게임 서버 프로그래밍 입문 (12) - 패킷 암호화

온라인 게임과 콘솔 / PC게임 이 두 가지 차이점은 무엇일까요?
당연한 이야기지만, 온라인 게임은 네트워크망을 사용해서 불특정 다수와 관계를 맺어가면서 즐기는 게임입니다.

그에 반해 콘솔 PC게임은 자신 홀로 게임 세계에 들어가 즐기는 게임이죠.

게임을 하다 보면, 이것저것 막힐 때가 있을 겁니다. PC 게임 같은 경우 데이터 파일을 헥사 파일로 열어서 특정 수치를 변조하여 초반부터 최고 레벨로 플레이를 하는 행위가 가능합니다.

하지만 온라인 게임의 경우는 조금 문제가 있습니다.
내 행동이 다른 이들에게 영향을 주는 게임이다 보니, 내가 게임이 지루하다고 내 캐릭터 레벨을 10에서 100으로 올려버리면, 다른 유저들이 힘들게 올린 100레벨은 무의미해지죠 박탈감이 심해져서 열심히 일한 개미(열정적인 유저들을) 떠나게 합니다.
그래서, 이런 치팅을 하지 못하도록 막아야 할 필요성이 생깁니다. 어떤 처리를 넣으면 좋을까요?

 

역사적으로 봤을 때, 인류는 이런 고민을 상당히 오래전부터 하였습니다.
오랜 예부터 특히 군대에서 적군이 눈치채지 않고 인접 아군에게 작전 지시를 내리는데,
전령이 적군에게 사로잡힐 경우를 대비해서 사용했던 암호화가 바로 그것입니다.

 

며칠 몇 시에 어느 곳으로 이동해서 어디를 공략해야 한다는 전술 명령을 산 건너 있는 부대장에게 전달해야 하는데,
이 작전 문서를 평문으로 보내면 어떻게 될까요?
전령병이 산을 넘다가 적에게 포로로 잡히면, 이 작전이 무산되거나, 혹은 명령서를 바꿔서 보내 작전이 원하는 대로 움직이지 않을 것이고 결국 전쟁에서 패배라고 말 것입니다.
그래서 옛날부터 이런 작전 문서의 문자를 암호화하여 난센스 문장을 써서 전달하는 시저 암호나 에니그마 같은 것이 나왔습니다.

 

서버 프로그램도 같습니다. 사실 클라이언트 프로그램이 유저에게 제공되는 순간, 이 클라이언트 프로그램은 소스까지 모두 제공한 거로 보셔야 합니다.

(자세한 건 리버싱 엔지니어링을 공부해 보세요) 그러므로 서버에 접속하는 프로그램이 반드시 제공한 클라이언트일 확신이 없으며, 이 클라이언트가 가짜라는 가정하여야 하고, 패킷은 난독화(Obfuscation)시켜서 송수신해야 합니다.

 

그러면, 키를 넣어 변조시킨 뒤, 다시 같은 키를 넣어 원래대로 데이터를 만드는 방법을 어떻게 하면 좋을까요?
일반적으로 자주 사용되는 방법은 XOR 연산입니다.

 

XOR는 배타적 연산으로 2개의 명제 중 하나만 참일 때 참을 출력하는 로직입니다.
이를 이용해서 3변수를 사용하지 않고 2변수 만으로도 swap 함수를 만들 수 있죠.
그럼 이제 특정 Key를 만들어서 패킷데이터에 XOR연산을 하면 사람이 알아보기 힘든 값이 나오겠군요.

해커들이 보고 한숨 쉴 수 있도록 작업해 봅시다.

추가: /ServerLibrary/ServerLibrary.h

… #include "./Net/Packet/PacketObfuscation.h" …

 

패킷 난독화 소스를 서버 라이브러리에 추가하였습니다. 실제 구현 소스는 아래와 같습니다.

 

추가: /ServerLibrary/Net/Packet/PacketObfuscation.h

#pragma once #include "stdafx.h"   //--------------------------------------------------------// // 난독화 최상위, 다른 난독화 알고리즘은 이 클래스를 상속 받을 것 class Obfuscation { public:     virtual void encoding(Byte *packet, size_t len) = 0;     virtual void decoding(Byte *packet, size_t len) = 0; };   //--------------------------------------------------------// class XorObfuscation : public Obfuscation {     Byte key_; public:     XorObfuscation(); private:     void encoding(Byte *packet, size_t len);     void decoding(Byte *packet, size_t len); };   //--------------------------------------------------------// // 패킷 난독화용 class PacketObfuscation : public Singleton < PacketObfuscation > {     Obfuscation     *obfuscation_; public:     PacketObfuscation();     ~PacketObfuscation();       void encoding(Byte *packet, size_t len);     void decoding(Byte *packet, size_t len); };

 

난독화 알고리즘은 여러 가지이지만, 소스에서 필요한 것은 인코딩/디코딩 정도이므로
이를 강제할 수 있게 최상위 순수 가상 클래스를 작성했습니다.
실제 사용하는 것은 PacketObfuscation 함수인데, 소스 내용은 아래와 같습니다.

 

추가: /ServerLibrary/Net/Packet/PacketObfuscation.cpp

#pragma once #include "stdafx.h" #include "PacketObfuscation.h"   XorObfuscation::XorObfuscation() {     //암호 선택에 대해서는 조금 고민해 볼것.     Key_ = 'T'; }   void XorObfuscation::encoding(Byte *packet, size_t len) {     for (int index = 0; index < len; ++index) {         packet[index] ^= *key;     } } void XorObfuscation::decoding(Byte *packet, size_t len) {     for (int index = 0; index < len; ++index) { packet[index] ^= *key;     } }   //--------------------------------------------------------// PacketObfuscation::PacketObfuscation() {     //Todo : xor 말고 다른 알고리즘도 만들어서 config xml에서 선택하게 하기     obfuscation_ = new XorObfuscation(); }   PacketObfuscation::~PacketObfuscation() {     SAFE_DELETE(obfuscation_); }   void PacketObfuscation::encoding(Byte *packet, size_t len) {     obfuscation_->encoding(packet, len); }   void PacketObfuscation::decoding(Byte *packet, size_t len) {     obfuscation_->decoding(packet, len); }

 

XOR 연산 킷값으로 ‘T’ 라는 단어를 주었습니다.
하지만 이 경우 해커가 key값을 0~255까지 XOR연산 테스트 하는 것만으로도 Key값이 확인 될 겁니다.

대부분 해커들은 채팅 메시지를 테스트 삼아 (‘aaaaa’입력 했을 때 패킷을 캡쳐 해서 분석) 이 XOR 키 값을 찾아갑니다.

 

그러므로 채팅 메시지는 별도로 암호화 처리 하는 것도 좋은 방법이라고 생각되지만,
여러 단어를 XOR값으로 테스트 하다 보면 쉽게 Key값을 알아 차리 겠군요.
좀 더 복잡하게 해서 해커를 혼란스럽게 만들어 봅시다.
...

 

위 내용은 제가 집필한 "게임 서버 프로그래밍 입문" 책의 내용중 일부 부분에 대한 내용입니다.

전체 소스 코드와 책 구입에 대해서는 http://rosagigantea.tistory.com/589 에 링크 시켰습니다.