DOI QR코드

DOI QR Code

A study of RMT buyer detection for the collapse of GFG in MMORPG

MMORPG에서 GFG 쇠퇴를 위한 현금거래 구매자 탐지 방안에 관한 연구

  • Kang, Sung Wook (Graduate School of Information Security, Korea University) ;
  • Lee, Jin (Graduate School of Information Security, Korea University) ;
  • Lee, Jaehyuk (Graduate School of Information Security, Korea University) ;
  • Kim, Huy Kang (Graduate School of Information Security, Korea University)
  • 강성욱 (고려대학교 정보보호대학원) ;
  • 이진 (고려대학교 정보보호대학원) ;
  • 이재혁 (고려대학교 정보보호대학원) ;
  • 김휘강 (고려대학교 정보보호대학원)
  • Received : 2015.06.17
  • Accepted : 2015.07.17
  • Published : 2015.08.31

Abstract

As the rise in popularity of online games, the users start exchanging rare items for real money. As RMT (Real Money Trade) is prevalent, GFG (Gold Farming Group) who abuse RMT shows up. GFG causes social problems such as identity theft, privacy leaks. Because they needs many bot characters to gather game items. In addition, GFG induce RMT that makes in-game problems such as a destroying game economy, account hacking. Therefore, It is very important work to collapse GFG at the perspective of social and in-game. In this paper, we proposed a fundamental method for detecting RMT buyers for the collapse of GFG at the perspective of buyer by Law of Demand and Supply. We found two type of RMT by analyzing actual game data and detected RMT buyers with high recall ratio of 98% by ruled-based detection.

온라인 게임의 인기가 증가하면서 희소성 있는 재화를 현금으로 바꾸는 RMT (Real Money Trade) 유저들이 증가하였고 이를 전문적으로 이용하는 게임 내 범죄 집단인 GFG (Gold Farming Group)이 나타났다. GFG는 게임재화를 수집하기 위해서 다수의 봇 계정이 필요한데, 이를 위해 명의 도용, 개인정보 유출 문제를 발생시키게 된다. 또한 현금거래를 유발시켜 게임 내 경제의 형평성을 파괴하고, 계정 도용, 아이템 탈취를 유발 시킨다. 따라서 GFG를 제거 및 차단하는 일은 사회적, 게임 내 관점에서 중요한 문제이다. 본 논문은 기존의 판매자 관점의 탐지가 아닌 수요공급의 원칙에 따라 현금거래 구매자를 탐지하는 근본적인 방안을 제시하였다. 실제 게임 데이터를 분석하여 두 가지의 RMT 형태를 발견하였고, 구매자 탐지의 재현율이 98%이상을 보일 수 있었다.

Keywords

I. 서론

온라인 게임 세계는 현실세계와 유사한 부분이 많이 있다[1]. 현실세계에서 범죄 조직이 존재하듯 게임 내에도 존재하며, 현실세계와 유사한 형태의 경제 행위가 발생 한다[2]. 온라인 게임의 인기가 많아짐에 따라 게임 내에서 획득하거나 구매하기 힘든 아이템은 희소성을 갖게 되었다[1]. 이에 따라, 게임 내 희소성 있는 재화를 현금으로 바꾸는 Real Money Trade(RMT) 유저들이 나타나기 시작하였고 이를 전문적으로 이용하는 범죄 집단인 GFG(Gold Farming Group)가 생겨났다. 2014년 조사된 결과에 따르면 리니지 작업장에서 6개월 동안 5억 원에 달하는 수익을 올린 것으로 GFG가 벌어들이는 수익은 상당함을 알 수 있었다. GFG는 많은 양의 게임재화를 획득하기 위해 많은 수의 게임봇이 필요하며, 다수의 게임봇을 운영하기 위한 게임계정이 필요하다. 따라서 GFG는 개인정보를 불법적으로 취득하였고, 취득한 개인정보를 이용하여 명의도용 및 계정도용행위를 수행하였다.

온라인 게임 보안에서 가장 큰 위협은 Gold farming과 게임봇이며, 게임 보안에서 이러한 불법적인 행위가 발생하는 주된 이유는 현금거래를 통한 이익 창출이 가능하기 때문이었다[5]. GFG는 현금거래를 활성화시키고, 현금거래로 인해 계정 해킹 및 아이템 탈취를 유도하였다[7,8]. 현금거래시장은 자금세탁 등의 문제로 이용되기도 하였다[9].

GFG의 네트워크 구조는 현실세계의 마약밀매, 테러조직, 범죄 집단 구조와 유사한 형태를 보이는데[4,17] 이는 GFG가 게임 내에서 불법적으로 수집한 재화를 안전한 곳으로 이동하며 보관하기 때문이다.

GFG는 게임 내 경제 형평성을 파괴하고[1], 많은 게임봇 프로그램의 사용은 정당한 일반유저에게 게임봇 사용으로 전향하게 하거나, 해당 게임의 흥미를 감소시켜 게임을 떠나도록 만든다[3]. 따라서 현금거래의 원인이 되는 GFG를 제거 및 차단하는 일은 사회적, 게임 내의 관점에서도 중요하다.

GFG를 효과적으로 제거하기 위해 많은 연구들이 진행되어 왔다. 초기에는 GFG 내의 Gold Farmer를 탐지하기 위한 게임봇 탐지 연구가 수행되었다. 하지만 GFG 관점에서 가장 하단에 존재하는 게임봇 탐지는 큰 영향을 미치지 않아, GFG 상단에 위치한 Banker 탐지의 중요성이 알려지고 이를 중심으로 탐지하는 연구가 진행되었다. 최근 10년간 게임봇과 GFG 탐지에 관한 연구들은 모두 GFG 관련된 판매자(Gold farmer, Banker)를 탐지하였다. 하지만 본 논문의 방법론은 수요, 공급관점에서 역으로 현금거래 구매자를 탐지하는 것에서 출발하였다. 수요 공급의 원리에 따라 현금거래 구매자의 수요자가 감소하면 공급자인 GFG도 자연스레 줄어든다는 것을 전제로 하였다.

스웨덴은 1999년부터 성매매 구매자만을 처벌하는 법을 집행하였고 실제로 성매매와 인신매매 비율을 줄이는 효과를 가져왔다[6]. 이러한 관점에서 접근하여 게임 내 GFG 쇠퇴를 위해 현금거래 구매자를 탐지하여 제재하는 것이 하나의 해결책이 될 수 있다.

실제로 엔씨소프트사 Aion의 제재 현황을 분석하였다. 3개월 동안 제재 결과는 게임봇 탐지에 관한 제재가 76%이고 현금거래 관련 제재한 경우는 1.6%에 불과했다. 구매자를 제재하는 실질적인 행위는 하지 않은 것으로 볼 수 있었다. 게임사에서 구매자를 제재하는 방법은 게임 내 신고나 채팅에 대한 수동적인 모니터링하여 제재를 가하는 경우가 전부였다.

따라서 본 연구에서는 실제 MMORPG의 게임로그를 분석하여 GFG와 현금거래를 수행하는 구매자를 탐지하는 룰 기반 탐지 방안을 제시하였다.

II. 관련 연구

기존의 게임봇 탐지에 대한 연구는 크게 클라이언트와 서버 측면으로 Table 1.과 같이 나눌 수 있다.

Table 1. Classification of online game bot detection method

초기에 사용된 클라이언트 측면인 CAPTCHA방법[15]은 사용자의 몰입도를 방해한다[10]는 단점과 자동으로 질의에 응답하는 게임봇의 등장으로 인해 지양되었다. 또한 Anti-robot기반의 방식은 클라이언트 컴퓨터에 프로그램을 설치해서 운영하는 것으로, 클라이언트가 사용하는 프로그램과의 충돌문제를 일으켰다. 따라서 서버 측면에서 탐지하지 하는 연구들이 등장하였는데, 사람과 게임봇의 행동 패턴의 차이를 기반으로 하는 연구가 주를 이루었다. 세부적으로는 사람과 게임봇의 유휴시간의 차이를 분석하여 탐지하는 방법[7]과, 게임봇은 사전에 등록된 특정 지역만을 반복적으로 이동한다는 이동 패턴의 차이를 분석한 방법[11, 20], 게임봇과 일반 유저의 액션행위의 빈도의 차이를 이용한 방법[3, 12], 채팅과 파티 플레이를 통한 소셜 네트워크 기반의 분석[13, 14]에 대한 방법이 제안되었다.

최근에는 빅데이터 기반으로 게임봇과 일반 유저의 전체 액션 시퀀스 패턴을 분석하는 연구[25, 26]가 이루어졌다.

가상 재화를 현금으로 바꾸는 Real Money Trade에 대한 연구[24]와 더불어 거래 네트워크를 기반으로 한 Real Money Traders에 대한 연구[15, 19]가 이루어졌으며, 이를 바탕으로 GFG 탐지연구[21, 22, 23]가 진행되었다. GFG의 거래 네트워크 분석을 통해 GFG의 역할을 기반으로 대가없는 네트워크를 이용하여 탐지한 방법[18]이 제안되었다.

기존의 방법으로 게임봇 및 GFG를 탐지하고 제재한다 해도 현금거래를 원하는 사용자의 수요가 게임 내에서 줄어들지 않는 한 수요공급의 원칙에 따라 GFG의 불법적인 계정도용과 이를 기반으로 한 재화 생산의 행위는 줄어들지 않을 것이다.

최근 10년간 게임봇을 탐지 또는 GFG를 탐지방법은 판매자 중심이지만, 본 연구에서는 게임봇과 GFG 쇠퇴를 위해 현금거래 구매자 중심으로 탐지하는 근본적인 방안을 제시하였다.

III. Key terms

본장에서는 온라인 게임보안 분야에서 자주 사용되는 용어에 대해서 설명한다. Fig.1.은 GFG의 조직적인 구조를 나타낸다[18].

Fig. 1. Structure of Gold Farming Group

GFG: 게임 내에서 수집한 재화를 실제 현금으로 팔아서 수익을 올리는 조직적이고 체계적인 집단이다. GFG는 크게 Gold Farmer, Merchant, Banker로 구성되어 있다[18]. 이렇게 다단계로 구분되어 있는 이유는 불법적으로 수집한 게임머니를 안전하게 이동하여 보관하기 위해서이다.

RMT: 게임 내 희소성 있는 아이템이나, 게임머니를 실제 현금을 받고 넘겨주는 행위를 말한다[23]. RMT를 수행할 때 경매 사이트, 에스크로 서비스 등을 이용하기도 한다.

Banker: Merchant에게 전달 받은 게임 머니를 보유하고 있고 현금거래구매자(일반유저)가 나타나면 게임 머니를 실제 현금을 받고 교환한다[18].

Merchant: Gold Farmer가 수집한 아이템을 전달 받아 수집한 아이템을 판매하여 게임 머니로 바꾸고 Banker에게 전달한다[18].

Gold Farmer: 사냥이나 채집행위 등을 통해 아이템을 수집하여 Merchant에게 전달하고[18] 반복적인 행위를 위해 단순 매크로보다 더 진화한 봇 프로그램을 사용한다.

IV. 방법론

게임 내에서 현금 거래 구매자를 탐지하기 위해서는 게임머니를 실제 현금으로 판매하는 현금거래 판매자(Banker)를 찾는 것이 가장 중요하다. GFG의 가장 하단에 존재하는 게임봇에 대한 정답지 리스트가 존재하지만 판매자에 대한 정답지는 존재하지 않았다. 따라서 GFG 내에서 가장 하단에 존재하는 채집봇의 아이템 전달 네트워크를 분석하여 GFG를 발견하였다. 발견한 GFG 상위에 존재하는 Banker를 분석하여 구매자를 찾고, 판매자와 구매자의 RMT 거래 특성을 분석하여 구매자 탐지 룰을 설정하여 최종적으로 현금 거래 구매자를 탐지하였다.

4.1 데이터 셋

전 세계적으로 유명한 게임회사인 엔씨소프트사의 MMORPG 장르의 Aion 게임의 행위 데이터를 분석하였다. Aion 게임은 43개의 서버를 운영하고 있고 약 240,000명의 동시 접속자를 보유하고 있다.

한 개의 서버에 대한 2010.4.10~2010.5.9(30일)에 해당하는 게임로그를 분석하였다.

4.2 채집봇 아이템 전달 네트워크

게임 내에서 채집행위는 사냥 활동, 퀘스트 수행 등과 같은 주요 활동이 아니며 비교적 단순 반복적인 행위이기 때문에 이를 지속적으로 플레이하는 일반유저들의 수는 적다. 따라서 채집 로그를 이용하여 비정상적으로 채집을 많이 하는 봇들을 채집봇으로 정의하였고, 채집봇들의 아이템 전달 네트워크를 통해 GFG를 발견하였다.

4.2.1 채집 행위 분석

2010.4.10(1일)에 대한 하루 채집량(Gathering Point)에 대해서 일반유저와 채집봇 유저의 차이를 비교 분석하였다. 하루 동안 채집행위를 한 일반 유저의 수는 3,303명이고 실제 게임사에 의해 제재된 계정 중 채집행위가 있는 유저의 수는 106명이었다.

Fig.2.은 일반유저와 제재계정의 하루 채집량에 대한 CDF(cumulative distribution function)이다. 일반 유저의 95%가 채집량 602 이하에 속하며, 봇 유저의 경우 채집량이 602 이하인 경우가 약 30%였다. CDF 그래프를 고려할 때 봇 유저의 경우 비정상적으로 일반유저에 비해 많은 채집 행위를 하고 있음을 알 수 있었다. 따라서 채집량 2000 이상을 이상치로 규정하였고 채집봇으로 정의하였다.

Fig. 2. Cumulative distribution function for Gathering Point

4.2.2 아이템 전달 네트워크

채집봇들의 아이템 이동을 분석하기 위해 2010.4.10의 거래로그를 사용하여 채집봇의 아이템 전달 네트워크를 분석하였다.

Fig.3.은 아이템 전달 네트워크에 대한 설명이다. 임계값 2,000 이상에 의해 탐지된 채집봇 계정(C)은 279명, (C) 중에서 4월10일 거래를 진행한 계정(D)은 154명, (D)와 관련된 거래를 진행한 계정(E)는 127명이다.

Fig. 3. Gathering Bot’s item moving

채집봇의 아이템 전달 네트워크를 분석하기 위해서 (D)+(E)=281명에 대해 진행했다.

Fig.4.는 채집봇의 거래 네트워크를 나타낸 것이고 Fig.5.는 대조군으로 비교하기 위해 랜덤하게 추출한 154명의 일반유저의 거래 네트워크를 나타냈다. 채집봇 네트워크에서 빨간색 노드는 (D)를 나타내며 파란색 노드는 (E)를 나타낸다. 일반유저 네트워크의 빨간색은 랜덤 추출한 일반유저 154명을 의미하고 파란색은 154명에게 아이템을 전달 받거나 재 전달한 유저들을 의미한다.

Fig. 4. A item giving network for Gathering bot(left) and Normal user(right)

Fig. 5. Item giving network for Gathering Bot

네트워크에서 화살표는 아이템 이동 방향을 나타낸다. 채집봇 네트워크의 경우에는 특정 노드에게 아이템을 모으기 위해 전달하였고, 채집봇 노드(빨간색)는 같은 채집봇 또는 관련된 그룹과 거래를 수행했다. 일반 유저 네트워크에서 빨간 노드는 아이템이 한곳으로 모으거나 전달하지 않았고 무작위로 전달하는 모습을 보였다.

채집봇 네트워크에서 현금 거래로 추정되는 5개의 GFG 거래 네트워크(주황색)를 발견할 수 있었다. 발견한 5개의 그룹을 GFG로 추정하는 이유는 세가지이다. 첫 번째는 5개의 그룹은 이미 잘 알려진 GFG의 형태 Banker, Merchant, Gold Farmer의 형태를 갖추고 있었다. 두 번째로 채집봇들의 아이템이 대가성 없이 여러 단계를 거쳐서 Banker에게 전달됨을 확인하였다. 세 번째는 Banker 캐릭터들은 전달받은 아이템을 대가성 없이 일반 유저들에게 대량의 게임머니 전달하는 행위를 볼 수 있었다. 별다른 이유 없이 대량의 게임머니를 다수에게 나누어주는 행위를 보아 현금거래임을 알 수 있었다.

Fig.6.에서 왼쪽은 채집봇 네트워크에서 5개의 GFG 중 하나이다. 오른쪽 그림은 일반유저 네트워크의 그래프중 하나이다. GFG은 채집봇에서 시작하여 아이템이 계층적으로 전달되는 과정을 볼 수 있었다. 네트워크에서 가장 큰 노드가 Banker이며 이 Banker캐릭터에게 수집한 대부분의 게임머니가 전달되었다. 일반유저 네트워크는 일반유저(빨간색)가 전달한 아이템을 받은 노드가 다수의 사람과 거래를 수행했다.

Fig. 6. Item giving network for normal user

4.3 판매자(Banker) 탐지

현금거래 구매자를 발견하기 위해서는 판매자(Banker)를 탐지하는 것은 중요하다. 따라서 두 가지 조건을 만족 하였을 경우 판매자로 탐지하였다. 첫 번째는 GFG 분석을 통한 판매자 탐지룰을 만족해야하고, 두 번째는 탐지한 판매자가 GFG의 형태를 갖추고 있어야 한다. 이 두 가지를 만족하면 최종적으로 판매자로 탐지하였다.

4.3.1 아이템 전달 네트워크의 GFG 특징 분석

아이템 전달 네트워크에서 발견한 총 5개의 GFG에 대해 59개의 계정들을 추출하였고 7일간(4.10~4.16) 데이터를 분석하였다. 일반유저와 비교분석을 위해 랜덤 추출한 50개의 일반 계정과 같이 비교 분석하였다. 기존에 알려진 GFG는 Gold Farmer, Merchant, Banker 순으로 아이템을 수집한다[18]. 그러나 분석과정에서 Merchant와 Banker 사이에 세부적으로 구분 가능한 Transfer라는 새로운 계층을 발견했다. Transfer는 Banker와 유사한 특징을 가지지만 현금거래 행위는 하지 않고 Merchant에게 받은 아이템을 Banker에게 그대로 넘겨주었다. Merchant의 경우 Gold Farmer와 유사한 특징(수집활동)을 가지면서 Gold Farmer의 아이템을 전달 받아 처분하여 게임머니를 획득하여 Transfer에게 전달하였다. Gold Farmer의 경우 아이템을 수집하는 행위를 하였다. 따라서 59개의 계정에 대해 Gold Farmer(32개), Merchant(8개), Transfer(13개), Banker(6개) 각각의 4개의 그룹으로 나누어서 특징을 분석을 진행하였다.

4.3.2 GFG 분석을 위한 피쳐(Feature)

GFG 분석을 위한 피쳐는 크게 두 가지로 나 눌 수 있다. Table 2.과 같이 주요 활동 관련 피쳐(F1~F7)와 거래 관련 피쳐(F8~F14)이다.

Table 2. Major activities and trade feature

게임 내에서 아이템이나 게임 머니를 얻기 위해 하는 거래(유저 간) 이외의 주요한 활동은 사냥, 채집, 아이템 사용, 구매, 강화, 대행거래이다. Banker의 경우 주요 활동은 하지 않으나 많은 게임머니를 보유하고 있다. 이 피쳐들은 Banker 주요활동여부를 알기 위한 주요 활동 관련 피쳐로 선택을 하였다. 거래 관련 피쳐(F8~F14)는 전달 거래 네트워크에서 GFG에 대한 특징을 분석하기 위한 피쳐이다. F1부터 F10까지의 피쳐는 분석기간(7일)에 대한 일 평균을 구한 값이다.

F1은 채집횟수와 사냥횟수를 더한 값의 일평균, F2는 유저가 아이템을 사용한 일평균 횟수, F3은 NPC에게 구매한 일평균 횟수, F4는 NPC(Non-Player Character)에게 판매한 일평균 횟수, F5는 유저의 아이템 강화성공 및 실패의 일평균 횟수, F6은 아이템 구매 대행을 통해 구매한 일평균 횟수, F7은 아이템 판매 대행을 통해 판매한 일평균 횟수, F8은 거래를 통해 아이템을 건네주고 받은 일평균 횟수, F9는 거래를 통해 받은 게임머니의 일평균 금액, F10은 거래를 통해 건네준 게임머니의 일평균 금액, F11은 거래한 위치의 맵에 대한 엔트로피를 계산, F12는 거래를 통한 게임 머니 이동 퍼센트(보유한 게임 머니 대비 건네준 게임 머니의 비율), F13은 거래를 통해 게임머니를 전달한 총 사람 수, F14는 거래 네트워크에서 In degree 값의 하루 평균을 의미한다.

F11은 거래 시 동일한 위치에서 거래를 진행하는지를 구분하기 위한 피쳐이며 엔트로피가 낮을수록 동일한 위치에서 함을 의미하고 엔트로피 수치가 클수록 다양한 맵의 위치에서 거래를 수행을 함을 나타낸다.

게임 머니 이동 퍼센트는 한 건의 거래에 대해 얼마나 많은 게임머니를 이동한지를 나타내는 수치다. 수치가 높을수록 한 번의 거래에서 보유한 게임머니를 대부분 이동함을 뜻한다.

Fig.7.은 주요 활동 관련 피쳐에 대한 일 평균값을 GFG의 각각의 그룹에 대한 비교이다. 그림 첫 번째 줄은 Table 2.에 표기한 피쳐 번호를 의미한다. Banker와 Transfer 캐릭터는 거래 외 주요활동에 대한 값이 0으로 주요활동을 하지 않았다. Merchant와 Gold Farmer, 일반유저는 활발하게 주요 활동을 수행하였다. 특히 F1(수집량)은 Gold Farmer가 일반유저 보다 월등히 높은 평균을 보였으며 Gold Farmer를 구분하는 피쳐로 사용 가능하였다.

Fig. 7. Average of major activities related feature for each Group

Fig.8.은 Table 2.의 거래 관련 피쳐에 대한 각 그룹에 대한 수치 비교이다. Fig.9.는 그룹별 차이가 있는 피쳐를 선택하여 나타낸 그래프이다.

Fig. 8. Average of trade related feature for each Group

Fig. 9. Box plot and graph for the selected features

Fig.8.와 Fig.9를 같이 살펴보면, 아이템을 건네 주고 받은 횟수 피쳐(F8)는 Merchant가 가장 높았다. Merchant는 다수의 Gold Farmer로부터 아이템을 자주 전달 받고 Transfer에게 자주 전달하기 때문에 아이템을 건네주고 받은 횟수가 높은 것을 알 수 있었다. 상대적으로 Transfer는 Banker에게 자주 아이템을 전달하지 않고 일정 금액을 모은 후 전달하는 것으로 판단할 수 있었다.

하루 동안의 게임머니를 받고 준 금액(F9, F10)은 Banker, Transfer, Merchant, Gold Farmer 순이었다. 게임 지역 엔트로피 피쳐(F11)는 Banker와 Transfer가 0으로 항상 같은 위치에서 거래를 수행함을 나타낸다. 7일 동안 거래에서 받은 사람 수(F12)는 Gold Farmer, Merchant, Transfer, Banker 순으로 큰 수치를 가졌다. 이 수치를 통해 GFG의 구조가 피라미드 형태를 가지고 있음을 알 수 있었다. 7일 동안 거래에서 전달한 사람 수(F13)는 Banker가 가장 높은 수치를 가졌다. 이 피쳐는 누적된 값이기 때문에 Banker의 수치는 시간이 지날수록 점점 더 커질 것이고 Transfer와 Merchant, Gold Farmer의 경우는 값에 큰 변화가 없을 것이다. 그 이유는 Banker의 경우 불특정 다수와 지속적으로 현금 거래를 수행하고 다른 그룹들은 GFG 내 특정인물에게 아이템을 전달하기 때문이다. In degree 피쳐(F14)의 경우 일반 유저와 Gold farmer는 낮은 수치를 보였고 Banker의 경우 수치가 높았다.

4.3.3 판매자 탐지 Rule 설정

앞 절에서 수행한 피쳐 분석을 바탕으로 전체 유저에서 Banker 탐지를 위한 Banker 룰을 Table. 3.와 같이 설정하였다. Table. 3과 Table. 4.의 Transfer, Merchant, Gold Farmer 룰은 탐지한 Banker의 거래 네트워크가 GFG 형태를 이루고 있는지 확인을 위한 것이다.

Table 3. Detection rule for Banker and Transfer

Table 4. Detection rule for Merchant and Gold Farmer

GFG는 일반적으로 다른 유저와 거래를 하지 않는 경향이 있고 그룹 내에 정해진 캐릭터와 거래를 하는 특성이 있다. 따라서 Banker의 거래를 역추적하여 하나의 Banker 거래 그룹을 생성하였고 Transfer, Merchant, Gold Farmer 룰을 적용하여 이 그룹이 GFG 형태를 갖추고 있는지 확인하였다. 거래 역추적 시 캐릭터와 캐릭터간에 거래가 최소 4번 이상인 경우만 추적하였고 거래 그룹을 생성하였다. Transfer의 경우 거래 횟수가 다른 그룹보다 낮은 경향을 가지고 있었다. 따라서 최소 일주일에 한번 이상 거래를 수행한다고 보고 계산하였다.

GFG 형태를 갖추고 있는지에 대한 판단은 거래를 역추적한 Banker 거래 그룹이 (1)를 만족 할 경우 GFG 형태를 이루고 있다고 판단하였다. 룰은 Transfer, Merchant, Gold Farmer 순으로 적용하였다.

1 = Banker ≤ Transfer, Merchant < Gold Farmer       (1)

4.3.4 판매자 탐지 결과

판매자를 탐지하기 위해서 2010.04.10~2010.05.09(30일) 동안의 데이터에 탐지룰을 적용하였다. 한 달 동안 거래기록이 존재하고 플레이한 총 계정의 수는 27,287개이다. 그 중에서 Banker 탐지룰을 통해 전체 유저에서 Banker로 분류한 계정의 수는 총 24개였다. 이 계정들에 대해 거래를 역추적하여 24개의 Banker 거래 그룹을 생성하였다. 이 거래 그룹들에 대해서 Transfer, Merchant, Gold Farmer 탐지룰을 적용한 결과 GFG 형태를 만족하는 그룹의 수는 총 13개로 판별하였다.

Fig.10.은 최종적으로 탐지한 13개 GFG에 대한 상세 결과이다. Banker, Transfer, Merchant, Gold Farmer의 수는 GFG 형태를 갖추는지에 대한 탐지룰을 통해 분류된 숫자이다. Gold Farmer(Bot)는 봇 탐지로그 계정과 일치하는 계정의 수를 나타낸다. Banker계정 ID인 ‘64096**’의 경우 Gold Farmer로 탐지한 79개의 계정 중에서 괄호안의 74개가 봇 탐지로그에 검출된 계정임을 뜻한다. **의 경우 ID의 끝에 두 자리를 익명화한 것이다.

Fig. 10. Banker detection result

탐지한 13개의 Banker들은 Banker의 특성을 가지고 있으며 거래를 역추적해 본 결과 GFG 형태를 이루고 있었다. 또한 Gold Farmer가 봇 탐지로그와 95%(959/1002)가 일치하는 것을 확인하였고, 13명의 Banker를 정확히 탐지하였다는 근거로 판단 가능하다.

실제 RMT 거래를 분석하기 위해서 탐지한 13개의 Banker들에 대해서 거래를 조사하여 구매자와의 거래 특성을 분석하였다.

4.4 판매자-구매자 거래 분석

판매자는 GFG 형태의 거래를 통해 상당수의 금액을 전달받았고, 큰 금액을 아무런 대가 없이 여러사람에게 나누어 주는 행위 반복하였다. 이런 비정상적인 거래는 RMT 행위로 볼 수 있었다. 따라서 일반적인 거래와 다른 RMT 거래를 분석하여 현금거래 구매자 탐지룰을 최종적으로 설정하였다.

4.4.1 RMT(Real Money Trade) 분석

13명의 Banker들은 2010.04.10~05.09(30일)의 기간 동안 657명과 총 889건의 거래를 수행하였다. 889건의 모든 거래는 대가성 없는 거래였고 아이템이 아닌 게임머니만을 단방향으로 전달하는 이상거래 현상을 보였다.

현금거래의 경우 판매자는 게임머니를 불특정 다수에게 현금으로 교환하고 일반적인 거래 보다 큰 금액을 전달하게 된다. 따라서 889건의 거래 금액이 일반적인 유저의 거래금액과 차이가 있는지 비교해보았다. 비교 대상은 동일하게 한 달 동안의 전체 거래 내역 중에서 일반유저의 대가없이 게임머니를 전달한 거래 내역을 추출하였다. 30일 전체 거래내역은 총 825,153건이며 이 중에서 일반유저의 대가없는 게임머니 전달 거래는 27,849건으로 전체거래의 약 3%였다.

Fig.11.은 일반유저의 대가없는 게임머니 전달거래(Normal Trade)와 RMT 거래의 5억 이하의 금액에 대한 CDF이다. 일반유저의 경우 거래의 90%가 3천만 이하에 속하지만, Banker의 거래 금액은 3천만 이상의 고액거래가 약 80%인 것을 보아 대부분의 거래가 일반적인 거래 보다 큰 금액을 전달하였다.

Fig. 11. Cumulative distribution function for amount of trade money

RMT 거래에서 또 다른 특이점은 현금거래를 수행하는 게임 내 위치가 거의 동일한 것이었다. 889건의 거래가 3곳의 동일한 위치에서만 이루어졌다. 하지만 일반유저의 경우 4,109개의 다양한 위치에서 거래를 수행하였다.

Table 5.는 RMT가 발생한 위치 3곳에서의 일반 거래와 RMT의 비율을 비교하여 나타낸 것이다. RMT의 경우에서는 일반 거래와 다르게 Loc1과 Loc2에서 지속적인 거래를 수행하였다.

Table 5. Trade ratio according to location

4.4.2 소셜 행위 분석

RMT는 게임 내에서 아무런 관련이 없는 사람에게 큰 금액을 건네주는 행위이기 때문에 판매자와 구매자 사이의 특별한 소셜 행위가 존재 하지 않을 것이라 가정하고 주요 소셜 행위를 분석했다.

게임 내 대표적인 소셜 행위로는 파티, 길드, 친구가 있다. 거래에서 주고받는 사람을 한 쌍으로 볼 때 이 한 쌍이 세 가지의 서로 다른 소셜 행위가 존재하는지 분석해 보았다. 분석결과 일반 거래의 경우 파티, 길드, 친구행위가 많이 발생하였고, RMT의 경우에는 예상과 달리 파티행위가 450건이 발생하였고 길드나 친구의 관계는 존재하지 않았다. 450건의 파티 행위를 분석결과 RMT의 파티지속시간은 평균 2분인 반면에 일반유저들은 평균이 약 1시간 정도로 상당한 차이가 났다. 일반적인 파티 행위를 고려해볼 때, RMT 그룹의 파티행위는 파티지속시간이 일반유저의 파티지속시간 보다 확연히 적기 때문에 비정상적인 파티로 생각할 수 있었다.

Fig.12.는 일반 파티와 비정상적인 RMT 파티행위의 지속시간을 CDF로 나타냈다. RMT의 파티는 99%가 1,000초 이하(약 16분)이다. 보통 파티행위는 게임 내에서 사냥이나 퀘스트를 수행하기 위해 오랜 시간 유지하였지만, RMT 파티의 경우 짧은 시간 내에 파티를 해산하였고, 파티를 해산하기 전에 거래행위를 반드시 수행하였다. 이를 통해 RMT 행위를 숨기기 위해 두 가지의 방식으로 거래하는 것을 알 수 있었다. 한 가지는 일반적인 거래를 이용하여 게임머니를 전달하는 것이며, 두 번째 방법은 파티를 맺고 게임머니 전달한 후 바로 파티를 해산하는 것이다.

Fig. 12. Cumulative distribution function for party time

4.5 현금 거래 구매자 탐지룰 설정

RMT의 거래방식은 단순 거래(Simple Trade)와 회피성 파티 거래(Party Trade)로 구분할 수 있었다. 따라서 현금거래 구매자를 탐지하기 위해서 두 가지 경우에 대하여 Table 6.와 같이 룰을 설정하였다.

Table 6. Detection rule for RMT

설정한 룰은 유저간 발생하는 거래 로그에 적용하였다. 거래 로그는 주는 사람과 받는 사람, 거래금액, 위치 등의 정보가 한 개의 트랜잭션이 발생한다. 따라서 그 거래가 대가 없는 게임 머니 전달인지 확인하고 게임머니를 주고받는 사람간의 소셜 행위를 조사하였다. 또한 추가적으로 게임머니를 파는 사람(Seller)의 특성에 대한 일부 피쳐(F9, F10, F12, F13, F14)를 추가하여 건네주는 유저가 구매자인지를 판단하였다. 비정상적 파티 거래는 파티의 지속시간 1,100초 이하로 짧고 파티 시작과 끝 사이에 대가 없는 거래 행위가 있음을 의미한다. 또한 거래 위치는 99%가 Loc1, Loc2에서 발생하기 때문에 룰에 추가하였다.

4.6 탐지결과

Banker가 657명과 889건의 거래 내역에서 단순 거래와 파티 거래로 분류하여 구매자 정답지를 생성하였다. 단순거래 구매자는 340명이며, 파티 거래 구매자는 338명이다. 구매자 탐지룰을 2010.04.10.~05.09(30일)기간의 거래에 대해서 적용하여 탐지한 계정이 정답지와 얼마나 일치하는지 확인하였다. 30일 기간 동안 존재하는 거래 내역은 825,153건이며 18,476개의 계정이 존재하였다. 이 중에서 단순 거래 룰에 의해 탐지된 구매자는 855명이 탐지되었고 파티 거래 룰에 의해 탐지된 구매자는 392명이 탐지되었다.

Fig.13.은 두 가지의 탐지 결과에 대해 그림으로 왼쪽은 단순 RMT의 경우를 나타내고 오른쪽은 회피성 파티 RMT를 나타낸다.

Fig. 13. Detection result for RMT

Table 7.은 탐지 결과를 정리한 표이다. Recall의 경우 두 가지의 경우 98%이상을 보였으며 Precision의 경우에는 각각 45%, 84%였다. Precision의 수치가 다소 낮은 것은 RMT의 정답지가 게임 내 모든 RMT를 의미 하지 않기 때문에 발견하지 못한 또 다른 RMT 그룹일 가능성이 높다.

Table 7. Detection result for RMT

V. 결론 및 향후 연구

게임 내 범죄 그룹인 GFG가 일으키는 현금거래는 계정 해킹과 같은 사회적 문제와 게임 내 경제 형평성을 파괴하는 문제를 야기한다. 최근 10년간 GFG를 제거하기 위한 연구는 Banker 또는 봇 계정 중심으로 탐지하는 연구였다. 하지만 본 연구에서는 GFG를 쇠퇴시키기 위한 구매자 탐지 아이디어를 처음으로 제안하였다. 실제 MMORPG 게임 데이터를 이용하여 GFG의 가장 하단의 Gold Farmer에서 부터 시작하여 판매자인 Banker를 발견하고 RMT 내역을 분석하였다.

RMT를 분석한 결과 단순거래와 회피성 파티 거래로 두 가지의 형태가 존재하는 사실을 밝혀냈고 각각의 형태에 따라 RMT 거래에서 구매자를 탐지하는 Rule based detection을 수행하여 재현율이 98%이상을 보였다.

판매자인 Banker를 찾기 위해 사용한 방법론(거래 역추적)에서 Gold Farmer의 95%가 게임봇 탐지 로그와 일치하였음을 보였기 때문에 제안한 방법을 통해 게임봇 탐지에도 적용 가능하고, Banker 제재시 상당한 근거로 활용 가능하다.

향후 연구로는 게임사에서 정책 또는 게임 기획으로 접근할 수 있도록 현금거래 구매자의 행위를 분석하여 어떤 요소가 현금거래 행위에 영향을 미치는지를 추가 분석할 예정이다.

References

  1. Y. Wang and S.D. Mainwaring, "Human-Currency Interaction : Learning from Virtual Currency Use in China," SIGCHI Conference on Human Factors in Computing Systems, pp. 25-28, Apr. 2008.
  2. E. Castronova, D. Williams, C. Shen, R. Ratan, L. Xiong, Y. Huang, and B. Keegan, "As real as real? Macroeconomic behavior in a large-scale virtual world," New Media & Society, vol. 11, no. 5, pp. 685-707, Nov. 2009. https://doi.org/10.1177/1461444809105346
  3. R. Thawonmas, Y. Kashifuji and K.T. Chen, "Detection of MMORPG Bots Based on Behavior Analysis," International Conference on Advances in Computer Entertainment Technology, pp. 91-94, Dec. 2008.
  4. K. Woo, H. Kwon, H.C. Kim, C.K. Kim and H.K. Kim, "What can free money tell us on the virtual black market," ACM SIGCOMM, vol. 41, no. 5, pp. 392-393, Aug. 2011.
  5. J. Woo and H.K. Kim, "Survey and Research Direction on Online Game Security," Workshop at SIGGRAPH Asia, pp. 19-25, Nov. 2012.
  6. G. Ekberg, "The Swedish Law that Prohibits the Purchase of Sexual Services Best Practices for Prevention of Prostitution and Trafficking in Human Beings," iolence against women, vol. 10, no. 10, pp. 1187-1218, Oct. 2004. https://doi.org/10.1177/1077801204268647
  7. K.T. Chen and L.W. Hong, "User Identification based on Game-Play Activity Patterns," ACM SIGCOMM workshop on Network and system support for games, pp. 7-12, Set. 2007.
  8. G. Lastowka, "ID theft, RMT, & Lineage," TerraNova, http://terranova.blogs.com/terra_nova/2006/07/id_theft_rmt_nc.html%20/, Jul. 2006.
  9. A.S. Irwin, and J. Slay, "Detecting Money Laundering and Terrorism Financing Activity in Second Life and World of Warcraft," 2010 INTERNATIONAL CYBER RESILIENCE CONFERENCE, pp. 41, 2010.
  10. S. Gianvecchio, Z. Wu, M. Xie, and H. Wang, "Battle of botcraft: fighting bots in online games with human observational proofs," ACM conference on Computer and communications security, pp. 256-268, Nov. 2009.
  11. K.T. Chen, A. Liao, H.K.K. Pao and H.H. Chu, "Game bot detection based on avatar trajectory," Entertainment Computing-ICEC, vol. 5309, pp. 94-105, Sep. 2008.
  12. Y. Mishima, K. Fukuda and H. Esaki, "An analysis of players and bots behaviors in MMORPG," Advanced Information Networking and Applications, pp. 870-876, Mar. 2013.
  13. A.R. Kang, H.K. Kim and J. Woo, "Chatting pattern based game BOT detection: do they talk like us?," KSII Transactions on Internet and Information Systems, vol. 6 no. 11, pp. 2866-2879, Jun. 2013. https://doi.org/10.3837/tiis.2012.10.007
  14. A.R. Kang, J. Woo, J. Park and H.K. Kim, "Online game bot detection based on party-play log analysis," Computers & Mathematics with Applications, vol. 65, no. 9, pp.1384-1395, May. 2013. https://doi.org/10.1016/j.camwa.2012.01.034
  15. R.V. Yampolskiy, and V. Govindaraju, "Embedded noninteractive continuous bot detection," Computers in Entertainment, vol. 5, no. 2, pp. 7, May. 2008. https://doi.org/10.1145/1279540.1279547
  16. A. Fujita, H. Itsuki and H. Matsubara, "Detecting Real Money Traders in MMORPG by Using Trading Network", AIIDE, Oct. 2011.
  17. B. Keegan, M.A. Ahmed, D. Williams, J. Srivastava and N. Contractor, "Dark gold: Statistical properties of clandestine networks in massively multiplayer online games", Social Computing, pp. 201-208, Aug. 2010.
  18. H. Kwon, K. Woo, H. Kim, C.K. Kim, and H.K. Kim, "Surgical strike: A novel approach to minimize collateral damage to game BOT detection," Annual Workshop on Network and Systems Support for Games, pp. 1-2, Dec. 2013.
  19. I. Constantiou, M.F. Legarth and K.B. Olsen, "What are users' intentions towards real money trading in massively multiplayer online games?," Electronic Markets, vol. 22, no. 2, pp. 105-115, Jun. 2012. https://doi.org/10.1007/s12525-011-0076-9
  20. S. Mitterhofer, C. Platzer, C. Kruegel and E. Kirda, "Server-side bot detection in massive multiplayer online games," IEEE Security and Privacy, pp.29-36, 2009.
  21. M. Ahmad, B. Keegan, J. Srivastava, D. Williams and N. Contractor, "Mining for gold farmers: Automatic detection of deviant players in mmogs," Computational Science and Engineering, vol. 4, pp. 340-345, Aug. 2009.
  22. M.A. Ahmad, B. Keegan, A. Roy, D. Williams, J. Srivastava and N. Contractor, "Guilt by association? Network based propagation approaches for gold farmer detection," Advances in Social Networks Analysis and Mining, pp.121-126, Aug. 2013.
  23. B. Keegan, M.A. Ahmad, D. Williams, J. Srivastava and N. Contractor, "What can gold farmers teach Us About criminal networks?," XRDS: Crossroads, vol. 17, no. 3, pp. 11-15, 2011. https://doi.org/10.1145/1925041.1925043
  24. Q.H. Wang, V. Mayer-Schonberger and X. Yang, "The determinants of monetary value of virtual goods: An empirical study for a cross-section of MMORPGs," Information Systems Frontiers, vol. 15, no. 3, pp.481-495, 2013. https://doi.org/10.1007/s10796-011-9339-4
  25. J. Lee, J. Lim, W. Cho and H.K. Kim, "I know what the BOTs did yesterday: full action sequence analysis using Naive Bayesian algorithm," Annual Workshop on Network and Systems Support for Games, pp. 1-2, Dec. 2013.
  26. J. Lee, J. Lim, W. Cho and H.K. Kim, "In-Game Action Sequence Analysis for Game BOT Detection on the Big Data Analysis Platform," 18th Asia Pacific Symposium on Intelligent and Evolutionary Systems, pp. 403-414, Jan. 2015.