711
2016-05-19 14:52:27
0
1. OTP 따위가 있어도 털리는 사례
-저도 그 사례를 직접 옆에서 본적이 있는데 (마찬가지로 넥슨의 D게임이었습니다. 아마 0X년도 입니다. 최근의 이야기는 아닙니다.) 그건 순수하게 당시 사용한 컴퓨터 자체가 이미 해킹된 사례였습니다. 아 마 예전 OTP 방식 일정 시간 유효한 방식이었기 때문에, 조금 뒤늦게 바로 접속을 해도 신규접속이 기존접속을 끊어버리기 때문에, 털린걸로 알고 있습니다.
- 또한 예전의 경우 주민번호만 알면 비번의 변경등에 대한 권한을 다 얻을수 있는 시점이었기 때문에, 당시의 기준으로 지금의 상황을 평가하는것은 말이 안됩니다. 예전의 기준으로 현재의 보안시스템을 부정하는것은 다른이야기로 하면, "다른애들도 다 예전에 그랫는데 너라고 안전하냐" 라는 생각일 뿐이죠.
- 현재는 롤을 비롯한 대부분 온라인게임사는 폰인증 or 아이핀을 통한 가입이기 때문에, 그 이후에 발생된 해킹이 아닌 이상, 현재의 시스템상에서 책임을 묻는다 = 서버자체의 문제 or 해당 인증수단 자체의 문제라고 봐야하는데, 적어도 인증수단에서 발생할 일은 없고, 서버해킹은 오히려 공표하는것이 2차피해에 대한 방지가 되기 때문에, 라이엇이 서버해킹을 당했다는 사실을 발표하기 전까지는 문제가 없다고 보고 있습니다. (농협이나 SK 같은 곳의 개인정보털린 뉴스만 해도 몇년전까지만 해도 일상 수준 같은 일이었죠)
- 롤도 북미서버가 털린적이 있었는데, 즉각적인 계정비번교체를 유도했고 (클라이언트에서 비번교체 팝업창) 실제로 그후의 기사를 볼수 없었기 때문에 정확히는 알수 없었지만, 그로인한 피해사례가 엄청 났다면 (2차피해) 국내에서도 이슈가 안될것 같진 않았을 겁니다. (라이엇이 생각보다 적이 많으니까요. 특히나 "한국에는")
- 그래서 서버자체가 털리거나, 사용자PC 가 통으로 털린 경우가 아닌 이상, 해킹이 성공하는건 그냥 사용자의 편의성 (단순한 비밀번호, 공유된 비밀번호) 때문으로 생각합니다. 실제로 롤이라는 게임의 계정은 털어봐야 MMORPG 와는 비교하기 어려운 실질적 가치환원이고, 그 방법도 기껏해야 RP를 이용한 스킨발송 정도가 한계인데, 이 과정에서 가입과 같은 절차를 요구하는걸로 알고 있습니다.
2. 2차 안전 (OTP 같은) 수단이 없는 사례
- 현재 롤이 그러하다고 하는데, 그럼에도 불구하고 "생각보다" 많이 안털립니다. 이유는 간단한데요. 브루트포스는 복잡한 암호일수록 하나 터는데도 오래걸린다 라는거구요. 제가 알기로는 그러한 수단으로 비번을 푸는 공격을 할 경우 사이트 자체에서 (주로 서버단) 해당 IP 를 차단 하는 경우나, 따로 조회가 가능합니다. (접속시도과정에서 과부하를 일으키는 IP 를 잡지 않는 서버는 없을겁니다. 그것은 국내를 포함해서이죠.)
- 5회시도잠김의 경우, 안전하다고 볼수도 있지만, 자주 사용하는 유저는 상관없지만, 여러가지 비밀번호를 다수 사용하거나, 많이 바꾸는 유저일수록 불편해질수 있습니다. (또는 기억력이 나쁘거나, 여러가지 비밀번호를 많이 사용하는 유저일수록) 롤은 이경우는 하지 않으니 유저입장에서 "불안" 해질요소는 있지만, 보안의식이 좋은 사람일수록 "불편" 해지는 시스템이기 때문에 (선술 했듯이, 비밀번호를 다양하게 쓰거나 / 자주 바꾸는 사람일수록 실수에 의해서 귀찮아 질 가능성이 큽니다.) 적용 하지 않았을수도 있습니다.
- 오래 사용하지 않은 계정의 경우는 (1년이상 로그인없는 경우) 자동적으로 휴면계정으로 바꾸어서 다시 사용할때 가입절차를 다시 거치는 (다시 인증) 것으로 알고 있습니다. 이건 제가 알기로 재작년인가 작년인가 법령으로 그렇게 하기로 바뀌었던걸로 압니다. 최초에는 파기로 바뀌었지만, 사업자재량으로 휴면상태로 해서 복구가능하게 할것인지 or 아예 파기 할것인지로 할수 있는걸로 알고 있습니다. (하지만, 사업자 대부분은 사용자정보 또한 자산의 일부로 보는 경향이 매우 크기때문에, 파기 보다는 분리보관을 하는걸로 압니다.)
3. 현실과 동떨어진다. . . 라는 부분은 언제나 시스템은 현실을 반영하고 뒤늦게 조성이 되기 때문입니다.
- 첫째로 서버가 털렷다 => 개개인의 정보가 새나갔다. => 2차 피해의 발생전에 비번을 모두 바꿔야 합니다. 라는 사실은 쉽게 알려집니다만, 실제로 그렇게 하는 유저는 상당히 적을겁니다. 여러 사이트에 공통으로 쓰는 비번의 경우, 일괄적으로 다 바꾸거나, 주기적 변경을 필수도 해야 함에도 불구하고 실제로 그렇게 하는 유저는 극소수 입니다. 이건 단언가능합니다.
- 둘째로, 브루트포스 같은 수단에 뚫렸다. . . 이건 솔직히 성립하기 어렵습니다. 대부분 사이트에서 비밀번호보안 수준을 체크하는 기능을 탑재하기 때문에 (롤은 가입한지 오래되서 있는지 의문이지만) 이 수준에서 안전수준을 패스 한 경우, 제가 알기로 브루트포스로 털리는 사례는 없지 않을까 싶습니다.
이미 수십년된 수단이 아직까지도 쉽게 먹히는건 별로 신뢰성 있는 이야기도 아닙니다. 표현을 다르게 하자면, 집의 문을 누군가 하루종일 두드리는데 아무런 반응을 하지 않는것과 같습니다. 진짜로 아무도 없거나, 누군가 있다면 경찰을 부르거나 해야겟죠. 브루트 포스는 그런 방법입니다. 매우 작은 사이트에서 라면 먹힐지도 모르겟지만, 어느정도 규모가 커진 경우에 그런 방법이 먹혔다는 이야기를 들어본적은 없습니다.
현실과 동떨어져 있다고 말씀 하시는 분이, 지금 현실파악을 못하고 글을 쓰시는것도 이해가 안되네요. 사용자가 충분히 주의하고있다면, 문제가 없습니다. (타사이트와 다른비번 / 게임사에서 제공하는 수단의 사용 / 정품PC).
저 또한 예전에 게임계정이 털린적이 있었는데, 결국엔 단순한 비번이 문제였고, 그 이후에는 한번도 털린적이 없습니다. 단순한 비번의 수준도 영+숫자 조합의6 자리 였습니다. (단순한것도 크지만, 짧은 비번)
지금은 특문과 대소문자를 포함한 8자리 이상을 사용중인데, 현재 까지 이러한 비밀번호 패턴으로 털린적은 없습니다. (OTP는 하나도 안씁니다.)
따로 서버가 해킹되어 변경이 필요하다는 메일이 오는 경우에는 바꾸더라도, 사용자가 복잡한 패턴의 번호로 사이트마다 조금씩 다르게 사용하면, 문제가 없다고 생각하기 때문입니다.
만약 제가 생각하는 "사이트마다 비번이 조금씩 다르고, 특문/대소문자를 사용하는 8자리 이상의 비번" 을 모든 사람이 쓴다고 생각하는게 비 현실적인 사고방식이라면, 그냥 그런 사람들은 해킹을 당하는건 당연하다고 봐야겟죠. 해킹이 매우 빈번하고, 다발적으로 일어나는게 쌍둥이님의 이야기라면, 그런 방비를 안한 사람들은 그냥 당하는 건 그냥 현상일뿐입니다.