절대 방패 ‘데누보’도 뚫리는 핵의 등장으로 다시 시끄러운 게임 업계

한때 PC 게임 시장에서 ‘최소 3개월은 지켜주는 방패’로 불렸던 ‘데누보’가 다시 시험대에 올랐다. 불법 복제와의 전쟁에서 오랜 시간 우위를 점해왔던 이 보호 기술이 최근 ‘하이퍼바이저 크랙’이라는 새로운 방식과 맞닥뜨리면서다.

특히, 이 크랙은 기존 게임 불법 복제 방식과 달리 운영체제가 아닌 메인보드 기반의 바이오스 설정을 건드리는 접근이 등장했다는 점에서 업계의 긴장감도 커지고 있다.

2013년 오스트리아의 ‘데누보 소프트웨어 솔루션’에서 처음 출시한 ‘데누보’는 2015년부터 본격적으로 사용되기 시작한 불법 소프트 복제 방지 프로그램 즉 안티 치트였다.

이 ‘데누보’는 적게는 수 주, 많게는 최대 1년까지 게임 복제 사례가 나타나지 않을 만큼 높은 보안을 자랑했고, 게임의 매출 그래프가 가장 높이 상승하는 출시 이후 3개월 동안을 책임져 줄 수 있다는 이유로 다양한 게임사에서 이 ‘데누보’를 적극 사용하기 시작했다.

실제로 2024년 ‘Entertainment Computing’ 학술지에 ‘데누보’가 빠르게 뚫리면 매출이 평균 20%가량 감소할 수 있지만, 약 12주 이상 보호가 유지되면 전체 매출 손실이 거의 없는 것으로 예측된다“라고 분석한 연구가 있을 정도였다.

이에 ‘몬스터 헌터 와일즈’, ‘프레그마타’, ‘붉은사막’ 등 다양한 AAA 및 중형 타이틀에 이 데누보가 적용되었으며, AAA급 게임이면 표준적으로 사용되는 보안 프로그램으로 명성을 높였던 것이 사실.

하지만 최근 ‘하이퍼바이저 기반 우회’ 형태의 새로운 크랙이 등장해 이 ‘데누보’의 명성도 흔들리고 있다. 이 ‘하이퍼바이저 크랙’은 기존 게임 복제 방식과 상당히 다른데, 기존처럼 실행 파일을 직접 뜯어내는 방식이 아니라 운영체제보다 더 아래인 PC 바이오스 설정을 건드려 보호를 무력화하고 게임에 접근하는 방식을 취한다는 것이다.

쉽게 말해 “문을 따는” 것이 아니라 “문지기가 보고 있는 환경 자체를 바꿔버리는” 방식이다.

이는 ‘데누보’의 작동 방식을 근본적으로 회피하려는 시도에서 비롯됐다. ‘데누보’는 스팀과 같은 플랫폼의 정품 라이선스 검증 과정이 변조되거나 우회되지 않도록 보호한다.

여기에 암호화와 난독화, 디버깅 방지 기법을 조합해 실행 파일을 분석하거나 수정하기 어렵게 만들어 게임의 불법 복제가 빠르게 등장하는 것을 방지하는 것을 지연시키는 특성도 지니고 있다.

반면 하이퍼바이저 기반의 크랙은 이 ‘데누보’가 작용하는 단계 이전의 ‘가상화’를 통해 프로그램이 인식하는 실행 환경을 조작한다.

‘가상화’는 하나의 컴퓨터 안에 ‘또 다른 가상의 컴퓨터 환경’을 만들어내는 기술이다. 예를 들어 하나의 PC 안에서 여러 개의 운영체제를 동시에 돌리거나, 특정 프로그램을 독립된 환경에서 실행할 수 있게 만드는 식으로 작동한다.

대부분의 게임이 윈도우 등의 운영체제가 제공하는 환경 안에서 작동하기에 데누보와 같은 안티 치트 프로그램 역시 운영체제 위에서 작용하지만, 하이퍼바이저는 운영체제보다 더 아래인 ‘가상화’ 단계에서 시스템을 관리하여 디버깅 방지나 코드 무결성 검증을 피하고 있다.

문제는 이 방식이 단순한 ‘복사 기술’에 그치지 않는다는 점이다. 기존 백신이나 안티 치트 프로그램이 방어할 수 있는 영역이 아닌 ‘가상화’ 단계에서 작동되는 프로그램인 만큼 우회를 통해 윈도우 보안 기능을 비활성화하거나 약화시켜 악성코드 감염 및 개인 데이터 탈취에 사용될 가능성이 매우 크다.

더욱이 이 기술은 온라인게임 영역과도 연결된다. ‘데누보’를 개발 및 운영하는 ‘어데토’(Irdeto)는 드라이버, 커널, 하이퍼바이저 계층까지 활용한 치트 제작 방식을 온라인 형태의 게임 및 프로그램의 주요 위협으로 언급했다.

실제로 ‘하이퍼바이저’는 불법 복제뿐 아니라 에임봇, 맵핵 같은 치트 프로그램에서도 핵심 기술로 떠오르고 있으며, 이를 활용한 기술이 더 확산될 경우 정품 인증 및 정식 이용자 인증 수단 자체를 바꿔야 할 수도 있다는 지적이 나오고 있다.

업계의 한 관계자는 “기존 게임 크랙이 운영체제 위에서 작동했다면, 이 하이퍼바이저는 백신도 안티 치트도 적용되지 않는 메인보드의 ‘가상화’에서 작동한다는 점에서 기존 크랙과 위험성이 천지 차이로 다르다.”라며, “메인보드 설정을 바꾸거나, 실행 관리자 권한을 넘겨주는 것은 자칫 불법 채굴 프로그램 및 해킹 프로그램의 수단으로 사용될 가능성이 있으므로, 이를 최대한 피해야 할 필요가 있다.”라고 전했다.