for Contents Streaming," Journal of the Korea Institute of Information Security & Cryptology, Vol. 13, No. 4, pp. 177-186, Aug, 2003.
Seong-Soo Park and Hwan-Soo Han, "Detecting Software Similarity Using API Sequences on Static Major Paths," Journal of KIISE, Vol. 41, No. 12, pp. 1007-1012, Dec, 2014.

원문보기 상세보기
Seok-Woo Choi, Woo-Young Cho and Tai-Sook Han, "A Functional Unit Dynamic API Birthmark for Windows Programs Code Theft Detection," Journal of KISS : Software and Applications, Vol. 36, No. 9, pp. 767-776, Sep, 2009.
Jong-Cheon Choi, Yong-Man Han, Seong-Je Cho, Hae-Young Yoo, Jin-Woon Woo. "A static birthmark for MS windows applications using import address table." Innovative Mobile and Internet Services in Ubiquitous Computing (IMIS), 2013 Seventh International Conference on. IEEE, 2013.
Ho-Dong Lee, Reverse Engineering Volume 1 File Structure, Hanbit Meia, Sep, 2016.
Seok-Woo Choi, Hee-Wan Park, Hyun-Il Lim, Tai-Sook Han. "A static birthmark of binary executables based on API call structure." In Annual Asian Computing Science Conference Springer, Berlin, Heidelberg. pp. 2-16. Dec. 2007.
Dong-Jin Kim, Yong-Man Han, Seong-Je Cho, Hae-Young Yoo, Jin-Woon Woo, Yun-Mook Nah, Min-Kyu Park, Lawrence Chung. "Measuring similarity of windows applications using static and dynamic birthmarks." Proceedings of the 28th Annual ACM Symposium on Applied Computing. ACM, 2013.
Steam, "Steam DRM Documentation", https://partner.steamgames.com/doc/features/drm, Aug. 2018.
PCGamingWiki, "Cyanic / SteamDRM", http://pcgamingwiki.com/wiki/User:Cyanic/Steam_DRM, Aug. 2018.
Github, "Steamless, DRM remover", https://github.com/atom0s/Steamless, Aug. 2018.
Protection ID Home Page, "Protection iD", http://pid.gamecopyworld.com, Aug, 2018.
Tae-Ho Kwon, Zhendong Su. "Automatic detection of unsafe dynamic component loadings." IEEE Transactions on Software Engineering 38.2 (2012): 293-313.

상세보기
Galen Hunt, Doug Brubacher. "Detours: Binary interception of win 3 2 functions." 3rd usenix windows nt symposium. 1999.
In-Kyeom Cho and Eul-Gyu Im, "Improvement of Performance of Malware Similarity Analysis by the Sequence Alignment Technique," KIISE Transactions on Computing Practices, Vol. 21, No. 3, pp. 263-268, Mar, 2015.

상세보기
Eun-Soon You, Gun-Hee Choi Seung-Hoon Kim, "Study on Extraction of Keywords Using TF-IDF and Text Structure of Novels," Journal of the Korea Society of Computer and Information, Vol. 20, No. 2, pp.121-129, Feb, 2015.
Starforce, "Game Protection Steam" , http://www.star-force.com/blog/index.php?blog2683, Aug. 2018.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증