온라인 게임은 지난 20년간 기술 분야에서 가장 크고 수익성 높은 산업 중 하나로 자리 잡았습니다. 매년 대형 게임사들은 신작 멀티플레이어 게임을 출시하며 치열한 경쟁을 펼칩니다. Minecraft, Call of Duty, Fortnite 등의 타이틀은 멀티플레이어의 힘을 기반으로 게임 역사상 가장 많이 팔린 게임 및 프랜차이즈 중 하나가 되었습니다. Gone 이제 싱글 플레이어가 게임의 전부였던 시대는 지났습니다.
대부분의 멀티플레이어 게임은 자체 전용 호스팅 서버를 제공하지만, 직접 서버를 운영하거나 서드파티 호스팅 플랫폼을 이용하려는 사람들도 있습니다. 이런 방식이 일반적이지는 않지만, 무시하기엔 적지 않은 규모입니다. 물론 특정 상황에서는 타당한 이유가 있을 수 있습니다. 하지만 그만큼 보안 위험도 커집니다. 이 글에서는 게임 서버 보안을 구성하는 요소와, 악의적인 공격자로부터 게임 서버를 보호하기 위한 기본 조치들을 살펴봅니다.
동기: 왜 사람들은 서드파티 서버에서 직접 호스팅할까요?
일부 게이머들이 공식 서버 대신 멀티플레이어 세션을 직접 호스팅하는 데는 몇 가지 주요 이유가 있습니다. 처음에는 이상하게 보일 수도 있지만, 게임 전용 프라이빗 서버를 구축하는 일은 결코 쉽지 않습니다. 그럼에도 불구하고 이를 선택하는 사람들에게는 분명한 이유가 있습니다. 어떤 이유들이 있을까요?
서비스 종료 게임
게이머들이 프라이빗 서버나 자체 서버에서 멀티플레이어 게임을 호스팅하는 가장 흔한 이유 중 하나는 공식 서비스가 종료된 게임들 때문입니다. 더 이상 접속할 수 있는 공식 서버가 없는 것입니다. 그럼에도 해당 게임에 대한 추억을 간직한 플레이어들은 멀티플레이어 기능을 직접 살려내기 위해 자체 서버를 만듭니다. Doom 3, 구버전 Command and Conquer 시리즈, 그리고 Counter-Strike의 초기 버전들이 대표적인 사례입니다.
모딩
모딩은 수정된 스크립트나 게임 코드를 활용해 게임 플레이 방식을 바꾸는 작업입니다. 예를 들어 모드를 통해 슈팅 게임에 새로운 무기를 추가할 수 있습니다. 대부분의 공식 서버는 치팅 우려와 호환성 문제로 인해 모드가 적용된 멀티플레이어를 지원하지 않습니다. 요즘 게임 문화에서 모딩이 차지하는 비중은 상당하기 때문에, 모드 상태로 멀티플레이어를 즐기고 싶은 많은 사람들은 직접 서버를 호스팅할 수밖에 없습니다. GTA Online의 RP 모드가 모딩 기반 자체 호스팅 멀티플레이어의 대표적인 예입니다.
프라이빗 게이밍
FPS 장르를 비롯한 많은 멀티플레이어 게임은 플레이어가 변경하거나 조정할 수 없는 고정된 게임 모드와 인원 제한을 가지고 있습니다. 2022년에 출시된 Halo Infinite가 그 예입니다. 게임 자체는 재미있지만, 많은 사람들이 친구들과만 즐기는 프라이빗 세션이나 규칙과 참가 인원을 직접 설정할 수 있는 환경을 원합니다. 이처럼 게임에 대한 더 큰 통제권을 갖고 싶다는 것이 자체 호스팅의 또 다른 주요 이유입니다.
어떤 게임이 주로 자체 또는 서드파티 호스팅을 사용하나요?
자체 호스팅이 가능한 게임은 일일이 열거하기 어려울 정도로 많습니다. 하지만 어떤 유형의 게임이 자체 호스팅에 많이 활용되는지 파악하기 위해, 프라이빗 비공식 서버에서 가장 많은 플레이어 기반을 보유한 게임 세 가지를 살펴보겠습니다.
Minecraft
게임에 대해 기본적인 지식이 있는 사람이라면 누구나 Minecraft가 이 목록에 등장할 것을 예상했을 것입니다. Minecraft는 Mojang Studios가 개발한 블록버스터 게임으로, 게임 역사상 가장 많이 팔린 타이틀이며 동시 접속자 수도 수백만 명에 달합니다. 전 세계 게임 커뮤니티에서의 압도적인 인기 덕분에 커스텀 규칙과 설정을 갖춘 Minecraft 프라이빗 서버가 수십만 개에 달합니다. Minecraft 서버 구축만을 전문으로 지원하는 업체도 있을 정도이니, 그 인기가 어느 정도인지 충분히 짐작할 수 있을 것입니다. 하지만 이런 높은 인기는 동시에 Minecraft 서버가 게임 커뮤니티에서 온라인 공격의 주요 표적이 된다는 것을 의미합니다. 대표적인 공격 유형으로는 Log4J 취약점– 이 있으며, 그 결과 Minecraft 서버의 보안을 유지하는 것은 일반적인 경우보다 훨씬 까다롭습니다.
Terraria
Terraria는 흔히 Minecraft의 2D 버전으로 불립니다. 어떤 기준으로 정의하든, Terraria는 전 세계에서 두 번째로 인기 있는 블록버스터 게임이며, 수천 개의 프라이빗 서버, 자체 호스팅 서버, 서드파티 서버가 상시 운영되는 활발한 커뮤니티를 보유하고 있습니다. Terraria에는 자체 마이크로트랜잭션 시스템이 있고, 실제 현금 가치를 지닌 희귀 아이템도 많습니다. 이 때문에 피싱 수법으로 플레이어 계정을 탈취해 아이템을 훔치려는 악의적인 해커들의 주요 표적이 되기도 합니다. Terraria의 공식 서버는 이러한 공격을 충분히 방어할 수 있지만, 공식 서버에서 자체 호스팅 서버로 갈수록 보안 수준은 낮아집니다.
Counter-Strike 변형 게임들
Counter-Strike는 자체 호스팅이나 서드파티 호스팅이 어떻게 전설적인 게임과 프랜차이즈를 탄생시킬 수 있는지를 보여주는 대표적인 사례입니다. CS는 원래 Half-Life의 모드로 시작했습니다. 당시 공식 서버는 두 개뿐이었고, 게임은 전적으로 자체 호스팅 또는 위탁 서버로 운영되었습니다. 그럼에도 인기는 폭발적으로 성장했고, 결국 원 개발자들이 Steam에 고용되어 Counter-Strike Source를 개발했으며, 이후 Counter-Strike Global Offensive까지 공식 게임으로 Steam에 출시되었습니다. CS 1.6 같은 구버전은 여전히 높은 인기를 유지하며 오늘날에도 비공식 자체 호스팅 서버에서 운영되고 있습니다. Cloudzy의 Counter-Strike 서버 는 최상의 성능을 위해 최적화되어 있어 원활한 게임 경험을 제공합니다.
게임 서버 운영의 단점과 취약점
리소스 광범위
이 글 전반에 걸쳐 자체 호스팅과 서드파티 호스팅을 함께 언급했습니다. 두 가지의 차이는 직접 서버를 구축하거나 서드파티 제공업체에 위탁하는 결정을 내릴 때 분명하게 드러납니다. 안전한 게임 서버를 직접 구축하려면 상당한 노력과 함께 하드웨어를 포함한 많은 자원이 필요합니다. 사용할 대역폭을 정확히 계산하고 그에 맞게 자원을 배분해야 하며, 그렇게 해도 예상이 빗나가 서버가 과부하 상태에 빠질 수 있습니다. 종합적으로 볼 때, 자체 서버 운영에는 많은 시간과 자원이 필요합니다.
보안 문제
대형 기술 기업들이 멀티플레이어 게임을 위해 운영하는 서버는 사실상 침투가 불가능한 수준의 보안을 자랑합니다. 이는 방대한 인적·기술적 자원을 보유한 전문가 팀이 대규모 서버를 전담 관리하기 때문입니다. 반면 개인 서버의 보안은 오직 여러분 한 사람의 몫입니다. 자연히 개인 게임 서버의 보안은 공식 서버와 비교하기 어렵습니다. 유료 및 무료 보안 기능을 활용해 어느 정도 보완할 수는 있지만, 공식 서버 수준에는 결코 미치지 못합니다.
비용
직접 서버를 운영하는 것은 결코 저렴하지 않습니다. 하드웨어는 교체가 필요하고, 방화벽은 구독료가 들며, 대역폭도 구매해야 합니다. 보안을 위해 최소한 하나 이상의 유료 서비스의 도움을 받아야 하고, 서버를 지속적으로 조정하고 관리하는 유지보수 비용도 만만치 않습니다. 이 모든 비용은 결코 작지 않으며, 자체 서버 운영이 중요하다면 상당한 지출을 감수할 준비가 되어 있어야 합니다. 전반적으로 서드파티 제공업체를 이용하는 편이 더 경제적인데, 대개 구독료 하나로 모든 것을 처리해 주기 때문입니다.
적을 알아야 한다: 게임 서버를 겨냥한 주요 공격 유형
자체 호스팅 서버나 서드파티 서버를 운영할 때 직면하는 공격 유형과 악성 수법은 게임마다 크게 다르지 않습니다. 가치 있는 게임 내 자산이 있는 게임이 피싱 공격의 표적이 되는 경향이 다소 높을 수 있습니다. 하지만 아래 다섯 가지 유형이 게임 종류에 관계없이 게임 서버에 가해지는 주요 공격 방식입니다.
DDoS
DDoS(Distributed Denial of Service의 약자)는 게임 서버를 공격하는 가장 일반적인 방법입니다. 스크립트나 봇을 이용해 대상 서버에 대량의 비정상적인 요청을 빠르게 쏟아내는 방식입니다. 서버가 이 요청들을 하나씩 처리하려 하면서 속도가 크게 저하됩니다. DDoS는 주로 서버 자체를 대상으로 하지만, 특정 플레이어를 직접 공격해 연결을 불안정하게 만들고 지연 시간을 늘려 공격자에게 경쟁 우위를 제공하는 데 사용되기도 합니다. DDoS는 가장 대응하기 어려운 공격 방식 중 하나로, 'Anti DDoS' 서버 자체가 하나의 상품으로 자리 잡을 정도입니다.
자세한 가이드를 확인하세요. Minecraft DDoS 보호 및 Fivem DDoS 보호
스크립팅
스크립팅은 봇이나 소프트웨어를 이용해 다른 플레이어보다 부당한 이점을 얻는 방식입니다. 이점의 형태는 게임마다 다릅니다. GTA Online에서는 대량의 게임 머니를 생성하는 데 사용되고, Counter-Strike 등 FPS 게임에서는 주로 자동 조준 봇으로 쓰이며, Minecraft에서는 다이아몬드를 빠르게 획득할 수 있는 투시 스크립트 형태로 나타납니다. 고도화된 공식 서버는 강력한 안티치트 엔진을 통해 이러한 플레이어를 자동으로 탐지하고 차단합니다. 그러나 자체 호스팅 서버나 서드파티 서버에서는 운영자나 관리자가 직접 탐지하고 수동으로 차단해야 합니다.
악성소프트웨어
해커들의 서버 공격 방식은 점점 더 정교해지고 있습니다. 멀웨어를 이용한 공격은 FPS 게임보다는 Minecraft 같은 게임에서 더 자주 나타납니다. 봇이나 파일 형태의 멀웨어를 서버의 실행 스크립트에 강제로 삽입하는 방식으로, 실행 자체는 매우 어렵지만 그 결과는 상당히 파괴적입니다. 해커는 멀웨어를 이용해 게임 내 오브젝트를 '감염'시키고, 다른 플레이어가 해당 오브젝트와 상호작용할 때 멀웨어가 자동으로 다운로드되도록 합니다. 이후 이 멀웨어는 피해자의 개인 데이터와 컴퓨터를 인질로 삼는 랜섬웨어로 활용됩니다.
봇 공격
이 방법은 엄밀히 말해 해킹 기법이라기보다는 대규모 과부하 공격에 가깝습니다. 실행이 간단하면서도 파괴력은 상당합니다. 공격자는 서버의 로그인 정보만 있으면 됩니다. 이후 스크립트를 이용해 수천 개의 봇을 서버에 쏟아붓고, 이 봇들이 대역폭을 많이 소모하는 작업을 수행해 서버를 빠르게 과부하 상태로 만들거나 완전히 다운시킵니다. 자체 서버라면 직접 복구 작업에 나서야 하고, 유료 서드파티 제공업체를 이용 중이라면 일시적으로 계정이 정지될 수도 있습니다.
피싱
피싱은 게임 내에서 직접적으로 이루어지는 공격 방식이 아닙니다. 피싱은 게임과 같이 흥미로운 주제를 이메일 소재로 활용하는 수법입니다. 이러한 이메일이 수천 통씩 무작위 사용자들에게 발송되고, 수신자들은 관심 있는 주제와 매력적인 제안에 이끌려 이메일을 열게 됩니다. Minecraft 서버 할인 이벤트나 흥미로운 플레이 기회를 제공하는 것처럼 꾸민 이메일이 그 예입니다. 이메일 내 링크를 클릭하는 순간 해킹이 이루어집니다. 이 수법은 개인 서버 운영 여부와는 직접적인 관련이 없습니다. 하지만 피싱 스크립트는 주요 타깃을 탐색하는 기능을 포함하는 경우가 많기 때문에, 서버를 운영하고 있다면 이러한 피싱 이메일을 받을 가능성이 높습니다.
방어 전략: 게임(Minecraft 등) 서버를 안전하게 만드는 방법
Good 방화벽 설정하기
멀티플레이어 게임 서버를 외부 호스팅 업체에 맡길 경우, 대부분의 업체는 구독 서비스의 일환으로 DDoS 방어 서버와 방화벽을 기본 제공합니다. 하지만 처음부터 직접 게임 서버를 구축한다면, 방화벽 없이 운영하는 건 사실상 공격을 자초하는 것과 다름없습니다. 제대로 된 서버 방화벽, 예를 들면 Comodo 이러한 조치들은 서버 보안을 강화하고 대부분의 해커를 차단하는 데 큰 효과가 있습니다. 해커들은 서버에 이런 보호 장치가 있다는 걸 확인하는 순간 대부분 포기하고 돌아섭니다. 선택하는 방화벽이 DDoS 보호 기능을 제공하는지 반드시 확인하세요.
불필요한 포트 차단하기
소규모 멀티플레이어 세션을 운영할 때는 꼭 필요한 포트 외에는 열어두지 않는 것이 좋습니다. 이 설정은 직접 운영하는 서버에서 수동으로 관리하거나, 게임 세션 호스팅에 사용하는 서드파티 제공업체의 컨트롤 패널에서도 적용할 수 있습니다. 예를 들어 기본 Minecraft 포트는 25565입니다. 서드파티 플랫폼에는 보통 포트 관리를 위한 전용 섹션이 있지만, 직접 운영하는 서버에서 설정하는 방법은 다소 복잡할 수 있습니다. 다음 명령어를 사용하세요. 이 가이드 포트와 포트 관리 방법에 대해 자세히 알아보려면 이 문서를 참고하세요.
백엔드 서버에 프록시 사용하기
리버스 프록시는 백엔드로의 연결만 허용하며, 플레이어 IP를 차단할 필요가 없거나 네트워크 인터페이스 설정에 익숙하지 않은 서버, 또는 콘솔 접근이 제한된 패널을 사용하는 경우에 유용합니다. 백엔드를 캡슐화하려면 백엔드 서버의 지원이 필요하며, 현재 서버 호스팅에 주로 사용되는 Windows와 Linux 모두 이 기능을 지원합니다. 백엔드에 이러한 스크립트를 적용하면 추가적인 데이터 마스킹 계층이 생겨 공격자를 혼란시킬 수 있으며, DDoS 공격을 분산시키는 데도 효과적입니다. 자세한 내용은 여기
VPN 접속 차단하기
Virtual Private Network, 줄여서 VPN는 데이터 암호화와 익명성 보장 덕분에 사용자 보안의 핵심 도구로 자리 잡았지만, 해커들도 같은 이유로 이를 즐겨 사용합니다. 요즘 VPN 없이 활동하는 해커나 악성 사용자를 찾기란 쉽지 않습니다. 다행히 대부분의 프록시 및 VPN 연결은 스크립트나 방화벽으로 탐지할 수 있습니다. 보안을 한 단계 강화하고 싶다면 VPN를 통한 접속 자체를 차단하는 것도 방법입니다. 단, VPN 사용자가 모두 악의적인 것은 아니라는 점을 기억하세요. 자세한 내용은 이 가이드 서버를 VPN에 대비하는 방법에 대해.
관리자 계정에 이중 인증 활성화하기
솔직히 말해서, 이건 당연한 이야기입니다. 그런데도 2단계 인증을 활성화하지 않아 서버를 위험에 노출시키는 사용자가 여전히 많습니다. 피싱과 악성코드 공격은 로그인 자격 증명을 포함한 개인 정보를 직접 노립니다. 정예 해커 집단을 상대하는 게 아니라면, 2단계 인증만으로도 서버 관리자 계정에 대한 침입 시도를 충분히 막을 수 있습니다. 한 단계 더 나아가는 다중 인증(MFA) 방식도 있습니다. 이를 활용하면 서버를 포함한 개인 계정에 대한 무단 접근을 사실상 불가능하게 만들 수 있습니다.
결론
친구들과 오래된 게임을 즐기고 싶거나, 원하는 방식으로 자유롭게 플레이하고 싶거나, 레이턴시를 낮추고 싶거나, 프라이버시를 지키고 싶은 것, 이러한 이유들 때문에 많은 게이머들은 서버 보안이 다소 낮아지더라도 직접 서버를 운영하거나 서드파티 호스팅을 선택한다.
이러한 문제를 해결하기 위해 점점 더 많이 사용되는 방법 중 하나는 원격 데스크톱 프로토콜, 즉 RDP를 통해 게임을 즐기는 것입니다. 이 방식을 사용하면 더 좋은 게임용 하드웨어를 활용할 수 있고, 원본 서버와의 물리적 거리가 줄어들어 지연 시간이 감소하며, 자신의 컴퓨터가 직접 영향을 받지 않아 보안도 강화됩니다.
Cloudzy의 게이밍 VPS 패키지 이 모든 장점을 갖추고 있으며, 주요 게임 서버와의 낮은 레이턴시를 자랑하는 고사양 게이밍 PC를 제공합니다. 지원 서버는 다음과 같습니다: Fortnite. Cloudzy의 게임 패키지에는 고급 Minecraft DDoS 방어 서비스가 포함되어 있으며, 12개 이상의 위치 선택 옵션, 보장된 업타임, 전용 리소스, 그리고 7일 환불 보장을 제공합니다.
자주 묻는 질문
게임 서버에 대한 가장 흔한 공격 방식은 무엇인가요?
해커와 악성 사용자가 가장 즐겨 사용하는 수단은 단연 DDoS입니다. 비용이 낮고, 탐지하기 어렵습니다. DDoS는 신뢰성이 높아 대기업을 겨냥한 공격은 물론, 소규모 Minecraft 서버를 노리는 데도 동일하게 활용됩니다.
내 Minecraft 서버를 DDoS로부터 보호하는 방법
처음부터 방화벽이나 안티-DDoS 서버를 사용하는 것이 가장 좋습니다. 하지만 방화벽에 비용을 들이기 어렵다면, SSH 포트를 변경하거나 키 기반 SSH 인증으로 전환하는 등 기본적인 보안 조치를 고려해 보세요.
개인 게임 서버를 운영하면 어떤 점이 좋을까요?
Minecraft 같은 게임에서는 직접 서버를 운영하는 것만으로도 경험의 폭이 완전히 달라집니다. 원하는 대로 설정을 조정하고, 친구들과 함께 나만의 플레이 환경을 만들 수 있습니다. 커스터마이징의 가능성은 사실상 무한합니다.
