초록 ▼

가. 연구개발의 개요
본 과제를 통해 개발된 온라인 게임용 보안 솔루션의 개략적인 블록도 및 동작 흐름은 다음 그림과 같다; 개발된 솔루션은 클라이언트-서버 기반의 온라인 게임에 사용하기 위한 보안 솔루션이다. 본 솔루션은 클라이언트 측 모듈과 서버 측 모듈로 구성되어 있는데, 게임 서버는 오리지날 게임 시스템의 프로토콜을 이용하여 기능성 실행코드를 게임 클라이언트로 전송하고, 이후 게임 클라이언트로부터 실행 결과를 전달받아 이를 분석한 후 적절한 조치를 취하게 되는데, 개발된 솔루션의 주요 기능 및 모듈은 다음의 설명과 같다

가. 연구개발의 개요
본 과제를 통해 개발된 온라인 게임용 보안 솔루션의 개략적인 블록도 및 동작 흐름은 다음 그림과 같다; 개발된 솔루션은 클라이언트-서버 기반의 온라인 게임에 사용하기 위한 보안 솔루션이다. 본 솔루션은 클라이언트 측 모듈과 서버 측 모듈로 구성되어 있는데, 게임 서버는 오리지날 게임 시스템의 프로토콜을 이용하여 기능성 실행코드를 게임 클라이언트로 전송하고, 이후 게임 클라이언트로부터 실행 결과를 전달받아 이를 분석한 후 적절한 조치를 취하게 되는데, 개발된 솔루션의 주요 기능 및 모듈은 다음의 설명과 같다;
(1) 기능성 실행코드 전송 기반구조
본 과제 개발에서 핵심이 되는 부분으로, 클라이언트-서버 기반의 온라인 게임 서비스 환경에서 게임 서버가 목적에 맞는 기능성 실행코드를 선택하고 이를 게임 클라이언트로 전송하며, 게임 클라이언트는 수신된 기능성 실행코드를 실행한 후, 실행 결과를 게임 서버로 전송하고 게임 서버는 수신된 실행 결과에 따라 게임 클라이언트의 접속을 제어할 수 있는 기능성 실행코드 기반구조를 총칭한다.
칙하게 전송되며, 게임 클라이언트는 전달받은 기능성 실행코드를 직접 주 메모리에 적재하여 실행한 후 결과를 게임 서버로 전송하게 되는데, 게임 클라이언트에 기능성 실행코드 관련 파일이 존재하지 않도록 하여 기능성 실행코드에 대한 해킹을 방지할 수 있다.
(2) 논클라이언트봇 진단 기술
게임 클라이언트를 사칭하는 논클라이언트봇에 대응하기 위한 기술로서, 기능성 실행코드 전송 기반구조를 이용해 기능성 실행코드의 한 종류인 불특정의 기능성 실행코드를 불규칙하게 게임 클라이언트로 전송함에 따라 패킷 복제에 의한 논클라이언트봇 대응에 효과적이며, 보안 기능이 게임 서버 및 게임 클라이언트에 통합되어 있으므로 보안기능을 우회하거나 사칭하기가 매우 어렵도록 구현되어 있다.
(3) 게임 해킹툴 진단 기술
온라인 게임에 속임수를 적용하여 공정한 게임을 방해하는 각종 해킹툴에 대응하기 위한 기술이다. 전통적인 해킹툴 진단 방법인 해킹툴의 시그니쳐 비교에 의한 패턴 매칭 및 특정 API 후킹 기술의 한계를 극복하기 위해, 현재까지 알려진 온라인 게임용 해킹툴의 Win32 API 사용 행태를 통계적으로 분석한 후, 이를 근간으로 해킹툴을 탐지할 수 있도록 개발된 기술이다.
(4) 하드웨어 오토플레이 진단 기술
온라인 게임에서 키보드나 마우스의 동작을 하드웨어적으로 모조함으로써 공정한 게임을 방해하는 기법에 대응하기 위한 기술이다. 시판되는 하드웨어 오토플레이 기기를 수집한 후 동작을 분석하여 해당 기기의 장착 자체를 인식할 수 있는 새로운 기술로 정상적인 기기를 오토플레이용 기기로 오진하지 않도록 하는 기술이 함께 적용되어 있다.
나. 연구 개발의 내용 및 범위
(1) Xigncode$^{\circledR}$ 기반구조
오리지날 게임 클라이언트와 오리지날 게임 서버가 네트워크에 의해 접속된 환경에서, 기능성 실행코드 전송 기반구조가 적용된 게임 서버프로그램은 목적에 맞는 기능성 실행코드를 선택하여 게임 클라이언트로 전송하고, 게임 클라이언트는 수신된 기능성 실행코드를 자신의 메모리 영역에 직접 탑재하고 실행한 후, 실행 결과를 게임 서버로 전달함으로써 수신된 실행 결과에 따라 게임 클라이언트가 게임 서버의 통제를 받도록 하는 것이 Xigncode$^{\circledR}$ 기반구조의 기본 개념이다.
Xigncode$^{\circledR}$ 기반구조는 클라이언트 라이브러리, 서버 라이브러리 및 수종의 기능성 실행코드 모듈로 이루어져 있다.
(2) 논클라이언트봇 대응
Xigncode$^{\circledR}$가 적용된 온라인 게임 환경에서는 Xigncode$^{\circledR}$ 기반구조와 논클라이언트 대응 모듈인 ncb로 논클라이언트봇에 대한 대응력을 가질 수 있다. 즉, Xigncode$^{\circledR}$ 서버 라이브러리를 통해 게임 클라이언트로 전송되어 실행되는 기능성 실행코드를 적절히 이용하게 되면 게임 클라이언트와 게임 서버 사이 패킷 교환의 불규칙성을 확보할 수 있으므로, 게임 클라이언트와 게임 서버 사이의 모든 패킷을 분석하여 패킷 교환의 규칙성을 찾아낸 후, 그 규칙성을 이용하여 제작된 모조 클라이언트 프로그램인 논클라이언트봇에 매우 효과적으로 대응할 수 있다.
(3) 게임 해킹툴 대응
게임 해킹툴 대응 모듈은 다음과 같은 목표에 부합하도록 개발되었는데, 이미 알려진 게임 해킹툴을 탐지한다, 수용 가능한 오진율 범위 내에서, 아직 발견되지 않은 게임 해킹툴에 대한 탐지가 가능, 안티바이러스 프로그램 등 다른 보안 솔루션과의 충돌이 없어야 하며, 온라인 게임 프로그램의 동작에 성능 저하가 없도록 한다.
게임 해킹툴의 탐지는 기존의 패턴 매칭 방식 이외에도, 새롭게 개발된 Win32 API 사용 행태 기반의 탐지 방식을 사용한 검사로 이루어진다. 이는 게임 해킹툴 또한 Win32 API에 종속적이라는 점을 이용해서 게임 해킹툴에서 사용하고 있는 특별한 Win32 API를 조합하여 확률적으로 게임 해킹툴을 탐지해내는 방법이다.
(4) 하드웨어 오토플레이 대응 모듈
온라인 게임을 자동으로 사용자의 키보드 입력이나 마우스 입력 없이 동작시켜 게임을 자동으로 플레이함으로써, 게임의 공정성을 저해하는 장치를 하드웨어 오토플레이 장치라 하는데, 통상 클라이언트 PC의 USB 포트에 해당 장치를 삽입하여 사용한다.
본 연구에서는 해당 하드웨어가 삽입되었을 경우에 나타나는 디바이스 정보를 기반으로 하여 하드웨어 오토플레이 장치의 사용 여부를 진단하는 기술을 사용하였다. 이 기준으로 하드웨어 오토플레이 장치를 검출할 경우 몇몇 매크로 기능이 포함된 게임용 키보드의 경우도 하드웨어 오토플레이 장치로 진단되는 문제점이 있기 때문에 게임 서비스사의 정책에 따라 이를 예외 처리하여야 한다.

목차 Contents

• 표지 ...1
• 제출문 ...3
• 요약문 ...5
• 목차 ...15
• 표목차 ...20
• 그림목차 ...21
• 제1장 서론 ...24
• 제1절 기술 개발의 개요 ...24
• 1. 기술의 필요성 및 중요성 ...24
• 가. 기술 개발의 배경 ...24
• 나. 기술 개발(제품)의 필요성 및 중요성 ...27
• 2. 국내.외 기술동향 및 전망분석 ...28
• 가. 국내.외 기술(제품) 동향 ...28
• 나. 관련기술(제품)의 전망 ...28
• 제2절 개발 기술 목표 및 시장성 ...31
• 1. 연구개발 최종 목표 ...31
• 가. 클라이언트-서버 환경의 온라인 게임 보안에 특화된 기술 ...31
• 나. 논클라이언트봇 대응 ...32
• 다. 각종 속임수 엔진 및 해킹 툴 (메모리 변조, 파일 변조, 스피드 핵, 조준 핵, 매크로) 대응 ...32
• 라. 하드웨어 오토플레이 대응 ...32
• 마. 각종 인터넷 서비스에 확대 적용이 용이함 ...32
• 2. 개발 솔루션의 시장성 및 경쟁력 ...33
• 가. 시장 수요 분석 ...33
• 나. 국내.외 시장규모 및 동향 ...33
• 제2장 기술 개발의 내용 ...36
• 제1절 기술 개발의 개요 ...36
• 1. 기능성 실행코드 전송 기반구조 ...37
• 2. 논클라이언트봇 진단 기술 ...37
• 3. 게임 해킹툴 진단 기술 ...38
• 4. 하드웨어 오토플레이 진단 기술 ...38
• 5. 적용 게임별 튜닝 기술 ...39
• 제2절 기술 개발의 내용 ...40
• 1. Xigncode® 기반구조 ...40
• 가. 개념 ...40
• 나. Xigncode® 클라이언트 라이브러리 ...42
• (1) 동작 원리 ...42
• (2) Xigncode® 컨테이너의 구성 ...43
• (3) 기능성 실행코드의 적재 및 실행 ...45
• (4) 게임 클라이언트 동작 순서도 ...49
• 다. Xigncode® 서버 라이브러리 ...50
• (1) 동작 원리 ...50
• (2) Xigncode® 서버 라이브러리 구성 ...52
• (3) 기능성 실행코드 블록의 생성 및 전송 ...54
• (4) 게임 서버 동작 순서도 ...56
• 라. Xigncode® 라이브러리 파일 구성 ...58
• (1) Xigncode® 클라이언트 라이브러리 파일 구성 ...58
• (2) Xigncode® 서버 라이브러리 파일 구성 ...59
• (3) 기능성 실행코드 데이터베이스 파일 구성 ...59
• 2. 논클라이언트봇 대응 ...60
• 3. 게임 해킹툴 대응 ...64
• 가. 해킹툴 개요 ...64
• (1) 게임 클라이언트 공격 ...64
• (가) 스피드 핵 ...64
• (나) 매크로 ...65
• (다) 메모리 변조, 파일 변조 ...66
• (라) 패킷 변조 ...67
• (마) 조준 핵(AimBot) ...68
• (2) 치트 엔진 소개 ...68
• 나. 게임 해킹툴 대응 모듈 ...69
• (1) 개발 목표 ...69
• (2) 게임 해킹툴 대응 모듈의 구성 ...69
• (3) 시스템 허용 ...72
• (4) 허용 코드 / 악성 코드 ...73
• (5) Win32 API 기반 휴리스틱 ...75
• 다. Win32 API 스캔 ...76
• (1) Win32 API 추출 방법 ...76
• (가) IAT 검사 ...76
• (나) 문자열 검사 ...77
• (다) 디스어셈블링 검사 ...78
• (2) 악성 프로그램과 정상 프로그램의 API 빈도 분석 ...80
• (가) 프로세스 탐색 (PS Class) ...80
• (나) 프로세스 핸들 획득 (PA Class) ...81
• (다) 메모리 위,변조 (MM Class) ...81
• (라) 후킹 (HK Class) ...82
• (마) 매크로, 키보드 마우스 조작 (MC Class) ...82
• (바) 화면 탐지 (SC Class) ...83
• (사) 전체 휴리스틱 테이블 ...83
• 라. 패턴 ...85
• (1) 패턴 컴파일러 ...85
• (2) 문법 ...85
• (가) xelloss ...85
• (나) scramble ...85
• (다) class ...86
• (라) group ...87
• (마) chain ...87
• (바) systemdll ...87
• (사) systemprocess ...88
• (아) code ...88
• (3) 게임 해킹툴 대응 모듈 ...89
• 4. 하드웨어 오토플레이 대응 모듈 ...90
• 가. Usage Page ...90
• 나. Usage ...91
• 다. NumberInputButtonCaps ...91
• 라. NumberOutputButtonCaps ...91
• 제3장 개발 모듈의 동작 테스트 ...96
• 제1절 테스트 환경 ...96
• 제2절 테스트 시나리오 ...98
• 1. Xigncode® 라이브러리 테스트 ...98
• 2. 논클라이언트봇 대응 모듈 테스트 ...102
• 3. 게임 해킹툴 대응 모듈 테스트 ...106
• 제4장 추후 개선 방향 ...112
• 제1절 Xigncode® 라이브러리 ...112
• 1. 게임 클라이언트 파일에 직접적인 해킹 시도 ...112
• 2. 실행 중인 게임 클라이언트에의 메모리 해킹 시도 ...112
• 3. Xigncode® 라이브러리 적용의 어려움 ...113
• 제2절 논클라이언트봇 대응 모듈 ...115
• 제3절 게임 해킹툴 대응 모듈 ...116
• 1. Win32 API 기반 진단 알고리즘의 오진 ...116
• 2. 게임 해킹툴 대응 모듈 전송에 따른 패킷 부담 ...116
• 제4절 하드웨어 오토플레이 대응 모듈 ...118
• 제5장 결론 ...120
• 제1절 Xigncode® 개발 결과 ...120
• 1. 기능성 실행코드 처리를 위한 Xigncode® 기반구조 ...120
• 2. Win32 API 추적에 의한 휴리스틱 진단 기술 ...121
• 3. 하드웨어 오토플레이 탐지 기술 ...123
• 제2절 개발 기술의 활용 ...125
• 1. 클라이언트-서버 기반의 온라인 게임 보안 ...125
• 2. 클라이언트 프로그램 보호 ...125
• 3. 엑티브 브라우져 ...126
• 제3절 상용화 계획 ...128
• 부록1. Xigncode® 2.0 적용지침서(ver. 1.0.2) ...130
• 부록2. Xigncode® 2.0 운영지침서(ver. 1.0) ...196
• 연구개발과제요약서 ...219
• 목차 ...220
• I. 과제개요 ...221
• 1. 연구기관 ...223
• 2. 연구개발비 집행내역 ...223
• 3. 연구내용 변경 이력 ...224
• II. 시제품 개발 결과물 ...225
• 1. 시제품 개요 ...226
• 2. 시제품 기능 및 성능 ...226
• 3. 평가 착안점 ...227
• 4. 연구개발 결과물의 독창성 및 혁신성 ...227
• III. 연구개발 수행 실적 ...228
• 1. 연구목표 및 내용 ...229
• 2. 계획 대비 실적 ...230
• 3. 자원활용의 적절성 ...231
• 4. 정부부처 수행실적(최근 3개년 실적) ...231
• IV. 연구개발 성과 ...232
• 1. 개요 ...233
• V. 설문조사서 ...240