고려대학교 정보보호대학원 해킹대응기술연구실 http://ocslab.hksecurity.net/ 온라인게임보안 분야 중 아래 세부주제를 주로 연구 Online Game Security Game Bot Detection and Prevention Gold-farmer group Detection In-game Fraud Detection (e.g. Real Money Trade issue by goldfarmers) Pirate Server Detection and Prevention 2
International Journal (SSCI) Changsok Yoo, Eunnyeong Heo, Huykang Kim, Dongwoo Yang, Key Value Drivers of Startup Companies in the New Media Industry the Case of Online Games in Korea, Journal of Media Economics Volume 25, Issue 4, pp.244-260, Dec., 2012 International Journal (SCIE) Ah Reum Kang, Huy Kang Kim, Jiyoung Woo, Chatting pattern based game BOT detection: Do they talk like us?, KSII Transactions on Internet and Information Systems Volume 6, No. 11, pp.2866-2879, Nov., 2012 Seokshin Son, Ah Reum Kang, Hyun-chul Kim, Taekyoung Kwon, Juyong Park, Huy Kang Kim, Analysis of Context Dependence in Social Interaction Networks of a Massively Multiplayer Online Role-Playing Game, Plos One Volume 7, Issue 4, e33918, Apr., 2012 Ah Reum Kang, Jiyoung Woo, Juyong Park, Huy Kang Kim, Online Game Bot Detection based on party-play log analysis, Computers & Mathematics with Application, in publishing, Feb., 2012 Jiyoung Woo, Hwa Jae Choi, Huy Kang Kim, An automatic and proactive identity theft detection model in MMORPGs, Applied Mathematics & Information Sciences Volume 6, No. 1S, pp.291s-302s, Jan., 2012 3
International Conference Kyungmoon Woo, Hyukmin Kwon, Hyun-chul Kim, Chong-kwon Kim, Huy Kang Kim, What Can Free Money Tell Us on the Virtual Black Market?, ACM SIGCOMM Computer Communication Review, Volume 41, Issue 4, pp.392-393, 2011 Seokshin Son, Ah Reum Kang, Hyun-chul Kim, Ted Taekyoung Kwon, Juyong Park, Huy Kang Kim, Multi-Relational Social Networks in a Large-Scale MMORPG, ACM SIGCOMM Computer Communication Review, Volume 41, Issue 4, pp.414-415, 2011 Jiyoung Woo, Ah Reum Kang, and Huy Kang Kim, Modeling of Bot Usage Diffusion across Social Networks in MMORPGs, WASA: Workshop at ACM SIGGRAPH ASIA 2012 Jiyoung Woo and Huy Kang Kim, Survey and Research Direction on Online Game Security, WASA:Workshop at ACM SIGGRAPH ASIA 2012 Projects 게임봇 분석, 작업장 탐지, 계정도용 탐지 등 프로젝트 다수 게임회사 보안 교육 등 4
Big Data Analysis? 보안에 어떤 도움이 되지? MMORPG BOT 탐지/ 대응 전통적인 보안 로그의 분석을 통한 APT 탐지 User behavior analysis User experience management 6
8
Game BOTs and gold-farmers form a criminal-network. Gold-farmers Located in foreign countries Working in gold-farming workshop using game BOT program, some time they try to penetrate game 9 system directly Banker Bridging gold-farm ers and buyers Trading cyber asset s and real money 9 Buyer Paying money for raising their characters level easily
Game BOTs and gold-farmers form a criminal-network. Gold-farmers Located in foreign countries Working in gold-farming workshop using game BOT program, some time they try to penetrate game 10 system directly 10
419820 Lv. 42 351185 Lv. 10 340465 Lv. 10 369996 Lv. 1 6 gold-farmer 12 buyers charaters 387760 Lv. 920 million 4007 Lv. 1 405622 Lv. 12 388466 Lv. 10 11
Gold-farmers Gold-farmers Gold-farmers Banker Buyer Buyer Buyer Shortly summarized into 3-tier n:1:m graph 12
http://www.thisisgame.com/board/view.php?id=282968&board=&category=106&subcategory= 2&page=1&best=&searchmode=&search=&orderby=&token 13
"작업장하면서 원형탈모증에 걸 렸어요." 작업장 주를 만나다 http://www.inv en.co.kr/webzi ne/news/?news =37769 14
15
누가 스패머인가? In-game spammer 를 손쉽게 찾을 수 있는 장점 17
물가를 쥐락 펴락하는 대규모 작업장이 누구야? 용의선상에 올린 그룹의 거래만 주기적으로 관찰하는 것이 이득
Social action (party, guild) 이 충성심을 유발할 것이다 길드의 성장, 쇄락에 모두 관여 19
길드 가입 로그 분석 전체 길드 가입자 중 약 5%가 동일한 길드로 재가입 전체 길드 탈퇴자 중 약 20%가 동일한 길드로 재가입 동일한 길드로 재가입한 횟수가 늘어날수록 재가입 비율이 높아짐 사람의 특성 구관이 명관 한번 배신한 사람은 두번 배신할 수 있다 작업장 길드 가입 로그 분석 절대로 배신하지 않는다 배신할 이유가 없다 BOT 과 작업장에 대한 이해가 없다면, 작업장 길드가 전통적인 CRM 에서는 가장 로열 고객으로 분석 20
신규 대형 길드 행위 비율 길드 ID 1198의 전체 행위 비율 (31명) 전체 96가지 행위 Top 10 로그 17% 3% 5% 5% 5% 6% 7% 17% 14% 11% 10% 아이템 획득 로그(301) 캐릭터의 경험치 변화 로그(103) 캐릭터의 게임 머니 변화 로그(111) 퀘스트 진행 로그(405) 캐릭터의 노동력 변화 로그(106) 아이템 사용 로그(303) 인터렉션 로그(316) 인터렉션 로그(노동력 발생)(317) 캐릭터의 숙련도 번호 로그(116) 아이템 삭제 로그(302) 기타 로그 21
신규 소형 길드 행위 비율 길드 ID 1218의 전체 행위 비율 (3명) 전체 70가지 행위 Top 10 로그 3% 15% 5% 6% 7% 7% 7% 17% 14% 11% 8% 아이템 획득 로그(301) 캐릭터의 경험치 변화 로그(103) 캐릭터의 노동력 변화 로그(106) 퀘스트 진행 로그(405) 캐릭터의 숙련도 번호 로그(116) 캐릭터의 게임 머니 변화 로그(111) 인터렉션 로그(노동력 발생)(317) 인터렉션 로그(316) 아이템 사용 로그(303) 아이템 삭제 로그(302) 기타 22
a large and aged guild, a small and aged guild, a small and newly born guild, and a large and newly-born guild (the membership sizes are 152, 14, 8, and 61). 사람 길드는 신구, 대형/소형 길드에 따른 뚜렷 한 특징 존재 23
접속 IP address 분석 수만개 계정/1회 제재, 연간 수십만 계정 누적 제재 작업장 수익 악화 중국 1-tier city 2-tier city 로 이전 중국 태국, 베트남으로 이전 가속화 Ho chi minh city, Quang Trung Software City Why here? 시간으로 살 수 없는 것들 BOT/작업장은 철저히 이익추구를 하는 기업화된 조직 25
만만한 녀석들이 아님 Data mining 을 했지만 적용 상 문제가 있었던 경우 They know when banning operations run. 26
1세대 제재 방식에 부합하는 지지 의견 27
Virtual Gold Farming Compared to Factory Work They of course have their downsides, but our argument is that we should take a balanced picture; not just try to paint gold farming as the Devil's spawn, but understand it in the round, and recognize that it can make a contribution to development of poorer countries. the World Bank estimated there may be more than 100,000 gold farmers working in China and Vietnam. Gaming can help develop poor countries http://grumbleltd.wordpress.com/2011/04/20/gaming-can-helpdevelop-poor-countries/ 28
Geological location And even though China has been outsourcing gold farming to Vietnam, the gold farming networks have become so entrenched that the Vietnamese would still have to go through Chinese brokers if they decided to set up their own gold farms, underscoring the power they wield in the virtual economies. http://kotaku.com/5527882/why-there-are-goldfarmers-in-china 29
중과부적 어짜피 그들은 멈추지 않는다면 적장의 목을 먼저 베거나, 병참선을 먼저 무너뜨려라. 방코델타 아시아 방식의 제재 30
Heuristic Rules 봇 의심 (AND) Free trade Ratio >=0.8 Merchant(Agent) trade= 0 # of free trade(take or give Item&GameMoney without reward)>16 # of transactions/month >=20 Amount of Money >=5,000,000 Level>=10 Indegree == 0, OutDegree > 0, Free trade Ratio == 1, level= 31
1세대 제재 방식 (~2009) 전체제재 계정도용 등 부작용 발생 및 제재 rule 의 노출 시 취약 2세대 제재 방식 (2010~2011) Data mining 기 반 선별제재 원할때 원하는 만큼 제재, 제재 rule 노출의 최소화 3세대 제재 방식 (2012~) Tactical surgery 방식 Data modeling 기반, 외과적 수술 32
외과적 수술 시 고려사항 자사 게임에 대한 이해 월정액 방식 vs. Free-to-Play 방식 지속형 아이템 vs. 소모성 아이템 고객들의 문화 (제재 시 저항감 유무) 약관, 환불정책 다음 세대의 제재 방식은? 33
Diffusion model 적용 질병전파모델 (SIR) Worm propagation modeling 에 적용 RMT 확산, BOT 구매 확산 등에 응용 가능 player kill 을 어떤 계기로 하게 되었나요? BOT 을 어떤 계기로 사용하게 되었나요? 저도 첨부터 그랬던 건 아니에요 주변에서 사용하는 걸 보고요 게임 내에서 다른 유저가 사용하는 걸 보고요 어짜피 봇 써도 다 잡히는 것도 아닌데, 안쓰 면 오히려 손해죠 34
Epidemic Model & Threshold Model Threshold Models of collective behavior, Mark Granovetter, 1978 Social networks and threshold models of collective behavior, Meredith Rolfe, 2004 Idea Epidemic model 을 따를 때는 확산속도 예측 가능 BOT user 규모가 threshold 에 달하지만 않도록. 35
User behavior model Mimetic pressure vs. competitive pressure (irrational vs. rational) Mimetic pressure: 상당수가 노스페이스를 입는다. 나도 노스페이스 를 입지 않으면 안될 것 같다. (비이성적임을 알면서도 추종) Competitive pressure: 많은 의류회사가 시즌세일을 한다. 나도 시즌 세일을 하지 않으면 손님을 빼앗길 것 같다. 모두 수학정석을 공부하 기 시작했다. 나도 수학정석을 공부하지 않으면 도태될 것 같다. BOT 이용자들의 심리는? 36
Social learning model 에 가까우면서 competitive pressure 를 느끼는 상황 가까운 사람 또는 주변에서 정말로 BOT을 쓰면 좋더라. 정액결제 뽑 고도 남는다. Risk 는 주관적인 것 BOT 을 사용하면서도 적발/제재되지 않는 경우 를 주변에서 접함 (그렇다면 BOT을 쓸 동기가 높아짐) Friendship network 에 BOT user 가 얼마나 많은가에 따라 BOT user 의 확산속도를 가늠할 수 있음 BOT 을 쓰면 적발된다는 것을 높은 확률로 *주변에서* 접할 수 있어야 함 In-game social network 상에서 노출도가 높은 BOT 캐릭터를 집중 제재 제재에 대한 visibility! 모든 악을 근절할 수 없다면 최소한 사회적 문 제를 일으킨 흉악범에게는 강력처벌 37
기존 제재 기준 일괄적인 대량 제재 효율적/효과적이지 못함 새로운 제재 기준 길드/커뮤니티 (Social Friendship Network) 단위 제재 데이터 분석 후 threshold 파악 (게임 디자인마다 상이함) 길드/커뮤니티 내 BOT 이용자가 threshold 를 돌파하지 않게 항상 억 제를 해야 함 38
Honest Honest 어느 영역에 집중할 것인 가? honest evil Fallen angel Initial clean world 가 존 재할 수 있는가? Evil honest Evil evil Game 은 externality 가 있는 inconsistent world 이미 타 게임에서 타락한 사람들, 타 게임에서 BOT 을 경험한 사람들이 initial clean world 에 유 입되는 것은 막지 못함 39
친구 네트워크를 형성하면서 향후 게임 play한 사람들 중 bot에 감염되는 비율 대략 40일 이후에는 saturation되는 양상 전체 114일 기준으로 play한 character 19,833, 친구 네트워크에 존재하는 character는 10,8 friend network상에서의 bot user의 비율이 낮음 (bot사용자의 상당수가 작업 장임. 작업장의 bot은 친구를 맺지 않는 것으로 확인) 40
Characteristics of bot diffusion process Among the party-play bot users, the ratio of imitators takes 95.0 %. In the guild network, 27% are imitators. 41
데이터마이닝 기반 BOT/작업장 대응 악성유저 분석과 더불어 정상 이용자의 행태관찰 가능 원할 때 원하는 규모만큼의 제재를 할 수 있다는 점에서 현존하는 가 장 강력한 silent key 보다 지능화된 외과적 수술 기법을 지속적으로 개발 해야 함 party play BOT 탐지 외에도 타락천사(fallen angel) 생성을 예방하기 위해 Guild 단위의 surgery 역시 필요 전체 게임 user 중 몇 % 가 BOT user 이냐를 관찰하여 tactical surgery 를 수행하는 것이 중요 과감한 투자 필요 로그 적재, 데이터마트 구축, 분석시스템 구축, 알고리즘 개발에 과감 한 투자가 필요 단기성과 보다는 중장기적인 편익 42