안녕하세요. 웹 개발자 입니다.

이번에 게임 API 서버를 개발하고 있는데, http 통신 시 보안 관련하여 질문이 있습니다.

유니티 클라이언트에서 http 통신으로 전달 되는 값을 변조 하지 못하도록 하려고 합니다.

가령,
money=100,exp=100 이란 두개의 값을 서버로 보낼 때,
hmac(100+100+secret_key) 이렇게 만들어진 값을 파라미터로 같이 보내서 검증을 하려고 합니다. (유저 검증은 로그인 후 토큰 값 검증으로 하고 있습니다.위의 예시에서는 제외했습니다.)

문제는 클라이언트 소스코드가 디컴파일? 하게 되면 동작 방식과 secret_key 가 노출 되는데
악의적으로 http 호출을 임의로 만들어서 공격자가 보내게 되면 서버에서는 값이 정상적인 호출인지 알지 못하게 됩니다.

이 경우, 클라이언트 소스코드 난독화 어셋등이 있던데 이렇게 하면 해소 될 수 있을까요?

값을 암호화 하는 방법도 소스코드 상에서 암호화 동작 방식을 알게 되니깐 난독화가 아니면
의미가 없을거 같은데...

클라이언트 난독화 정도만 하면 될지...궁금합니다.

아울러 유니티 난독화 어셋 추천해주시면 감사하겠습니다. 꾸벅.