Almost of all online games have centralized server architecture, so game server might take a overload. For that reason, lots of problems such as delay and the server down are occurring. Therefore, online game developers have been conducting researches about distributed client model to disperse the server load. However, distributed client model has more security problems than centralized server model. In this thesis, we deeply analyze the security problems on online games and provide security solutions. Moreover, we separate game items from game server and propose a secure electronic trading system for the online game items to exchange them outside the game server. In the first part, we present classification of known attacks in online games and provide security solutions at each one. While previous works just presented attacks and solutions in case by case, we newly classify attacks by objectives and methods. Moreover, we present attacks in each of four layers: client, server, network, and environment. Through this systematic classification, solutions can be provided more efficiently even unknown future attacks. In the second part, we suggest a secure electronic trading system for online game items. This system makes up for the weak points in the current item trading system. We propose two models for online game item trade. One is the security corporation model and the other is real estate agency model. Moreover, we are able the game server to issue item certifications so that users can hold their own game items, do complete online trade, and exchange them between different games.

온라인 게임은 인터넷의 발달로 급속하게 성장하고 있으며, 게이머들은 전세계 어느 곳에서나 게임을 즐길 수 있게 되었다. 하지만, 대부분의 온라인 게임들이 서버 집중형의 아키텍쳐 모델을 가짐으로써 서버에 과부하가 생기는 문제가 발생하고 있다. 이로 인해 딜레이나 서버다운 등의 문제들이 발생하고 있으며, 따라서, 서버의 부하를 최소화하는 클라이언트 분산형에 대한 다각적인 연구가 이루어지고 있 다. 하지만, 클라이언트 분산형이 갖는 보안 문제는 기존의 서버 집중형에 비해 더욱 크다. 이는 연산이 클라이언트 단에서 이루어 지기 때문에 악의적인 사용자들에 의한 데이터 조작이 더욱 용이해 지기 때문이다. 우리는 이번 논문을 통하여,온라인 게임에서의 보안 문제를 심층 분석하고, 게임 아이템을 사용자들에게 분산시켜 게임 서버 밖에서 거래가 이루어 질 수 있는 새로운 전자거래 시스템을 제안해 보았다. 컴퓨터 게이머들은 현실 세계에서 경험할 수 없는 소위 가상현실을 통하여 괴물과 싸우기도 하고, 카지노 게임을 통해 백만장자를 경험해 보기도 한다. 하지만, 온라인 게임의 이러한 다양한 서비스에도 불구하고, 온라인 게임의 취약성을 이용한 악의적인 사용자들이 등장하게 되었다. 악의적인 사용자들은 온라인 게임을 통하여 자신의 해킹 기술을 자랑하기도 하고, 부당한 방법을 통하여 게임을 조작하여 상대방 우위에서 게임을 즐기기도 한다. 이와 같이 게임 상에 많은 보안문제가 발생하고 있음에도 불구하고 온라인게임에 있어 보안문제가 무시되어 왔으며, 보안 기술에 주의를 기울이지 못하여 왔다. 또한, 이전 온라인 게임 보안 연구에서는 온라인 게임에 대한 공격들과 이에 대한 해결 방안들을 사례별로 제시하는데 그쳤지만, 우리는 이번 논문을 통하여 온라인 게임에서의 악의적인 공격들을 공격 목적과 방법에 따라 새롭게 분류하였으며, 분류에 따른 솔류션을 제시하였다. 우선, 공격 목적에 의한 분류는 아이디/패스워드 도용, 숨겨진 정보의 노출, 데이터 수정, 그리고 치팅에 의한 우위 획득이 있다. 또한 공격들을 공격 수단에 의해 분류하였으며, 이는 클라이언트, 서버, 네트워크, 환경과 같이 네 개의 단으로 세분화하였다. 클라이언트 단에서의 공격은 메모리 스캐닝(Scanning)과 변조, 소프트웨어 변조, 소프트웨어의 버그(Bug) 및 결함 악용, 악의적인 코드(Malicious Code), 백도어(Backdoor) 등이며, 서버 단에서의 공격은 서버 환경의 취약성, 패스워드 사전 공격(Dictionary Attack), 운용체제(OS)의 보안 취약점, 내부자에 의한 공격 등이 있다. 네트워크 단에서의 공격은 패킷 스니핑(Packet Sniffing), 패킷 삽입, 삭제, 그리고 변조, 게임 웹 페이지로 가장, 서비스 거부 공격(Denial of Service)등 이며, 마지막으로 환경에서는 핵(Hack), 합법적인 절차와 정책의 악용, 사회 공학 공격(Social Engineering) 등이 있다. 우리는 이러한 악의적인 공격에 대한 체계적인 분류에 따라 최적의 보안 솔류션을 제공하였다. 다음으로 우리는 서버로부터 분리해낸 아이템을 게임 서버 밖에서 거래가 가능하도록 게임 아이템의 안전한 전자거래 시스템을 제안하였다. 온라인 게임 속에서의 검,해머, 도끼, 창, 활 등의 아이템들은 게임 사용자들이 현실세계에서 경험하지 못한 세계를 가상사회를 통하여 보다 현실감 있게 느낄 수 있도록 해 주었으며, 가상 사회에서 부와 힘을 소유할 수 있도록 만들어 주었다. 현재 게임 사용자들 사이에 이러한 아이템들의 교환이 급증하고 있으며, 현금으로 아이템 거래가 이루어지고 있다. 현재 아이템 거래 시장에서 거래되고 있는 아이템 하나의 평균 거래금액은 약 16만원이며, 한 아이템 거래 시장을 통해 하루에 150건 이상의 거래가 이루어지고 있다. 하지만, 기존의 거래 시장은 많은 기술적인 문제점들을 안고 있다. 첫 번째로 완전한 온라인 거래가 아니다. 사용자들은 안전한 아이템 교환을 위해 물리적인 장소에 방문하여 아이템 교환을 하여야 한다. 두 번째, 복제된 아이템의 거래를 방지하지 못한다. 불법 복제된 아이템이 교환되었을 때 아이템 거래 중개 회사는 복제 아이템을 분별할 수 있는 능력이 없다. 세 번째, 교환시 많은 절차를 필요로 한다. 아이템 거래에 있어 구매자는 판매자와 연락을 직접 취해야 하며, 물건과 현금이 오갈 때 마다 아이템 중개 회사에 통보해야 한다. 하지만, 우리가 제안한 온라인게임 아이템의 안전한 전자거래 시스템은 이러한 문제점들을 모두 해결한다. 또한, 우리가 제안한 시스템은 게임 서비스 제공 업체가 아이템 인증서(Certification)를 게임 사용자들에게 발행함으로써 게임 사용자들에게 아이템에 대한 소유권을 인정하고 아이템 거래를 정당화 하였다. 아이템 인증서를 발행함으로써 첫 번째로, 게임 서버의 오류로 인한 아이템의 분실을 방지할 수 있으며, 두 번째로 서로 다른 게임간의 아이템 거래가 가능하다. 세 번째로, 게임 서버에 연결할 필요 없이 게임 아이템 중개 회사를 통하여 거래가 가능하며, 네 번째 로 아이템 복제로 인한 이중 사용을 방지할 수 있다. 마지막으로 비동시(non-real time) 거래가 가능하다. 본 논문에서 두 가지 모델을 제안 하고자 한다. 첫 번째 모델은 가장 이상적인 마켓의 형태로서, 마켓이 판·구매자들의 완전한 신뢰 속에서 판매자대신 그의 모든 역할을 수행하며 모든 거래를 책임진다. 이 모델은 증권회사를 생각하면 쉽게 이해될 것이다. 두 번째 모델은 마켓이 단지 판매 아이템의 리스트만을 제시며, 거래는 판·구매자 간에 이루어 진다. 단, 마켓은 판·구매시 거래 당사자들 사이에 문제가 발생할 경우 거래 중재를 한다. 이 모델은 부동산 중개소를 생각하면 쉽게 이해될 것이다. 결론으로, 현재 서버 집중화된 게임 구조로 인해 발생하고 있는 많은 문제점들을 해결하기 위한 클라이언트 분산형에 대한 지속적인 연구가 필요할 것이다.