1098 온라인게임에서의이상징후탐지기법조사및분류 Fig National Game Market 플랫폼이높은비율을차지하는것으로나타났다 [1]. 게임시장의규모가성장함에따라게임을이용한여러불법행위또한증가하고있다. Ahnlab 은온라인게임핵악성코드가전체악성코드탐지

1097 Journal of The Korea Institute of Information Security & Cryptology ISSN 1598-3986(Print) VOL.25, NO.5, Oct. 2015 ISSN 2288-2715(Online) http://dx.doi.org/10.13089/jkiisc.2015.25.5.1097 온라인게임에서의이상징후탐지기법조사및분류 * 곽병일, 김휘강 고려대학교정보보호대학원 A survey and categorization of anomaly detection in online games* Byung Il Kwak, Huy Kang Kim Graduate School of Information Security, Korea University 요 약 빠르게성장한게임시장의규모에따라게임봇, 게임핵, 골드파밍, 사설서버, 시스템해킹, 네트워크해킹, 계정도용등과같은게임을이용한여러불법행위가증가해왔다. 이러한불법행위를예방및탐지하기위해게임보안솔루션들이존재하지만각게임마다의특징이존재하기때문에부정행위로부터보호하는것에는어려움이있다. 또한게임보안은게임의기획과조화되는게임보안솔루션및탐지방법들이필요하다. 본연구에서는최근온라인게임에서의보안관련연구에대한동향을조사하였다. 온라인게임에서의부정행위를분류하였고, 온라인게임에서의각특징에따른부정행위예방및탐지방법을분류하였다. ABSTRACT As the online game market grows, illegal activities such as cheating play using game bots or game hack programs, running private servers, hacking game companies' system and network, and account theft are also increasing. There are various security measures for online games to prevent illegal activities. However, the current security measures are not enough to prevent all highly evolving game attacks and frauds. Some security measure can do harm game players usability, game companies need to develop usable security measure that is well fit to game genre and contents design. In this study, we surveyed the recent trend of various security measure applied in online games. This research also classified illegal activities and their related countermeasure for detection and prevention. Keywords: survey, categorization, taxonomy, online game, detection I. 서론 * 국내및국외게임시장은지금까지빠르게증가해왔다. 글로벌리서치기업뉴주 (Newzoo) 는 접수일 (2015 년 6 월 24 일 ), 수정일 (2015 년 8 월 31 일 ), 게재확정일 (2015 년 9 월 23 일 ) * 본연구는 2014 년도정부 ( 미래창조과학부 ) 의재원으로한국연구재단의지원을받아수행된기초연구사업임 ( 과제번호 :2014R1A1A1006228) 추가로본연구는고려대학교특별연구비에의하여수행되었음 주저자, kwacka12@korea.ac.kr 교신저자, cenda@korea.ac.kr(corresponding author) 2014 년세계게임시장이 750억달러에달하는것을밝혔다. 각국가별게임시장규모에서미국은 20,485 백만달러에달했고, 그뒤를이어중국은 17,867백만달러, 일본은 12,220 백만달러에달했다. 독일은 3,528백만달러, 영국은 3,426 백만달러에달하고그뒤로한국이 6위인 3,356 백만달러에달한다고밝혔다 [1]. Fig.1. 은게임시장에서플랫폼별시장의분포를나타낸것이다. 콘솔게임플랫폼의경우미국에서약 51%, 일본에서약 39%, 독일에서약 48%, 영국에서약 51% 로가장높은비율을차지하는것으로나타났다. 반면중국과한국의경우온라인게임

1098 온라인게임에서의이상징후탐지기법조사및분류 Fig. 1. 2014 National Game Market 플랫폼이높은비율을차지하는것으로나타났다 [1]. 게임시장의규모가성장함에따라게임을이용한여러불법행위또한증가하고있다. Ahnlab 은온라인게임핵악성코드가전체악성코드탐지순위에서 6위인것으로밝혔다 [2]. 게임내에서이루어지는부정행위에는게임봇, 게임핵, 골드파밍, 사설서버, 시스템해킹, 네트워크해킹, 계정도용등이있다. 이중많이사용되고있는부정행위는게임봇을이용한자동플레이프로그램의사용이다. 게임봇은사용자본인이게임플레이를하는것이아닌사용자가지정해둔명령을프로그램이자동적으로수행하여게임캐릭터의레벨및게임재화를쉽게얻을수있는프로그램이다. 게임봇은개인플레이어가게임을보다쉽게플레이하기위해사용할뿐만아니라전문적으로돈을벌기위해작업장을운영해대규모로이용하고있다. 게임내부정행위를막기위해게임업체의경우안티치팅솔루션을적용하고있다. 국내의경우 nprotect, Hackshield, DexGuard 등과같은게임보안솔루션을전문적으로상용한제품이있고, 국외의경우 iovation, Kount, Warden 등의안티치팅솔루션을적용하고있다. 게임보안솔루션들은게임의악성코드, 게임핵, 메모리조작, 메모리해킹등과같은공격들의실행을막아부정행위를방지하는기능을한다. 하지만이러한제품으로도게임내부정행위를완벽하게막는것에는어려움이있다. 그이유로는게임의특성에맞춘게임보안솔루션에있다. 게임의장르마다게임에적용되는부정행위의종류가다르기때문에이를막기위한보안솔루션역시다양한방식으로적용이되어야한다. 또한게임기획과함께조화가가능한보안솔루션의적용되어야한다. 본연구에서는온라인게임에서행해지는부정행위들을살펴보았다. 또한부정행위를효과적으로탐지할수있는방법들을다양한기준으로분류하였다. 게임마다적용가능한특징들이있기때문에게임특성에맞는부정행위탐지방법들을살펴보았다. 본논문은 2장에서이전게임내이상징후탐지방안들에대한참고문헌을살펴보고, 3장에서는온라인게임내에서일어날수있는부정행위를살펴본다. 4 장에서는온라인게임에서의이상징후탐지를여러관점에서분류하고 5장설명을끝으로마무리한다. II. 문헌연구 Jeff Yan 등은온라인게임에서발생가능한보안적인실패의요인과서비스제공업체에서고려해야할이슈에대해나타내었다. 온라인게임에서의다양한치팅행위와이를예방및완화시키는방안들을제시하였다 [3]. Jeff Yan은온라인게임에서부정행위탐지및완화에서컴퓨터게임그래픽과 AI의중요성을온라인게임의시스템디자인및유저인터페이스디자인을통해나타내었다. 또한게임내공정성을강화하기위해서버에서민감데이터유지, 부정행위방지를위해시스템적인디자인설계, 침입탐지를위한네트워크및호스트기반의 IDS 사용, 평판관리시스템을통해제시하였다 [4]. Jiyoung Woo 등은온라인게임에서발생하고있는부정행위를분류및정의하였고, 온라인게임에서의위협및부정행위에대한대응방안들을클라이언트단, 네트워크단, 서버단으로분류하여정리하였다. 과거에연구되었던게임봇탐지및계정도용탐지에대한방법론들을클라이언트단, 네트워크단, 서버단 3가지카테고리에맞춰나타내었다 [5]. III. 온라인게임에서의부정행위게임에서의부정행위는부정사용자에게게임재화나편의성을제공하지만게임회사및일반사용자에게는직간접적인피해를준다. 온라인게임부정행위로인한피해는크게두가지로나눌수있다. 첫째, 부정사용자는유료아이템을무료로사용하거나게임봇을이용하여시간의소비없이재화를획득할수있어게임회사에게금전적피해를준다. 둘째, 부정사용자의부정행위로일반사용자는게임에서의

정보보호학회논문지 (2015. 10) 1099 Table 1. Illegal act in online games Category Game bot Game hack Gold farming Private server System hacking and network hacking Account steal Description - An automated program instead of user's gameplay - Categorized by hardware type and software type depending on physical form - A program to get profit through manipulation of memory and network traffic - Illegal activity to get profit through inexpensive labor - Categorized by play human type and game bot type depending on conduct - Service server of duplication without allow of game company - Categorized by server of engineering analysis and server of duplication source code depending on creating - A remote attack of aiming at game server - At the attack success, modification history of user s item data - Hijacking user's information in game client side through malware 게임내재화불균형과상대적박탈감을느끼게되어게임에대한신뢰를잃고게임에서이탈하거나피해를보상받기위해부정사용자가된다. 부정행위를도와주는툴은인터넷카페나블로그등을통해유포되고누구나쉽게접근할수있다. 또한부정행위도구는조작방법이어렵지않아일반인도손쉽게사용할수있어문제가있다. Table 1. 은온라인게임에서발생하는부정행위를나타낸것이다. 온라인게임에는게임봇, 게임핵, 골드파밍, 사설서버, 시스템및네트워크해킹, 계정도용등과같은다양한부정행위가있다. 게임봇은유저대신게임을플레이하는자동화된프로그램으로하드웨어방식과소프트웨어방식으로분류할수있다. 하드웨어방식은 USB 및자동매크로기능이있는기기를 PC에연결하여사용하는방식이다. 소프트웨어방식은 PC에별도의프로그램을설치하여실행하는방식이다. 게임봇은동작방식으로분류하면 IG (in game client) 봇과 OOG (out of game client) 봇이있다. IG 봇은게임클라이언트안에서수행하는게임봇으로후킹방식에따라클라이언트단및서버단에서탐지하기어려운특징이있다. OOG 봇은게임의구조및분석이모두끝났을경우발생되고, 서비스기간이길고보안이전혀고려되지않은게임에발생한다. 게임핵은사용자의플레이방식을임의로변경하여부정행위를일으키는프로그램으로게임클라이언트의메모리조작또는네트워크트래픽조작을통해발생한다. 일반적으로 FPS (first-person shooter) 게임에서는게임의속도를향상시키는스피드핵 (speed hack), 적편의대상을마주쳤을경 우총의반동을없애주는무반동핵, 벽과같은장애물을투시하여다른사용자를보여주는월핵 (wall hack) 등이있고그외에도무기핵, HP 핵, 경험치핵, 관통핵, 맵핵등많은종류의게임핵이존재한다. 골드파밍은값싼노동력을이용해게임내재화를습득하는부정행위로게임봇을이용하는방식과사람이직접게임플레이하는방식이있다. 사람이직접게임플레이하는경우이를탐지하는것이어렵지만사람이운영가능한캐릭터개수제한의단점이있다. 게임봇을이용하는방식은여러대의컴퓨터에게임봇을설치하여동시에운영하기때문에사람은관리를통해골드파밍을수행한다. 게임봇프로그램은설정된행동만수행하기때문에비교적쉽게탐지가가능하다. 사설서버는서비스중인게임서버를복제하여게임업체의동의없이서비스하는서버를말한다. 사설서버는역공학분석을이용하여구성한사설서버와원래의소스코드를복제하여구성한사설서버로나눌수있다. 역공학분석을이용한사설서버는기존게임의클라이언트분석과네트워크트래픽분석을통해서서버를재구성한다. 소스코드를복제하여생성한사설서버는기존서버를완벽하게복제한것이기때문에일반게임서버와차이점이적은특징이있다. 시스템및네트워크해킹은게임서버를대상으로원격공격을수행하는부정행위이다. 시스템및네트워크해킹은주로공격에성공하면게임 DB안의데이터를변조하거나게임소스복사를목적으로한다. 시스템및네트워크해킹의공격으로는 DDoS

1100 온라인게임에서의이상징후탐지기법조사및분류 Table 2. Research classification of online game security Category Detection side Detection technique Detection algorithm Data source Game genre Detection target Detailed category - Client side : anomaly detection of user behavior in game client side - Network side:anomaly detection of playing the online game at a network side - Server side : anomaly detection of character behavior in server side - Statistics - Data mining - Decision Tree - Support Vector Machine - Random Forest - Neural Network - Character behavior - Character travel path - User behavior - Similarity analysis - Turing test - Hidden Markov Model - Bayesian Network - CAPTCHA - Entropy analysis - Social network - Network traffic - Image source - Massive Multiplayer Online Role Playing Game (MMORPG) - First-Person Shooter (FPS) - Racing Game - Card Game - Game bot detection - Account steal detection - Gold farming group detection - Game hack detection - Game bot prevention 공격, 패킷 / 응답공격, 웹사이트취약점해킹과같은일반적인인터넷및네트워크공격에해당하는공격들이있다. 계정도용은게임을이용하는사용자의계정을탈취하는것으로클라이언트단에악성코드를설치후개인의정보를수집하여사용자계정을탈취한다. 탈취된계정의경우계정내자산인아이템및게임재화를잃게된다. IV. 온라인게임에서의이상징후탐지및보안온라인게임에서는다양한부정행위및이상징후발생이가능하다. 이상징후에대한보안조치는게임의특징및환경에따라다르게적용되어야한다. Table 2. 는온라인게임에서의이상징후탐지및대응에대한연구들을다양한관점에서분류한것이다. 연구에대한분류기준은탐지단, 탐지기법, 탐지알고리즘, 데이터소스, 게임장르, 탐지대상과같다. 4.1 탐지단에따른분류이상징후탐지의경우탐지위치에따라분류가가능하다. 이상징후를탐지하는위치는크게세부분으로서버단, 네트워크단, 클라이언트단으로나 눌수있다. Table 3. 은온라인게임관련보안연구들을서버단, 네트워크단, 클라이언트단에맞춰분류한것이다. 서버단에서의이상징후탐지는유저들이온라인게임을플레이할경우플레이로그들이서버에저장되는데이로그의분석을통해서이상징후발생여부를탐지한다. Yutaro Mishima 등은게임플레이로그에대한캐릭터행위빈도및속도를분석하여특징으로추출하고, 통계적기법에적용하여 MMORPG에서게임봇과일반사용자를분류하였다 [6]. Atsushi Fujita 등은서버단에서유저들의거래네트워크를데이터마이닝기법에적용하여 RMT (Real Money Trade) 탐지방법을제시하였다. RMT 는게임재화를현금으로환전하는거래를의미한다. RMT의경우탈세, 돈세탁등과같은현실에서지하경제의부정거래를이용하는데사용된다. 제시한방법론은유저들사이의거래네트워크에서거래횟수, 거래머니의양및현재보유중인게임머니의양을특징으로추출하고, SVM 알고리즘에적용하여 MMORPG 에서 RMT 를탐지하였다 [7]. Muhammad Aurangzeb Ahmad 등은서버단에서사용자들의현금거래네트워크및행위를데이터마이닝기법에적용하여골드파밍탐지방법을제시하였다. 제시한방법론은사용자와골드파머들의거래횟수및한번에이뤄지는거래량, 거래

정보보호학회논문지 (2015. 10) 1101 Table 3. Classification depending on a detection side Category Research Characteristic Key research Server side Network side Client side [6-42] [43-45] [46-48] - Performing through the game log analysis of user behavior - Control a restriction time and scale - Bypass of detection by leak of detection rule - Guarantee of game performance - Increasing computation power of encryption and decryption in traffic data - Collecting of detection information in PC - Falling of game usability, and easy bypass of detection - User identification based on game-play activity patterns [9] - Identifying MMORPG bots: A traffic analysis approach [43] - Identification of Auto Programs by Using Decision Tree Learning for MMORPG [46] 물품의종류와같은특징을추출하고, Naive Bayes, Bayes Network, Logistic Regression, KNN, J48, AdaBoost 와같은다양한알고리즘에적용하여 MMOG에서골드파머를분류하였다 [8]. Kuan-Ta Chen 등은서버단에서캐릭터의게임내활동시간과유휴시간을특징으로추출하고, 이들에대한분포및엔트로피비교를통해 MMORPG 에서게임봇을탐지하였다 [9]. 네트워크단에서의이상징후탐지는온라인게임을이용할경우게임클라이언트프로그램과서버와의네트워크통신트래픽이발생하는데이트래픽분석을통해서이상징후발생여부를확인한다. Chen Kuan Ta 등은네트워크단에서전송트래픽의규칙성및폭발성을분석하여특징으로추출하고, 통계적기법에적용하여 MMORPG 에서게임봇을분류하였다 [43]. Sylvain Hilaire 등은네트워크단에서네트워크트래픽데이터를데이터마이닝기법에적용하여게임봇탐지방법을제시하였다. 제시한방법론은서버와클라이언트간의전송되는패킷의시간간격과패킷의사이즈를특징으로추출하고, Decision Tree 알고리즘에적용하여 MMORPG 에서게임봇을탐지하였다 [44]. 클라이언트단에서의이상징후탐지는게임클라이언트가설치되어있는사용자 PC가악성코드에감염되어위협에노출된경우에탐지하는부분이다. Sungwoo Hong 등은클라이언트단에서사용자행위를데이터마이닝기법에적용하여게임봇탐지방법을제시하였다. 제시한방법론은사용자의키보드및마우스입력시퀀스를포함한윈도우이벤트시퀀스를특징으로추출하고, Decision Tree 알고리즘에적용하여 MMORPG 에서게임봇을탐지하였다 [46]. 4.2 탐지기법에따른분류이상징후탐지의경우탐지기법에따라분류가가능하다. 이상징후탐지기법은데이터마이닝기법, 통계적기법, 유사도패턴매칭기법, 튜링테스트기법으로나눌수있다. Table 4. 는데이터마이닝기법, 통계적기법, 유사도패턴매칭기법, 튜링테스트기법에따른온라인게임관련보안연구들을분류한것이다. 데이터마이닝기법은게임상에서캐릭터의행위및유저들의행위들을분석하여데이터들간의유용한상관관계발견및유의미한정보를추출하여의사결정에사용하는기법이다. Jina Lee 등은서버단에서캐릭터의행위시퀀스를데이터마이닝기법에적용하여게임봇을분류하였다. 제시한방법론은게임내캐릭터의행위시퀀스를특징으로추출하고, Naive Bayesian 알고리즘에적용하여 MMORPG 에서게임봇을분류하였다 [12]. Su-Yang Yu 등은서버단에서캐릭터의행위를데이터마이닝기법에적용하여 Aim 봇분류방법을제시하였다. 제시한방법론은적의타겟을조준하는데걸리는가속도와조준을유지하는시간과같은특징을추출하고, SVM 알고리즘에적용하여 FPS에서 Aim 봇을분류하였다 [13]. 통계적기법은게임내일반유저와부정행위자들의로그데이터를특정지어분산, 평균, 표준편차및분포와 p-value, z-value 등을통해유저와부정행위자를구분하는기법이다. Marlieke van Kesteren 등은클라이언트단에서게임내캐릭터의움직이는각도에따른빈도를특징으로추출하고, 통계적기법에적용하여 MMORPG에서게임봇을탐지하였다 [48]. Jehwan Oh 등은서버단에서캐릭

1102 온라인게임에서의이상징후탐지기법조사및분류 Table 4. Classification depending on a detection technique Category Research Characteristic Key research Data mining Statistics Similarity analysis [7-8],[12-13],[18-26],[27-29], [32-34],[36-37], [42],[44-46] [6],[9],[10], [14-16],[24], [30-31],[38-39], [41],[43],[48] [11],[17],[40] Turing test [23],[35],[47] - High accuracy of anomaly detection - Limitation of application in real-time and client side because of using much time of data analysis - Limitation of application in new character because of requiring data accumulation - Requiring lots of data to create detection rule - Limitation of application in new character because of requiring data accumulation - Limitation of application in client side because of increasing computation quantities - Applicable to the real time because of a little computation - Applicable to the precautionary step - Falling of game immersion - Aimbot detection in online fps games using a heuristic method based on distribution comparison matrix [23] - Automatic detection of compromised accounts in mmorpgs [14] - Server-side bot detection in massive multiplayer online games [11] - Development of embedded CAPTCHA elements for bot prevention in fischer random chess [23] 터의경험치, 거래, 로그인데이터와같은특징을추출하고, 통계적기법에적용하여 MMORPG 에서계정도용을탐지하였다 [14]. 유사도분석기법은일반유저와게임봇의행위분석시현재와이전행위간의유사성분석을통해게임봇을분류하는기법이다. 게임봇의경우사전에입력된행위만을반복하기때문에유사도패턴이유사하게나타나지만일반유저의경우사냥외에채집, 채팅, 거래, 파티, 길드활동등다양한행위를수행하기때문에유사도분석시다르게유사도가나타난다. Stefan Mitterhoffer 등은서버단에서게임캐릭터의이동패턴을유사도패턴매칭기법에적용하여게임봇분류방법을제시하였다. Waypoint 는게임내캐릭터의이동기점을말하는것으로게임유저들의이동경로중가장높은빈도로머무는장소를의미한다. 제시한방법론은게임유저들의이동경로중가장높은빈도로머무는장소인 Waypoint 를추출하였다. 추출된 Waypoint 정보를 LCP (Longest Common Prefix) 알고리즘에적용하여 MMOG에서게임봇을분류하였다 [11]. LCP는두단어및문장이있을경우접미사의최대공통접두사의길이를의미하며일반적으로문자열비교를수행시사용되는알고리즘이다. Christian Platzer 는서버단에서캐릭터의행위시퀀스를유사도패턴매칭기법에적용하여게임봇 탐지방법을제시하였다. 제시한방법론은캐릭터의전투행위를시퀀스로나타내어시퀀스들간의거리를추출하고, Levenshtein distance 알고리즘에적용하여 MMOG에서게임봇을탐지하였다 [17]. Levenshtein distance 알고리즘은두개의문자열을비교할때한문자열이다른문자열로바뀌기위해서필요한변경횟수를측정하는알고리즘으로두개문자열의유사성을측정하는데사용된다. 튜링테스트기법은기계는인지하고판별하는것이어렵지만사람은쉽게인지하여판별할수있게하여기계와사람을분류하는기법이다. Ryan McDaniel 등은서버단에서이미지에대한특징을튜링테스트에적용하여체스게임에서게임봇사용을예방하는방법을제시하였다. 제시한방법은이미지회전, 이미지해상도조절, 랜덤이미지를사용과같이체스게임에서체스말이가지고있는이미지를변형하여생기는이미지를게임내그래픽으로구성하여체스게임에서게임봇사용을방지한다 [23]. 4.3 세부알고리즘에따른분류이상징후탐지의경우세부알고리즘에따라분류가가능하다. 기법에따라다양한알고리즘이사용되는데본절에서는데이터마이닝기법에대한알고리즘과튜링테스트기법에대한알고리즘을나타내

정보보호학회논문지 (2015. 10) 1103 었다. 기준이되는알고리즘은 Decision Tree, SVM, Naive Bayes, knn, Logistic Regression, bayesian Network, Adaboost, Neural Network 로나눌수있다. Table 5. 는세부알고리즘에따른온라인게임관련보안연구들을분류한것이다. Decision Tree 는특정변수에대해여러성질의데이터를유사한성질의데이터끼리분류하는알고리즘이다. 또한과거에수집된데이터들을분석하여유사한그룹끼리나누고분류모형을나무형태로나타낸다. Hyungil Kim 등은서버단에서사용자행위를데이터마이닝기법에적용하여게임봇탐지방법을제시하였다. 제시한방법론은사용자가게임을플레이할경우키보드및마우스입력시발생하는윈도우이벤트메시지를특징으로추출하고, Decision Tree 알고리즘에적용하여 MMORPG 에서게임봇을탐지하였다 [28]. SVM 알고리즘은 Decision Tree 알고리즘과같이여러성질의데이터를유사한성질의데이터끼리분류하는것으로데이터가사상된공간에서데이터군을나누는경계는경계면으로나타난다. 이때경계면의최댓값을찾는것이 SVM 알고리즘이다. Ruck Thawonmas 등은서버단에서캐릭터행위분석을데이터마이닝기법에적용하여게임봇탐지방법을제시하였다. 제시한방법론은캐릭터행위에대한빈도를특징으로추출하고, SVM 알고리즘에적용하여 MMORPG 에서게임봇을분류하였다 [25]. Naive Bayes 알고리즘은특정사건이발생한후그사건의원인이될수있는사건들에대한사전확률분포를이용하여사후에원인이될수있는사건들의사후확률분포를도출하는알고리즘이다. Ahmad Muhammad Aurangzeb 등은서버단에서캐릭터들간의네트워크기반데이터를데이터마이닝기법에적용하여골드파머를탐지하였다. 제시한방법론은캐릭터들간의멘토링네트워크, 거래네트워크및게임내의가상주택소유자가다른캐릭터에게접근권한을주어형성되는 Housing-trust 네트워크를피쳐로추출하고, Naive Bayes, Bayesian Network, J48, KNN, Logistic Regression, Adaboost 알고리즘에적용하여 MMORPG에서골드파머를분류하였다 [20]. knn 알고리즘은학습데이터중가장유사한 k 개의데이터를이용해새로운데이터의부류값을예측하는알고리즘이다. 이알고리즘은학습과정이빠르고효과적으로분류하는장점이있지만모든데이터에대해거리계산이필요하기때문에데이터의크기가커짐에따라많은소비시간을가지는단점이있다. Kuan-Ta Chen 등은서버단에서캐릭터의이동패턴을데이터마이닝기법에적용하여 FPS에서게임봇탐지방법을제시하였다. 제시한방법은캐릭터의이동경로를추적하여특징으로추출하고, knn, SVM 알고리즘에적용하여게임봇을분류하였다 [26]. Logistic Regression 은 2개의종속변수와독립변수사이의관련성을추정하는통계기법이다. 이기법은계산비용이적고결과해석을위한표현이쉬운장점이있지만학습이잘되지않은모델의경우낮은정확도를가지는단점이있다. Hashem Alayed 등은클라이언트단에서캐릭터의행위를데이터마이닝기법에적용하여 FPS에서 Aim봇탐지방법을제시하였다. 제시한방법론은게임내전투시타겟에대한조준정확도, 적중률, 캐릭터의이동패턴, 캐릭터와타겟과의거리과같은특징을추출하고, Logistic Regression 기법및 SVM 알고리즘에적용하여 Aim 봇을탐지하였다 [22]. Bayesian Network 그래프이론과확률이론의결합에기초한확률그래프모델이다. 이알고리즘은변수들간의상관관계를쉽게이해하는것이가능한장점이있지만관련없는속성들에대한데이터축소과정이필요한단점이있다. Jehwan Oh 등은서버단에서캐릭터의행위및소셜네트워크분석을통해 MMORPG 에서게임봇을탐지하였다. 제시한방법론은휴식시간, 휴식횟수, 구매횟수, 판매횟수, 사냥으로획득한경험치양, 길드가입한플레이어수와같은캐릭터행위에대한특징과멘토링네트워크와같은소셜네트워크에대한특징을추출하고, Bayesian Network, J48, knn, Logistic Regression, Naive Bayesian, Adaboost 알고리즘에적용하여게임봇을분류하였다 [21]. Adaboost 알고리즘은약한분류기들을선형으로조합하고반복을통해가중치값을추출하여새로운데이터의부류값을예측하는알고리즘이다. 이알고리즘은오류율이낮고빠른연산속도를가지는장점이있지만오류데이터에대해민감한단점이있다. Muhammad Aurangzeb Ahmad 등은서버단에서캐릭터의행위데이터를데이터마이닝기법에

1104 온라인게임에서의이상징후탐지기법조사및분류 Table 5. Classification depending on a detection algorithm Category Research Characteristic Key research Decision Tree SVM Naive Bayes knn Logistic Regression Bayesian Network Adaboost Neural Network [8],[18],[20], [21],[28],[33], [44],[46] [7],[13],[19], [22],[25-26], [36] [8],[12],[20-21], [32-33] [8],[18],[20-21], [26],[33] [8],[20-22],[29], [33] [8],[18],[21], [33],[34] [8],[18],[21], [33] [18],[27],[45] - Easy to interpret of result - Low accuracy than relatively other classification algorithms - Guarantee high accuracy of robustness for error data - Difficult to interpret of result - High accuracy depending on simple model and efficient calculation - Fast learning stage - Proportional relation between data size and computation time depending on calculation of distance in all of the data - Low computation - Easy to represent knowledge for interpreting of result - Low accuracy depending on underfitting - Easy to understand correlation between features - Requiring data reduction of relationless attributes - Low error rate and Fast computation speed - Sensitiveness in noise data - High accuracy and lots of computation time because of lots of computation quantities - Difficult to interpret grounds of result - Detection of auto programs for MMORPGs [28] - Detection of MMORPG bots based on behavior analysis [25] - Guilt by association? Network based propagation approaches for gold farmer detection [20] - Game bot identification based on manifold learning [26] - Behavioral-based cheating detection in online first person shooters using machine learning techniques [22] - Bot Detection Based on Social Interactions in MMORPGs [21] - Mining for gold farmers: Automatic detection of deviant players in mmogs [33] - The ones that got away: False negative estimation based approaches for gold farmer detection [18] 적용하여 MMORPG 에서골드파머탐지방법을제시하였다. 제시한방법론은게임내캐릭터의행위시퀀스패턴을특징으로추출하고, Adaboost, Bayes network, Naive Bayes, Logistic regression, J48, knn 알고리즘에적용하여골드파머를탐지하였다 [33]. Neural Network 알고리즘은노드 (Node) 와엣지 (Edge) 로구성된망구조를모형화하고, 수집된데이터를반복학습과정에적용하여패턴을찾아새로입력되는데이터의부류값을예측하는알고리즘이다. 이알고리즘은다른알고리즘들에비해비교적높은정확도를가지는장점이있지만기준근거를알기어렵고, 많은연산량으로인해많은소비시간과분류결과에대한기준근거를알기어려운단점이있다. Atanu Roy 등은서버단에서소셜네트워크 데이터를데이터마이닝기법에적용하여 MMOG에서골드파밍그룹을탐지하였다. 제시한방법은캐릭터간의거래, 그룹, 멘토네트워크와같은소셜네트워크정보를특징으로추출하였고, 이를 MLP (Multilayer perceptron), Bayes Network, knn, AdaBoost, J48 알고리즘에적용하여골드파밍그룹을분류하였다 [18]. 4.4 데이터소스에따른분류이상징후탐지는데이터소스에따라분류가가능하다. 기준이되는데이터소스는캐릭터행위, 캐릭터이동경로, 사용자행위, 소셜네트워크데이터, 네트워크트래픽데이터, 이미지소스로나눌수있다. Table 6. 는데이터소스에따른온라인게임

정보보호학회논문지 (2015. 10) 1105 Table 6. Classification depending on a data source Category Research Characteristic Key research Character behavior Character travel path User behavior Social network Network traffic Image source [9],[12-17], [19],[22], [24-25],[32-34], [36],[38], [40-41] [6],[11],[26], [37],[48] [13],[28],[36-37 ],[41-42],[46] [7],[8],[10], [18],[20-21], [27],[29], [30-31],[39] [43-45] [23],[35],[47] - Easy to classification between normal character and abnormal character because of different behavior - Requiring lots of data source because of high accuracy - Easy to classification because of difference of travel path each to each - Requiring differential application depending on using map - Easy to classification because of difference of Window event between normal user and abnormal user - Requiring client module to analysis - Applicable in online game, easy to classification between normal user and abnormal user - Difficult to classification between normal user and abnormal user in solo play game - Enable using without modifying in server and client - Enable fast response for abnormal user in case of leak of detection rule - Small computation and resource because of image source - Falling of game immersion in game playing - Online game bot detection based on party-play log analysis [15] - Second life: a social network of humans and bots [10] - An automatic and proactive identity theft detection model in MMORPGs [36] - Battle of botcraft: fighting bots in online games with human observational proofs [27] - A modern turing test: Bot detection in MMORPGs [45] - Preventing bots from playing online games [47] 관련보안연구들을분류한것이다. 캐릭터행위는게임플레이시서버에저장되는캐릭터행위로그이다. 캐릭터행위로그는액션행위시퀀스, 경험치획득, 로그인및로그아웃데이터, 획득재화, 상점이용횟수, 승리비율, 조준정확도, 타겟과의거리와같은데이터이다. Ah Reum Kang 등은서버단에서일반캐릭터들이파티플레이를통해얻게되는경험치, 획득한아이템, 획득한재화, 파티플레이시간, 시간에따른파티원의변화를특징으로추출하고통계적기법에적용하여 MMORPG 에서의게임봇을탐지하였다 [15]. Mee Lan Han 등은서버단에서캐릭터의승리비율, 헤드샷비율, 플레이시간, 게임재화및경험치변화량, 연속승리비율을특징으로추출하고, 통계적기법에적용하여 FPS에서게임봇을탐지하였다 [16]. 캐릭터이동경로는게임플레이시캐릭터가이동한경로를추적한데이터이다. 일반캐릭터와다르게이상행위를하는캐릭터의경우특정지역만이동하거나반복적으로동일구간만이동하는등일반캐릭터와는다르게이동하므로이를이상징후탐지에데이터소스로사용된다. Matteo Varvello 등은서버단에서일반사용자간의연결성이일반사용자와게임봇간의연결성보다강하게구성되어있는차이점을특징으로추출하고, 통계적기법에적용하여게임봇을분류하였다 [10]. 사용자행위는게임플레이시사용자가입력하는키보드입력, 마우스클릭, 마우스움직임, 사용자접속 IP 주소, 해당 PC MAC 주소와같은데이터이다. Jiyoung Woo 등은서버단에서캐릭터및

1106 온라인게임에서의이상징후탐지기법조사및분류 사용자행위데이터를데이터마이닝기법에적용하여 MMORPG 에서계정도용탐지방법을제시하였다. 제시한방법론은연결한유저의 IP 주소, MAC 주소와같은연결정보와로그인시간, 거래금지를당한시간, 보유재화의감소, 보유경험치의증가와같은캐릭터의행위분석을특징으로추출하고, SVM 알고리즘에적용하여 MMORPG 에서계정도용을탐지하였다 [36]. 소셜네트워크데이터는게임플레이시서버에저장되는캐릭터의소셜행위및네트워크데이터이다. 사용되는데이터는캐릭터의채팅, 거래, 파티, 길드, 멘토링, PVP와같은소셜네트워크관련데이터이다. Steven Gianvecchio 등은서버단에서사용자행위데이터를데이터마이닝기법에적용하여게임봇탐지방법을제시하였다. 제시한방법론은마우스클릭, 키보드입력, Drag&Drop 과같은사용자가게임플레이할경우에발생하는행위를특징으로추출하고, Neural Network 알고리즘에적용하여 MMOG에서게임봇을탐지하였다 [27]. 네트워크트래픽은게임플레이시서버와클라이언트간의전송되는패킷사이즈, 종류, 빈도, 타이밍과같은데이터를의미한다. Adam Cornelissen 등은네트워크단에서네트워크트래픽을데이터마이닝기법에적용하여 MMORPG 에서게임봇탐지방법을제시하였다. 제시한방법론은새로운세션연결, 캐릭터의위치이동, 캐릭터의방향변화, 아이템습득, 공격에대한게임내캐릭터들의행위에따라발생하는네트워크패킷의수를특징으로추출하 고, Neural Network 알고리즘에적용하여게임봇을탐지하였다 [45]. 이미지소스는카드게임에서게임내카드의그림을방향회전하거나이미지변형을하거나, 게임에서 CAPTCHA 를위한사진에문자열로표시되어사용된다. Golle Philippe 등은클라이언트단에서튜링테스트를통해서게임봇예방방법을제시하였다. 제시한방법은게임을이용하는유저가사람인지게임봇인지를판단하기위해사용하는 CAPTCHA 이미지를카드게임에적용한것이다 [47]. 4.5 게임장르에따른분류이상징후탐지는온라인게임장르에따라분류가가능하다. 기준이되는온라인게임장르는 MMORPG, FPS, 카드게임, 경주게임 (racing game) 으로나눌수있다. Table 7. 은게임장르에따른온라인게임관련보안연구들을분류한것이다. MMORPG (Massive Multiplayer Online Role Playing Game) 는대규모다중사용자온라인롤플레잉게임의줄임말로게임속의캐릭터들을설정하여온라인상에서여러사용자들이같은가상공간에서동시에즐길수있는게임이다. Chung Yeounoh 등은서버단에서게임캐릭터의행위를데이터마이닝기법에적용하여게임봇분류방법을제시하였다. 제시한방법론은사냥, 공격, 방어, 회피, 회복과같은캐릭터의전투관련패턴과수집패턴, 이동패턴을피쳐로추출하고, SVM 알고리즘에 Table 7. Classification depending on a game genre Category Research Characteristic Key research MMORPG FPS Card Game Racing Game [6-12],[14-15], [17-21],[25], [27-33],[36], [39-46],[48] [12],[15],[22], [24-25],[34], [37] - High degree of freedom in the game - Appearing a variety of user-specific features - Enable playing of cooperation - High initial entry barrier of game - Game playing of combat between peoples - Requiring fast response speed in game playing - High initial entry barrier of game [23],[35],[47] - Low initial entry barrier of game [38] - Requiring to understand for game play map - Low initial entry barrier of game - Game Bot Detection Approach Based on Behavior Analysis and Consideration of Various Play Styles [19] - A statistical aimbot detection method for online FPS games [24] - Embedded noninteractive continuous bot detection [35] - Win, lose or cheat: The analytics of player behaviors in online games [38]

정보보호학회논문지 (2015. 10) 1107 적용하여 MMORPG 에서게임봇을분류하였다 [19]. Ah Reum Kang 등은서버단에서캐릭터의채팅행위를데이터마이닝기법에적용하여게임봇탐지방법을제시하였다. 제시한방법론은채팅크기, 빈도, 채팅종류, 채팅하는사람, 채팅위치와같은채팅관련특징을추출하고, Random forest, Logistic regression, Lazy learning 알고리즘에적용하여 MMORPG 에서게임봇을탐지하였다 [29]. Hyukmin Kwon 등은서버단에서캐릭터들간의단방향거래네트워크분석을통계적기법에적용하여 MMORPG 에서게임봇을탐지하였다 [30]. FPS (First-person shooter) 는게임내캐릭터의시점을 1인칭시점에서바라보며게임의목적을수행하는게임이다. Su-Yang Yu 등은서버단에서캐릭터행위분석을이용하여 FPS에서 Aim봇을탐지하는방법을제시하였다. 제시한방법론은타겟을조준하는데걸리는마우스커서의속도, 타겟을조준하는데걸리는시간등과같은캐릭터행위에대한특징을추출하고, 통계적기법에적용하여FPS에서 Aim봇을분류하였다 [24]. S.F. Yeung 등은서버단에서캐릭터의행위데이터를데이터마이닝기법에적용하여 Aim봇탐지방법을제시하였다. 제시한방법론은캐릭터의움직임타겟조준의정확성, 조준거리를특징으로추출하고, Bayesian Network 알고리즘에적용하여 FPS에서 Aim봇을탐지하였다 [34]. 카드게임은게임내에서주어지는카드를이용하여게임상에서다른캐릭터들과의경쟁에서이기는보드게임의한종류이다. Roman V. Yampolskiy 등은온라인카드게임에서튜링테스트기법의 CAPTCHA 를적용하여게임내게임봇을예방하는방법을제안하였다 [35]. 경주게임은게임속캐릭터와다른캐릭터들간스피드경쟁을통해출발점에서시작하여결승점까지이동하는게임이다. Johanne Christensen 등은서버단에서캐릭터의행위분석을통계적기법에적용하여게임핵탐지방법을제시하였다. 제시한방법론은레이싱게임에서경주대상의경주속도및시간을클라이언트와서버에서의비교하고, 통계적기법에적용하여경주게임에서게임핵을탐지하였다 [38]. 4.6 탐지대상에따른분류이상징후탐지는탐지대상에따라분류가가능하다. 기준이되는탐지대상은게임봇탐지, 게임봇예방, 게임핵탐지, 계정도용탐지, 골드파밍그룹탐지로나눌수있다. Table 7. 은탐지대상에따른온라인게임관련보안연구들을분류한것이다. Table 8. Classification depending on a detection target Category Research Characteristic Key research Game bot detection Gold farming group detection Account steal detection Game bot prevention Game hack detection [6],[9-13], [15-17],[19], [21-22],[24-32], [34],[40],[43], [44-46],[48] [7-8],[18],[20], [33],[39],[42] [14],[36-37], [41] [23],[35],[47] - Pattern detection of repetitive behavior for specific purpose - Using feature of character transaction data - Detection through using the most of social network data - Detection through using the most of user access information and login data - Using the most of Turing Test technique - Access control for another program through game security solution [38] - Using game security solution - I know what the BOTs did yesterday: Full action sequence analysis using Naïve Bayesian algorithm [32] - What can free money tell us on the virtual black market? [39] - Trajectory based behavior analysis for user verification [37] - Preventing bots from playing online games [47] - Win, lose or cheat: The analytics of player behaviors in online games [38]

1108 온라인게임에서의이상징후탐지기법조사및분류 게임봇탐지는서버에저장가능한캐릭터행위, 이동경로, 사용자행위, 소셜네트워크데이터, 네트워크트래픽데이터를분석하여게임속에서사용자대신게임을플레이해주는자동화된프로그램을탐지하는것이다. Sang-Hyun Park 등은서버단에서타겟사냥지속시간, 마을에서머무르는시간, 사냥시의휴식상태, 맵의변화, 획득경험치와같은캐릭터의행위분석을특징으로추출하고, 통계적기법에적용하여 MMORPG에서게임봇을탐지하였다 [31]. Jina Lee 등은서버단에서캐릭터행위분석을데이터마이닝기법에적용하여게임봇탐지방법을제시하였다. 제시한방법론은게임내에서캐릭터의행위시퀀스를특징으로추출하고, Naive Bayesian 기법에적용하여 MMORPG 에서게임봇을탐지하였다 [32]. Hyukmin Kwon 등은서버단에서캐릭터행위분석을유사도패턴매칭기법에적용하여게임봇탐지방법을제시하였다. 제시한방법은캐릭터의행위시퀀스를특징으로추출하고, Cosine similarity 알고리즘에적용하여 MMORPG 에서게임봇을탐지하였다 [40]. 골드파밍그룹탐지는게임내대규모의게임봇을이용하여게임재화를획득하는작업장을탐지하는방법으로서버에저장되는로그를통해이루어진다. Kyungmoon Woo 등은서버단에서거래네트워크중대가없는게임재화거래에대한특징을통계적기법에적용하여 MMORPG 에서골드파밍그룹을탐지하였다 [39]. Dongnam Seo 등은서버단에서유저행위정보를데이터마이닝기법에적용하여골드파밍그룹탐지방법을제시하였다. 제시한방법론은유저의접속 IP 주소, 계정명, 국가코드등과같은정보를특징으로추출하고, k-means 알고리즘에적용하여골드파밍그룹을탐지하였다 [42]. 계정도용탐지는게임사용자의계정을탈취하여불법로그인수행과같은부정행위를탐지하는방법으로서버에저장되는게임플레이로그를이용하여탐지한다. Pao Hsing-Kuo 등은서버단에서유저행위분석을데이터마이닝기법에적용하여계정도용탐지방법을제시하였다. 제시한방법론은게임내캐릭터의이동경로및사용자의마우스경로추적을특징으로추출하고, HMM 알고리즘에적용하여 FPS에서계정도용을탐지하였다 [37]. Hwa Jae Choi 등은서버단에서캐릭터의접속 IP 주소와같은유저행위정보및아이템판매횟수, 경험치획득, 캐릭터레벨, 게임플레이시간, 캐릭터내재 화감소비율, 개인상점이용횟수등캐릭터행위정보를특징으로추출하고, 통계적기법에적용하여 MMORPG에서계정도용을탐지하였다 [41]. 게임봇예방은사전에게임봇의사용을막는것으로게임클라이언트실행시게임보안솔루션을적용하여다른프로그램의접근을제어한다. 다른방법으로게임기획시게임내부의튜링테스트기법을적용하여게임봇의이용을방해하는방법이다 [22][35][47]. 게임핵탐지는서버에저장되는로그를이용하여게임내스피드핵, 월핵, 맵핵등과같이메모리조작또는네트워크패킷조작을통해이루어지는부정행위를막는방법이다 [38]. V. 고찰 Fig 2. 는분류기준에따른연도별온라인연구분포를나타낸것이다. (a) 는탐지단에따른연도별연구분포를나타낸것으로 2005년부터 2013년까지서버단에서의탐지하는연구가많이진행되었고, 네트워크단과클라이언트단에서는많이진행되지않은것을알수있다. 서버, 네트워크, 클라이언트단에서의연구중서버단에서의연구가많이이루어진것은데이터수집및분석이용이하고, 분석자원및속도의저하를일으키지않은장점이있기때문인것으로볼수있다. (b) 는탐지기법에따른연도별연구분포를나타낸것으로데이터마이닝기법과통계적기법이꾸준히증가한것을확인할수있다. 데이터마이닝기법, 통계적기법, 유사도패턴매칭기법, 튜링테스트기법중데이터마이닝기법을적용한연구가많이이루어진것은시간이흐르면서게임플레이로그의양이많아짐에따라분석하기용이하고상대적으로다른기법들에비해높은정확도를가지는장점이있기때문인것으로볼수있다. (c) 는탐지알고리즘에따른연도별연구분포를나타낸것으로 Decision Tree와 SVM 알고리즘이많은연구에서사용되었다. 그이유로 Decision Tree는결과에대한해석이가능하고연산속도가빠르다는장점이있고 SVM은결과에대한해석이어렵지만다른알고리즘들에비해정확도가높은장점이있기때문인것으로볼수있다. (d) 는데이터소스에따른연도별연구분포를나타낸것으로캐릭터행위데이터가많이사용되었으

정보보호학회논문지 (2015. 10) 1109 (a) Distribution of annual research depending on a detection side (b) Distribution of annual research depending on a detection technique (c) Distribution of annual research depending on a detection algorithm (d) Distribution of annual research depending on a data source (e) Distribution of annual research depending on a game genre (f) Distribution of annual research depending on a detection target Fig. 2. Distribution of annual research depending on criteria for classification 며 그 외 소셜 네트워크 데이터 및 사용자 행위 데이 이루어졌고, 그 외에 FPS에서 이루어진 것을 알 수 터가 많은 연구에서 사용된 것을 알 수 있다. 데이터 소스 중 캐릭터 행위 데이터를 이용한 연구가 많이 이루어진 것은 사용자들의 습관적 행동을 게임 속 캐 있다. 게임 장르 중 MMORPG 장르에 대해 연구가 많이 이루어진 것은 MMORPG의 게임 내 자유도가 높아 사용자별 다양한 특징이 나타나고, 유명 릭터가 많은 부분에서 나타내기 때문인 것으로 생각 할 수 있다. 두 번째로 많이 이용된 데이터 소스는 소셜 네트워크 데이터로 게임봇 및 골드파밍 그룹과 MMORPG 게임의 경우 게임봇을 이용한 부정행위 가 많이 일어나기 때문에 이를 탐지하기 위한 것으로 볼 수 있다. 같이 게임 재화를 획득하여 현금교환을 위해 거래 행 위 및 소셜 네트워크를 형성할 경우 쉽게 비교가 가 능하기 때문인 것으로 생각할 수 있다. (f)는 탐지 대상에 따른 연도별 연구 분포를 나타 낸 것으로 게임봇 탐지 부분에서 많은 연구가 이루어 졌고, 그 다음으로 골드파밍 그룹 탐지, 계정도용 탐 (e)는 게임 장르에 따른 연도별 연구 분포를 나타 낸 것으로 많은 연구가 MMORPG 게임 장르에서 지 순으로 연구가 된 것을 확인할 수 있다. 다양한 탐지 대상 중 게임봇 탐지에 대해 많은 연구가 이루

1110 온라인게임에서의이상징후탐지기법조사및분류 어진것은게임봇의경우특정목적을가지기때문에반복적인행위에대한분석을통해보다쉽게분류할수있고, 게임봇을이용한게임속재화획득및현금교환이가능하고온라인게임회사의게임봇사용으로인한손실을방지하기위한것으로생각할수있다. Fig 1. 을통해온라인게임시장의규모와모바일게임시장의규모를생각해보면모바일게임시장에서부정행위가크게성장할것으로보인다. 하지만이에따른모바일게임에대한연구는많이이루어지지않았는데그이유를세가지정도로생각해볼수있다. 첫째, 모바일게임은게임의생명주기가짧아부정행위가발생할만한환경이구성되지않는다. 모바일게임의생명주기는짧으면 2~3달정도로그이상의기간이지나게되면사용자들이다른게임으로옮겨가기때문에부정행위자들은목표대상을잃어버리게된다. 둘째, 게임내사용자들의아이템거래가이루어지지않는다. 이는게임캐릭터간의교환이이루어지지않기때문에게임봇을이용한아이템을획득하더라도이를이용한현금교환이불가능하다. 셋째, 모바일게임내 NPC에게아이템을구매할경우게임내재화또는실제현금으로결제를해야얻을수있다. 이와같은이유로인해모바일게임에서부정행위에대한탐지및예방연구가많이진행되지않은것으로보인다. 모바일게임은향후게임내사용자들간아이템거래활성화가이루어질경우이를통한게임내게임봇사용수가많아질것이기때문에모바일환경에서의게임봇탐지관련연구가진행되어야할것으로보인다. 또한현재모바일게임의특성상온라인게임과는다르게결제부정이많이이루어지고있기때문에이를예방및탐지가능한연구가이루어져야할것으로보인다. VI. 결론온라인게임시장성장과더불어이를이용한부정행위역시빠르게성장해왔다. 부정행위는게임회사와게임이용자모두에게많은피해를입히고있다. 이를방지하기위해서게임보안솔루션과같은제품을설치하여대응하고있다. 하지만게임보안솔루션으로부정행위를완벽하게막는것에는어려움이있다. 게임별이루어지는부정행위가다르고이를막기위해서는다양한방법과시각에서보안이행해져야한다. 또한게임기획과함께조화가능한보안 솔루션의적용되어야한다. 본논문에서는온라인게임에서의부정행위및부정행위탐지및예방관련연구들을조사하였다. 조사한연구들을탐지단, 탐지기법, 탐지알고리즘, 적용한데이터소스, 게임장르, 탐지대상과같이 6 개의분류기준을통해분류하였다. 또한분류기준에따른연도별연구분포와플랫폼별시장규모를통해향후연구가필요한분야에대해논의하였다. 향후플랫폼변화에따라부정행위의형태가변화하면과거의탐지및예방관련연구들의적용이어려울수있기때문에다양한환경에서의대응연구가이루어져야할것이다. References [1] Newzoo, 2014 Global games Market Report [2] AhnLab, ASEC Report, vol.59, Nov. 2014 [3] Jeff Yan, Jianxin, and Hyun-Jin Choi, Security issues in online games, The Electronic Library, vol. 20, no. 2, pp. 125-133, 2002 [4] Jeff Yan, Security design in online games, Computer Security Applications Conference, pp. 286-295, Dec. 2003 [5] Jiyoung Woo, and Huy Kang Kim, Survey and research direction on online game security, Proceedings of the Workshop at SIGGRAPH Asia, pp. 19-25, Nov. 2012 [6] Yuuki Mishima, Kenji Fukuda, and Hiroshi Esaki, An analysis of players and bots behaviors in MMORPG, Advanced Information Networking and Applications, pp. 870-876, Mar. 2013 [7] Fujita Atsushi, Hiroshi Itsuki, and Hitoshi Matsubara, Detecting Real Money Traders in MMORPG by Using Trading Network, AIIDE, Oct. 2011 [8] Ahmad, M. A., Keegan, B., Sullivan, S., Williams, D., Srivastava, J., and Contractor, N., Illicit bits: Detecting and analyzing contraband networks in Massively Multiplayer Online Games,

정보보호학회논문지 (2015. 10) 1111 Privacy, Security, Risk and Trust (PASSAT) and 2011 IEEE Third Inernational Conference on Social Computing, pp. 127-134, Oct. 2011 [9] Kuan-Ta Chen and Li-Wen Hong, User identification based on game-play activity patterns, ACM SIGCOMM workshop on Network and system support for games, pp. 7-12, Sep. 2007 [10] Varvello Matteo and Geoffrey M. Voelker, Second life: a social network of humans and bots, Proceedings of the 20th international workshop on Network and operating systems support for digital audio and video, pp. 9-14, June 2010 [11] Mitterhofer Stefan, Platzer Christian, Kruegel Christopher and Kirda Engin, Server-side bot detection in massive multiplayer online games, IEEE Security and Privacy, pp. 29-36, vol. 7, no. 3, May 2009 [12] Jina Lee, Jiyoun Lim, Wonjun Cho and Huy Kang Kim, In-Game Action Sequence Analysis for Game BOT Detection on the Big Data Analysis Platform, Proceedings of the 18th Asia Pacific Symposium on Intelligent and Evolutionary Systems, vol. 2, pp. 403-414, Jan. 2015 [13] Su-Yang Yu, Nils Hammerla, Jeff Yan, and Peter Andras, Aimbot detection in online fps games using a heuristic method based on distribution comparison matrix, Neural Information Processing, pp. 654-661, Jan. 2012 [14] Oh Jehwan, Zoheb Hassan Borbora and Jaideep Srivastava, Automatic detection of compromised accounts in mmorpgs, 2012 International Conference on Social Informatics, pp. 222-227, Dec. 2012 [15] Ah Reum Kang, Jiyoung Woo, Juyong Park, and Huy Kang Kim, Online game bot detection based on party-play log analysis, Computers & Mathematics with Applications, vol. 65, no. 9, pp. 1384-1395, May 2013 [16] Mee Lan Han, Jung Kyu Park and Huy Kang Kim, Online Game Bot Detection in FPS Game, Proceedings of the 18th Asia Pacific Symposium on Intelligent and Evolutionary Systems-Volume, vol. 2, pp. 479-491, Jan. 2015 [17] Platzer Christian, Sequence-based bot detection in massive multiplayer online games, Information, Communications and Signal Processing, pp. 1-5, Dec. 2011 [18] Roy Atanu, Ahmad Muhammad Aurangzeb, Sarkar CHandrima, Keegan Brian and Srivastava Jaideep, The ones that got away: False negative estimation based approaches for gold farmer detection, Privacy, Security, Risk and Trust, pp. 328-337, Sep. 2012 [19] Yeounoh Chung, Chang-young Park, Noo-ri Kim, Hana Cho, Taebok Yoon, Hunjoo Lee and Jee-Hyong Lee, Game Bot Detection Approach Based on Behavior Analysis and Consideration of Various Play Styles, ETRI Journal, vol. 35, no. 6, pp. 1058-1067, 2013 [20] Ahmad Mohd Ashraf, Keegan Brian, Roy Atanu, Dmitri Williams, Srivastava Jaideep and Contractor Noshir, Guilt by association? Network based propagation approaches for gold farmer detection, Advances in Social Networks Analysis and Mining, pp. 121-126, Aug. 2013 [21] Jehwan Oh, Borbora Zoheb Hassan, Sharma Dhruv and Srivastava Jaideep, Bot Detection Based on Social Interactions in MMORPGs, Social Computing, pp. 536-543, Sep. 2013 [22] Alayed Hashem, Fotos Frangoudes and Clifford Neuman, Behavioral-based cheating detection in online first person shooters using machine learning techniques, Computational Intelligence in

1112 온라인게임에서의이상징후탐지기법조사및분류 Games, pp. 1-8, Aug. 2013 [23] McDaniel Ryan, and Roman V. Yampolskiy, Development of embedded CAPTCHA elements for bot prevention in fischer random chess, International Journal of Computer Games Technology, vol. 2012, no. 2, Jan. 2012 [24] Su-Yang Yu, Hammerla Nils and Andras Peter, A statistical aimbot detection method for online FPS games, The International Joint Conference on Neural Networksm, pp. 1-8, June 2012 [25] Ruck Thawonmas, Yoshitaka Kashifuji, and Kuan-Ta Chen, Detection of MMORPG bots based on behavior analysis, International Conference on Advances in Computer Entertainment Technology, pp. 91-94, Dec. 2008 [26] Kuan-Ta Chen, Hsing-Kuo Kenneth Pao and Hong-Chung Chang, Game bot identification based on manifold learning, ACM SIGCOMM Workshop on Network and System Support for Games, pp. 21-26, Oct. 2008 [27] Steven Gianvecchio, Zhenyu Wu, Mengjun Xie and Haining Wang, Battle of botcraft: fighting bots in online games with human observational proofs, ACM conference on Computer and communications security, pp. 256-268, Nov. 2009 [28] Hyungil Kim, Sungwoo Hong and Juntae Kim, Detection of auto programs for MMORPGs, Advances in Artificial Intelligence, pp. 1281-1284, Dec. 2005 [29] Ah Reum Kang, Huy Kang Kim and Jiyoung Woo, Chatting pattern based game BOT detection: do they talk like us?, TIIS, vol. 6, no. 11, pp. 2866-2879, 2012 [30] Hyukmin Kwon, Kyungmoon Woo, Hyun-chul Kim, Chong-kwon Kim and Huy Kang Kim, Surgical strike: A novel approach to minimize collateral damage to game BOT detection, Workshop on Network and Systems Support for Games, pp. 1-2, Dec. 2013 [31] Sang-Hyun Park, Hey-Wuk Jung, Sung-Woo Bang and Jee-Hyong Lee, Game behavior pattern modeling for game bots detection in MMORPG, International Conference on Uniquitous Information Management and Communication, pp. 33, Jan. 2010 [32] Jina Lee, Jiyoun Lim, Wonjun Cho and Huy Kang Kim, I know what the BOTs did yesterday: Full action sequence analysis using Naïve Bayesian algorithm, Annual Workshop on Network and Systems Support for Games, pp. 1-2, Dec. 2013 [33] Muhammad Aurangzeb Ahmad, Brian Keegan, Jaideep Srivastava, Dmitri Williams and Noshir Contractor, Mining for gold farmers: Automatic detection of deviant players in mmogs, Computational Science and Engineering, vol. 4, pp. 340-345, Aug. 2009 [34] S.F.Yeung, John C.S.Lui, Jiangchuan Liu and Jeff Yan, Detecting cheaters for multiplayer games: theory, design and implementation, Proc IEEE CCNC, vol. 6, pp. 1178-1182, Jan. 2006 [35] Roman V. Yampolskiy and Venu Govindaraju, Embedded noninteractive continuous bot detection, Computers in Entertainment, vol. 5, no. 4, 2008 [36] Jiyoung Woo, Hwa Jae Choi and Huy Kang Kim, An automatic and proactive identity theft detection model in MMORPGs, Appl. Math, vol. 6, no. 1, pp. 291-302, 2012 [37] Hsing-Kuo Pao, Hong-Yi Lin, Kuan-Ta Chen and Junaidillah Fadlil, Trajectory based behavior analysis for user verification, Intelligent Data Engineering and Automated Learning IDEAL, vol. 6283, pp. 316-323, 2010 [38] Christensen Johanne, Oleg Veryovka and

정보보호학회논문지 (2015. 10) 1113 Ben Watson, Win, lose or cheat: The analytics of player behaviors in online games, TR-2013-5, Computer Science, North Carolina State University, 2013 [39] Kyungmoon Woo, Hyukmin Kwon, Hyun-chul Kim, Chong-kwon Kim and Huy Kang Kim, What can free money tell us on the virtual black market?, ACM SIGCOMM Computer Communication Review, vol. 41, no. 4, pp. 392-393, Aug. 2011 [40]Hyukmin Kwon and Huy Kang Kim, Self-similarity based bot detection system in mmorpg, Proceedings of the 3th International Conference on Internet, pp. 477-481, Dec. 2011 [41] Hwa Jae Choi, Ji Young Woo and Huy Kang Kim, Detecting Account Thefts on the Server-Side by Analyzing Game Log in MMORPGs, Proceedings of the 3th International Conference on Internet, pp. 501-506, Dec. 2011 [42] Dongnam Seo and Huy Kang Kim, Detecting Gold-farmers Groups in MMORPG by connection information, Proceedings of the 3th International Conference on Internet, pp. 583-588, Dec. 2011 [43] Kuan-Ta Chen, Jiang Jhih Wei, Huang Polly, Chu Hao Hua, Lei Chin Laung and Chen Wen Chin, Identifying MMORPG bots: A traffic analysis approach, EURASIP Journal on Advances in Signal Processing, vol. 2009, no. 3, Jan. 2009 [44] Sylvain Hilaire, Hyun-chul Kim and Chong-kwon Kim, How to deal with bot scum in MMORPGs?, Communications Quality and Reliability, pp. 1-6, June 2010 [45] Adam Cornelissen and Franc Grootjen, A modern turing test: Bot detection in MMORPGs, Belgian-Dutch Conference on Artificial Intelligence, pp. 49-55, Oct. 2008 [46] Sungwoo Hong, Hyungil Kim and Juntae Kim, Identification of Auto Programs by Using Decision Tree Learning for MMORPG, Journal of Korea Multimedia Society, 9(7), pp. 927-937, July 2006 [47] Philippe Golle and Nicolas Ducheneaut, Preventing bots from playing online games, Computers in Entertainment, vol. 3, no. 3, pp. 3-3, July 2005 [48] Kesteren Marlieke Van, Jurriaan Langevoort and Franc Grootjen, A step in the right direction: Botdetection in MMORPGs using movement analysis, Proceedings of the 21st Belgian-Dutch Conference on Artificial Intelligence, Oct. 2009

1114 온라인게임에서의이상징후탐지기법조사및분류 < 저자소개 > 곽병일 (Byung Il Kwak) 정회원 2013 년 2 월 : 세종대학교컴퓨터공학과졸업 2013 년 9 월 ~ 현재 : 고려대학교정보보호학과석 박사통합과정 < 관심분야 > 온라인게임보안, 데이터마이닝, 네트워크보안, IoT 보안 김휘강 (Huy Kang Kim) 종신회원 1998 년 2 월 : KAIST 산업경영학과학사 2000 년 2 월 : KAIST 산업공학과석사 2009 년 2 월 : KAIST 산업및시스템공학과박사 2004 년 5 월 ~2010 년 2 월 : 엔씨소프트정보보안실장, Technical Director 2010 년 3 월 ~2014 년 12 월 : 고려대학교정보보호대학원조교수 2015 년 1 월 ~ 현재 : 고려대학교정보보호대학원부교수 < 관심분야 > 온라인게임보안, 네트워크보안, 네트워크포렌식