[인터뷰] “스노우플레이크 기반 게임 이상 탐지 체계 ‘KARS’ 고도화”

[아이티데일리] 게임은 현실과 유사한 가상 세계다. 그 안에는 화폐부터 자산, 거래 등 작은 경제가 존재한다. 하지만 가상에 구현된 게임 세계이기에 기획 단계에서 찾아내지 못한 허점이 존재할 수밖에 없다. 게임 이용자 중에는 이러한 허점을 파고들어 게임 내 경제를 무너뜨리려는 위협자도 존재한다. 게임사들은 게임 내 경제, 그리고 더 나아가 기업의 비즈니스에 악영향을 주는 이상 행위들을 탐지하는 시스템을 갖추는 것에 적극적인 자세를 취하고 있다.

이러한 상황에서 최근 데이터와 인공지능(AI)과 같은 신기술을 활용해 이상 탐지 시스템의 완성도를 높여 주목받는 기업이 있다. 바로 카카오게임즈다. 카카오게임즈는 기존 운영하던 이상 탐지 시스템을 스노우플레이크의 서비스형 소프트웨어(SaaS)를 기반으로 전환해 성능과 편의성을 대폭 개선했다. 카카오게임즈 박종범 이상탐지셀장을 만나 스노우플레이크 전환 여정을 상세히 들어봤다.

게임의 위협 요소, 이상 행위

카카오게임즈는 카카오그룹의 게임 전문 계열사다. ‘오딘 발할라: 라이징’과 ‘아키에이지 워’ 같은 MMORPG 대작부터 FPS 대표 게임으로 거듭난 ‘배틀그라운드’, 그리고 ‘프렌즈팝콘’, ‘프렌즈타운’과 같은 캐주얼 게임까지 다양한 장르의 게임을 서비스하고 있다. 자체 지식재산권(IP) 확보를 위해 유망 개발사를 자회사로 편입하는 등 개발 역량 강화에도 힘쓰고 있다. 특히 해외 법인을 통해 글로벌 시장으로 게임 사업을 확장하고 있다.

게임 산업 그리고 게임 생태계에는 다양한 위협 요소가 존재한다. 대표적인 것이 바로 이상 행위다. 박종범 셀장에 따르면, 이상 행위는 악의를 품은 사용자가 특정 행위를 수행해 게임 시스템이나 다른 이용자에게 부정적인 영향 또는 피해를 초래하는 행위다. 주요 이상 행위 유형으로는 클라이언트를 해킹하는 행위나 게임 기획상의 허점을 이용해 게임 내 재화를 무한정 늘려 게임 경제를 파괴하는 경우 등이 있다.

최근에 대두된 가장 심각한 이상 행위는 작업장이다. 작업장은 수백, 수천 대의 휴대전화 속 반도체를 분리해, 동시에 여러 게임 계정을 운영하며 일반 유저가 얻을 수 없는 수준의 아이템을 획득한다. 통상 아이템마다 얻을 수 있는 확률이 정해져 있는데 작업장에서는 수백, 수천 대의 휴대전화를 이용해 확률을 높게 끌어올려 아이템을 획득하곤 한다. 이렇게 획득한 아이템은 현금 거래소에 판매해 부당한 이득을 취한다.

이상 탐지 시스템 ‘KARS’, 스노우플레이크 활용해 고도화

카카오게임즈는 이상 행위를 탐지하기 위해 사내에서 자체적으로 이상 탐지 시스템 ‘KARS(KakaoGames Abusing Detection Risk Management & Security)’을 운영하고 있다.

초기에는 게임 운영자가 제보나 CS를 통해 수동으로 이상행위를 탐지하고 조치하는 것이 대부분이었다. 하지만 카카오게임즈는 한발 더 나아가 아마존웹서비스(AWS)의 S3 서비스를 활용해 모든 데이터를 하나의 저장소에 담는 데이터 레이크(Data Lake)를 구축했고, 데이터 기반 탐지 시스템인 KARS를 개발했다.

AWS 기반 데이터레이크는 AWS의 여러 기능들을 조합해 구축했기 때문에 관리 효율성이 떨어진다는 한계가 있었다.

이러한 문제를 해결하고자 카카오게임즈는 스노우플레이크 서비스를 도입했다. 스노우플레이크는 서비스형 소프트웨어(SaaS) 형태의 솔루션으로 관리 편의성과 효율성이 높다. 카카오게임즈 박종범 셀장에 따르면, 기존 AWS S3 기반 데이터 레이크 구조와 유사해 마이그레이션이 용이했다. 또한 PoC 결과 성능과 보안 기능에서 가장 높은 만족도를 보였다.

실제로 스노우플레이크 도입 이후 KARS 시스템은 비약적인 성능 향상을 이뤘다. 데이터 적재 속도가 1시간에서 1~2분으로 단축됐고, 복잡한 쿼리 조회 시간은 6초에서 0.5~0.6초로 대폭 감소했다. 또한 데이터 압축률은 43%, 적재 속도는 95%, 조회 속도는 80% 향상되는 효과를 얻었다. 이러한 개선은 KARS 시스템에 접속해 이상 행위를 파악하는 게임 운영자들로부터 “시스템이 빨라졌다”는 긍정적인 평가를 받기도 했다.

카카오게임즈는 스노우플레이크의 보안 기능을 토대로 ‘데이터 민주화’도 실현했다. 스노우플레이크의 데이터레이크 솔루션은 테이블, 컬럼, 로우 단위의 세밀한 권한 관리를 지원하며, 개인정보 접근 권한이 없는 사용자에게는 데이터를 비식별화해 제공한다. 이를 통해 비개발 직군도 보안 사고 우려 없이 데이터에 직접 접근해 쿼리를 통해 분석할 수 있게 됐다.

박종범 셀장은 “비개발자들이 쿼리 수정 횟수의 80%를 차지할 정도로 데이터 활용도가 높아졌다. 이는 데이터 팀이 아닌 현업 사용자가 직접 데이터를 탐색하며 가설을 세우고 검증하는 문화가 정착됐음을 의미한다”고 강조했다.

다음은 카카오게임즈 박종범 이상탐지셀장과의 인터뷰를 일문일답으로 구성한 것이다.

“성능 및 관리 편의성 대폭 개선”

Q. 카카오게임즈의 기존 이상 탐지 시스템을 고도화한 이유는.
A. 스노우플레이크 도입 이전 카카오게임즈는 이상 탐지 시스템 ‘KARS’를 이미 운영 중이었다. 이상 탐지 초기에는 제보나 CS, 혹은 운영자의 수동 모니터링을 통해 이상 행위를 탐지하는 수준이었으나, 데이터 레이크를 기반으로 KARS를 자체 구축하면서 데이터 기반의 시스템으로 발전시켰다. 하지만 이 시스템은 ‘아마존 EMR(Amazon Elastic MapReduce)’과 같은 하둡 기반의 데이터 엔진을 사용했는데, 서버나 네트워크를 직접 관리해야 하는 번거로움이 있었다. 또한 AWS의 다른 서비스도 조합했기에 관리 효율성 측면에서 한계가 있었다.

Q. 스노우플레이크를 선택한 이유는 무엇인가.
A. PoC를 통해 스노우플레이크와 타사의 솔루션을 비교한 결과 성능과 관리 효율성이 좋았다. 이 과정에서 스노우플레이크는 우리가 역점을 두고 있었던 성능 향상 부분을 해결해 줬다. 기존 시스템에서는 완벽하지 않았던 실시간 스트리밍 데이터를 적재하는 기능을 스노우플레이크의 솔루션에 내재된 ‘스트리밍’ 기능을 활용해 성능을 대폭 향상할 수 있었다.

또한 보안 기능도 뛰어났다. 스노우플레이크는 쿼리를 날릴 때 권한 관리, 암호화, 비식별화 기능을 쉽게 적용할 수 있었다. 이 기능이 데이터 민주화의 기반이 된다고 판단했다. 아울러 기존 AWS S3 기반 데이터 레이크 구조와도 유사해 이관이 쉬웠다는 점도 고려대상이었다.

Q. 스노우플레이크 도입 후 가장 만족스러운 부분은.
A. 스노우플레이크를 도입하며 얻은 성과는 ‘성능 개선’과 ‘관리 효율성’이다. 데이터 적재 시간은 1시간에서 1~2분으로 줄어들었고, 특정 복잡한 쿼리는 6초에서 0.5~0.6초로 조회 속도가 대폭 단축됐다. 물론 모든 케이스에서 이처럼 극적인 성능 향상이 있었던 것은 아니지만, 자주 사용하는 쿼리에서는 성능 향상을 체감할 수 있었다. 기존에 아마존 EMR 클러스터 관리를 위해 투입되던 리소스 역시 크게 줄어들어 관리 효율성도 개선됐다.

Q. 스노우플레이크의 어떤 기능을 주로 활용하고 있는가.
A. 카카오게임즈는 스노우플레이크를 단순히 이상 탐지 시스템의 데이터 엔진으로만 사용하는 것이 아니다. 클라우드를 기반으로 하는 ‘데이터 레이크’부터 데이터 적재를 위한 스노우플레이크 스트리밍, AI 관련 시도를 위한 MCP(Model Context Protocol), 그리고 강력한 보안 기능과 오토스케일링, 컴퓨팅 등 다양한 서비스와 기능들을 활용하고 있다.

“원재료부터 요리까지, 각 단계에 맞는 데이터 제공”

Q. 고도화된 KARS 시스템의 특장점은.
A. KARS 시스템은 게임 모니터링, 이상 징후 인지, 조사, 제재, 후속 조치 등 이상 탐지 프로세스의 대부분을 지원한다. 기본적인 데이터 시각화 대시보드 외에 이상 탐지에 특화된 기능들이 추가돼 있다. 예를 들어 플랫폼과 연동돼 자동으로 제재를 가하는 기능이나, 알람을 누가 언제 확인했는지 기록하는 등 업무 프로세스를 관리하는 기능도 포함하고 있다.

특히 KARS에는 데이터 팀이 아닌 현업 운영자들이 스스로 데이터를 탐색하고 가설을 검증할 수 있도록 쿼리 접근 권한도 열려 있다. 이를 통해 비개발 직군이 쿼리 수정의 80%를 담당할 수 있게 됐다.

보안에 대한 우려도 있을 수 있다. 하지만 테이블, 컬럼, 로우 단위의 세밀한 권한 관리를 지원하기에, 개인정보 접근 권한이 없는 사용자에게는 데이터를 비식별화해 제공한다. 이를 통해 비개발 직군도 안전하게 데이터에 직접 접근해 쿼리를 날리고 분석할 수 있다.

Q. KARS 시스템을 고도화할 때 역점을 둔 부분은 무엇인가.
카카오게임즈의 이상 탐지 시스템인 KARS는 크게 △넓게(Width) △깊게(Depth) △빠르게(Speed) 등 세 원칙을 중심으로 설계됐다. 우선 사각지대 없이 모든 사용자의 행동을 모니터링하고, 현재는 포착하지 못한 이상 행위를 찾기 위해 과거 데이터까지 조회하기 위해선 ‘넓게’ 이상 탐지를 해야 한다. 특히 단편적인 행동이 아닌, 여러 행동 데이터를 종합적으로 판단해 제재를 결정하기 위해선 ‘깊게’ 탐지하는 것이 중요하다. 마지막으로는 게임 내 피해 확산 속도가 빠르기 때문에 이상 행위를 신속하게 차단하는 것이 중요하다.

Q. 구체적으로 어떠한 아키텍처로 KARS를 구성했는가.
A. KARS는 엔드투엔드 데이터 접근이 가능하도록 구성됐다. KARS 시스템의 데이터 처리 과정을 요리 과정에 비유해 소개하겠다.

게임에서 발생하는 모든 로우 데이터는 내부 플랫폼을 거쳐 카프카 토픽에 쌓인 뒤, 스노우플레이크의 인제스트 레이어(원재료), 스테이징 레이어(밀키트), 서빙 레이어(요리)에 적재된다. KARS에 접속한 게임 운영자는 이 모든 레이어의 데이터에 접근할 수 있다.

누가 언제 접속했는지, 어떤 아이템을 획득했는지 등 게임에서 발생하는 로우 데이터가 인제스트 레이어에 해당한다. 가공되지 않은 날것의 데이터로, 마치 요리 재료를 사 온 상태와 같다.

다음은 중간 집계 과정인 스테이징 레이어다. 스테이징 레이어에서는 로우 데이터를 사용하기 편하게 미리 정제해 놓는다. 마치 밀키트와 같다. 자주 사용하는 데이터를 미리 계산하거나 분류해 놓는 것이다. 어제 하루 동안 특정 아이템이 얼마나 팔렸는지 미리 집계해 둔다. 요리의 ‘프랩(Prep)’ 과정, 즉 재료 준비 단계와 유사하다.

마지막은 서빙 레이어, 즉 요리 단계다. 밀키트를 활용해 최종적으로 완성된 결과물이다. 서비스에 바로 제공될 수 있는 형태로, 이미 완성된 보고서나 대시보드 데이터 등이 여기에 해당한다.

데이터 처리 과정별로 데이터 단계를 나눈 이유는 목적에 따라 효율적으로 데이터를 제공하기 위함이다. 대부분 사용자는 요리처럼 완성된 데이터를 보지만, 더 깊은 분석이 필요한 전문가(셰프)는 원재료에 해당하는 로우 데이터에 직접 접근해 새로운 요리를 만들 수 있다. 이를 모두 지원할 수 있도록 시스템이 구성돼 있다.

“데이터 민주화 기반은 안전한 데이터 권한관리에 있다”

Q. 향후 추가 도입을 고민하는 스노우플레이크 서비스나 기능은.
A. 머신러닝 모델을 빠르게 만들어주는 ‘오토ML’ 기능을 고려하고 있다. 이상 탐지 업무는 가설을 세우고 검증하는 과정이 필수적이다. 이때 오토ML을 활용하면 이 과정을 더욱 효율적으로 만들 수 있을 것으로 기대하고 있다. 아직 도입을 확정하지 않았지만, 내부적으로 활발하게 검토 중이다.

Q. 데이터 민주화에 기여했다고 하는데, 구체적으로 설명해달라.
A. 개인적으로 ‘데이터를 잘 가려야 잘 열어줄 수 있다’고 생각한다. 결국 데이터에 더 많은 사람이 접근하고 활용하기 위해선 데이터를 얼마나 안전하게 마스킹할 수 있는지가 중요하다.

스노우플레이크는 테이블, 컬럼, 로우 단위로 세밀한 권한 관리가 가능해, 개인정보 접근 권한이 없는 사업 담당자 같은 비개발 직군에게는 플레이어 ID와 같은 민감 정보를 해싱 처리해서 보여준다. 이를 통해 데이터에 대한 무분별한 접근을 막으면서도, 현업 담당자가 스스로 필요한 데이터를 탐색하고 분석하는 데이터 민주화가 구현됐다. 실제로 비개발 직군이 전체 쿼리 수정 횟수의 80%를 차지할 정도로 데이터 활용도가 높아졌다.