게이머발언대

※ 이 글은 시리즈로 연재되고 있습니다.

프롤로그 - /webzine/community/tboard/?n=205465&board=36

1편 - /webzine/community/tboard/?n=205468&board=36

온라인게임의 역사 : 보안 전쟁사

당신의 게임 계정을 놓고 벌이는 게임사와 해커(블랙햇)간의 치열한 전쟁일지

창과 방패의 싸움이라고도 한다.

인터넷이 발전하고 그곳에 돈의 흐름이 생겨난 순간부터

인류는 0과 1로 이루어진 가상의 공간에서 치열한 전쟁을 벌여왔다.

누군가는 돈을 뺏기 위해 해킹 기술을 끊임없이 개발하고

누군가는 돈을 지키기 위해 끊임없이 보안 기술을 개발하고 있다.

돈을 뺏으려는 자와.

돈을 지키려는 자의 싸움.

오늘은 그들의 이야기를 다루고자 한다.

쉬어가기 : Chase the world -TV size edition- Music Video / May'n

//youtu.be/BTj0aD4UnIA

1. 당신의 비밀번호를 알아내는 또 다른 기술

-------------------------------------------------------------------------------------------

무제한적으로 비밀번호를 때려박아 맞추는 Brute Force Attack이 나온 이후 게임사들은 일정 횟수 이상 비밀번호가 틀리면 접속을 차단해버리는 시스템을 도입한다. 비밀번호가 3번이상 틀려 은행을 방문해본 사람이라면 단박에 이해가 될 것이다.

비밀번호가 4자리만 되도 종류가 9999개가 되는데

세번까지 밖에 비밀번호를 입력할 수 없다면?

BFA는 무용지물이 되버린다.

이렇게 BFA를 무효로 돌려버렸음에도 불구하고 해킹은 좀처럼 줄어들질 않는데.

거기엔 다 이유가 있다.

출처 - //en.wikipedia.org/wiki/Keystroke_logging

키로깅(Keylogging) 또는 키 스트로크 로깅(Keystroke logging)이라고 하는 공격법은 사용자의 컴퓨터에 악성코드를 심어놓으면, 해당 컴퓨터에서 입력되는 모든 키보드 입력값을 훔쳐보는 수법이다.

위 스크린샷은 위키백과 영문판에서 시범을 위해 촬영한 것으로 임의로 정한 신용카드 번호가 키로거에 어떻게 보여지는지를 소개한 자료다. 보다시피 Hello John이라는 안부인사부터 1234 5678 9123 4567이라는 신용카드 번호까지 모조리 키로거에 출력되고 있다.

이런 악성코드는 대개 P2P(각종 웹하드, 토렌트)를 통해 유포되거나

보안이 극도로 취약한 웹사이트를 통해 유포되며 

최근에는 각종 앱스토어(구글 앱스토어 포함)나 인증받지 못한 가짜 앱을 통해 스마트폰으로 확산되고 있다.

<당신을 위한 해석>

- 이런 악성코드는 대개 야동이나 게임, 만화를 불법으로 다운받으면 감염되고

- 악성코드에 감염되있는 홈페이지에 들어가면 전염될 수 있으며

- 인증되지 않은 불법 앱을 다운받아 핸드폰에 설치하면 감염된다.

PC방 같은 경우 여러 사람이 함께 사용한다는 공공장소의 특성상 키로거같은 악성코드가 깔려있을 확률이 극도로 높아 온라인 게임의 해킹 피해를 더욱 확산시키고있다.

2. 키로깅을 막는 2차 비밀번호(마우스 입력기)

-------------------------------------------------------------------------------------------

그렇다면 키로깅을 막기 위해선 전적으로 이용자가 조심해야 할까?

PC방에선 업주가 자기 컴퓨터를 재대로 관리 못한 책임이 있고.

집에선 불법다운로드를 일삼은 사용자의 책임이 있다.

그렇게 책임을 전가하고 이용자 탓을 돌릴 수도 있겠지만 게임회사들은 또 다른 대안을 준비하게 된다.

▲ 크리티카의 2차 비밀번호 생성 모습

출처 - //kt.hangame.com/xbbs/bbs/read.nhn?mBbsNo=8&bbsNo=3&artclNo=489775

키보드 입력이 원천 차단되어 마우스로만 입력해야하고

숫자를 입력할 때마다 무작위로 배치가 바뀌는 2차비밀번호 시스템

해커(블랙햇)가 홈페이지에서 로그인하는 1차 비밀번호를 알아냈다고 쳐도

2차비밀번호는 BFA와 키로거의 사용이 물리적으로 불가능하며 마우스로만 입력해야 하는 만큼 보안성이 강화된다.

요컨데 키로거 따위 깔려있어봤자 마우스를 쓰면 되겠지? 하는 우회전략인 셈이다.

이로써 진정한 '이론적으로 해킹이 불가능한 보안시스템'이 탄생한다.

하지만 여기서 한발 더 나아가 피파온라인3 같은 경우 단순히 숫자만 보여줄 뿐만 아니라 기하학적인 디자인으로 꼬아놓고 E-Mail이나 휴대폰, 질문/답 등을 통해 2차 비밀번호를 변경할 수 있는 시스템을 도입함으로서 보안성을 더욱 강화시켰으며.

던전 앤 파이터의 경우 이것을 게임화시킨 '고블린패드'를 서비스함으로서 이용자에게 좀 더 친근하게 다가간다.

이런 시스템들은 사용자를 더욱 귀찮게 할진 몰라도, 앞서 말한 비밀번호 크래킹들을 모조리 원천봉쇄할 수 있었기에 보안 전쟁은 드디어 게임회사의 승리로 돌아가는 듯 싶었다.

3. 행정안전부 장관이 보는 앞에서 털리는 마우스 입력기

-------------------------------------------------------------------------------------------

 
기사보기 :  //w3.sbs.co.kr/news/newsEndPage.do?news_id=N1000991198

흔히 대한민국을 IT강국이라고 하는데 그것을 반증하는 사례 중 하나가 인터넷 민원 시스템이다.

그런데 이 전자정부 시스템이 행정안전부 장관이 보는 앞에서 맥없이 해킹당하는 엄청난 사건이 발생한다.

한 솜씨 하는 보안전문가들의 주도하에 국정감사 자리에서 펼쳐진 이 쇼는 가히 멘탈붕괴라고 할만큼 파장이 크다.

우리가 이 뉴스에 주목해야 하는 이유는

게임보다도 보안이 튼튼해야 할 금융, 행정 관련 사이트가 뚫렸다는 것이 첫째고.

그렇게 뚫린 보안서비스 중에는 마우스 입력기가 포함되어 있었다는 것이 둘째다.

게임사에서 도입한 2차비밀번호와 은행의 마우스 입력기는 거의 동일한 시스템이라 볼 수 있는데.

이것이 뚫린다는 것은 2차 비밀번호도 더 이상 안전한 보안시스템이 아니라는 소리가 된다.

보안이 강력할 수록 그 절차는 복잡해지고

강력한 보안은 결국 언젠가 뚫리기 마련이다.

때문에 게임사는 좀 더 복잡하고 강력한 보안시스템을 구축하게 된다.

21세기 온라인게임의 보안전쟁은 점점 산으로 가고 있었다.

- 다음편에 계속 -

/webzine/community/tboard/?n=206092&board=36

참고자료

- 정보유출 어떤 식으로? 안랩 ‘2012년 상반기 5대 보안 위협 트렌드’ 밝혀… / 한경닷컴

- 정부 홈페이지, 화면해킹에 맥없이 뻥뚫려 / SBS

- 장난에서 시작해 사이버범죄에 이르기까지 '해킹(hacking)' / 네이버