해킹글이 많아서 짧게나마 몇자 적어보고자 합니다.
던파에서 사용하는 보안 시스템은 크게 고블린패드, 보안카드, OTP(PC, Mobile)로 크게 3가지입니다.
각각의 원리와 취약점, 대처방안을 짧게나마 풀어보겠습니다.
1. 고블린패드
4자리의 핀 코드를 고블린을 움직여서 넣는 방식입니다.
장점
1. 키보드 입력을 후킹하는 키로거 툴에 걸려도 절대 알아낼 수 없습니다. 아마추어들이 사용하는 절대 다수의 해킹툴이 키로거인걸 생각하면 사실상 이거만으로도 꽤나 강력해..야..합니다만, 후술할 문제로 인해 그리 강력하다고는 보기 힘듭니다.
2. 기억하기 쉽고 변경하기도 쉽습니다. 이게 뭔 소린지 하겠지만, 상당히 큽니다. 사람의 기억력이 그리 뛰어나지 못한데, 상대적으로 외우기 쉬운 핀 코드를 사용하는 고패는 변경에 대한 리스크가 별로 없거든요. 동일한 패스워드를 지속적으로 사용할 경우 브루트 포스 어택(계속 반복해서 때려넣어보는거)에 취약해지기 때문에, 변경을 자주 해 주는 것은 좋습니다. 게다가 비밀번호를 기억하지 못해 어딘가 적어둘 일도 별로 없죠. (설마 고패도 어디 적어두시는 분은 없겠...)
단점/취약점
1. 기억하기 쉬운만큼 타인에 의한 유출도 쉽고 유추도 쉽습니다. 은행 비밀번호와 같습니다. 일례로 은행 비밀번호 관련 조사에서는 사용자 대부분이 생일 혹은 자신의 개인정보로 유추 가능한 무언가를 사용하고 있다는 결과도 있었죠. 게다가 타인에게 한번 알려주면 또한 쉽게 잊기 힘들죠.
2. 던파 홈페이지의 취약성입니다. 외부에서 무언가 해킹된 1차 정보로 고객센터 호출을 통해 해지해버리는거죠. 이놈의 주민번호가 문제입니다-_-;
3. 고패는 풀고나서 특정 시간 내에 특정 조건으로 강종 후 재접속 시에는 고패 재입력이 뜨지 않습니다. 이미 ID/Pass가 노출된 상황에서는 고패 입력 후 해커가 강종 후 재실행으로 접속 레이스를 유발하여 고패가 해지된 상태에서 접속이 가능한 특수한 상황이 발생할 수 있습니다. 원칙적으로 유저들이 이 취약점에 대응하기는 불가능합니다 -_-
4. 키로거에는 대비가 되지만 스크린 캡처 혹은 영상까지 로깅하는 해킹툴에는 극도로 취약해집니다 -_-;;;
대응책
1. 고패를 자주 바꿉시다.
2. 개인 정보와 관계없는 번호면 좋습니다.
3. PC에 해킹툴이 있는지를 꼼꼼히 체크해서 정리합시다.
4. 애초에 수상한 사이트/메일/파일은 가지도 받지도 실행하지도 맙시다.
5. 사이트별 비번은 다르게 설정해줍시다.
2. 보안카드
모바일로 문자를 발급받아 해당 위치에 해당하는 문자를 입력하는 방식입니다.
장점
1. 발급/해지에 모바일 인증을 해야 합니다.
2. 그 외엔 없습니다. 진짜 없어요. -_-;
단점
1. 그 외의 것 전부. 고패의 취약성 + 키로거에까지 약합니다.
대응책
1. 쓰지 맙시다. 보안카드는 고대의 유산입니다. 잘 접어서 어디 항아리에라도 넣어둬야죠.
2. 서울역이나 이런데서 대포폰 알바 이런거 할때 자기 개인정보 팔지 맙시다(....)
3. 타 사이트 해킹 및 모바일 분실 역시 주의합시다. 모바일 인증의 단점은 모바일 복제에요.
3. OTP
PC나 모바일에서 1회용 인증기를 사용하는 방식입니다.
장점
1. 현존 보안 체계 중 그나마 가장 강력합니다. 던파 OTP의 경우 폐기 주기도 꽤나 짧은 축에 들어서 OTP 자체가 노출당하지만 않는다면 꽤나 강력한 보안을 자랑합니다.
2. 홈페이지를 통한 해지 신청도 개인정보만으로 되지 않아서 좋습니다. 다만 역시 모바일 기기 복제는 주의합시다.
3. 키로거와 화면로거 모두 쓸모가 없습니다. 한번 쓰면 만료되어버리거든요
단점
1. 시드 노출에 취약합니다. 사실상 숫자를 만드는 알고리즘은 죄다 노출되었다고 봐야 하기에, PC고 모바일이고 OTP 일련번호(시드)가 노출되면 그 즉시 OTP는 복제당한다고 봐야 합니다.
2. 이로 인해 PC, 특히 USB에 넣고 다니면 몇배로 위험해집니다. USB는 멀웨어의 온상이라 할 정도로 취약하지요 -_-; 이곳저곳 연결될 일이 많아서 그런겁니다. USB에 이상한거 묻지 말라고 콘돔을 씌울 수도 없고 참...
3. 모바일의 경우 루팅되면 모든 정보가 통으로 노출될 가능성이 큽니다. 악성 프로그램 (특히 안드로이드)들이 쉽게 접근할 수 있게 됩니다.
대응책
1. 가급적 PC OTP보단 M OTP가 강력합니다.
2. 폰은 순정 상태로 씁시다.
3. 주기적으로 바이러스 검사를 해 줍시다 (이건 필수에얌)
