게이머발언대

※ 이 글은 시리즈로 연재되고 있습니다.

프롤로그 - /webzine/community/tboard/?n=205465&board=36

1편 - /webzine/community/tboard/?n=205468&board=36

2편 - /webzine/community/tboard/?n=205489&board=36

온라인게임의 역사 : 보안 전쟁사

당신의 게임 계정을 놓고 벌이는 게임사와 해커(블랙햇)간의 치열한 전쟁일지

창과 방패의 싸움이라고도 한다.

인터넷이 발전하고 그곳에 돈의 흐름이 생겨난 순간부터

인류는 0과 1로 이루어진 가상의 공간에서 치열한 전쟁을 벌여왔다.

누군가는 돈을 뺏기 위해 해킹 기술을 끊임없이 개발하고

누군가는 돈을 지키기 위해 끊임없이 보안 기술을 개발하고 있다.

돈을 뺏으려는 자와.

돈을 지키려는 자의 싸움.

오늘은 그들의 이야기를 다루고자 한다.

쉬어가기 : LiSA - traumerei (short version)

//youtu.be/-_EnCtTfxWY

1. 이제는 기동전이다 : OTP

-------------------------------------------------------------------------------------------

아마 지금까지 다뤄온 보안 장치 중 가장 이해하기 어려울 것이다.

생긴건 꼭 삐삐같이 생겨선 이상한 숫자만 나오고 있으니 말이다.

One Time Password

줄여서 OTP라고 부르며 우리말로 대충 해석해보면 일회용 비밀번호란 뜻이 된다.

이 녀석의 단점이 있자면 내 머릿속에 없는 새로운 비밀번호를 매번 입력해야 한다는 귀찮음과

내부 배터리가 방전나면 완전히 못쓰게 된다는 점. (기계 자체를 바꿔야 한다.)

위 두가지의 귀찮음만 감수한다면 OTP를 분실하거나 내부 알고리즘이 유출되지 않는다는 전제 하에

역대 보안시스템을 통틀어 가장 완벽하고 이론상으로도 최강의 보안장치가 된다.

일회용 비밀번호라는 말처럼 OTP는 내부에 숨겨진 독자적인 알고리즘을 통해 끊임없이 새로운 비밀번호를 생성한다.

상호간에 약속된 비밀키와 현재시간 등의 정보를 바탕으로 독자적인 알고리즘으로 연산을 하며, 이렇게 연산된 값이 일회용 비밀번호가 되어 사용자에게 제공된다.

컴퓨터에 입력해서 인터넷을 통해 교류하는 비밀번호는 가짜고

실제론 OTP 안에 숨어있는 '비밀키'가 진짜 비밀번호인 셈이다.

이 진짜 비밀번호는 물리적으로 외부와 단절되있어 OTP 자체를 뺏기지 않는 이상 유출될 위험이 없고.

우리가 키보드를 통해 입력해서 인터넷으로 보내는 해킹위험 100%의 비밀번호는 유출되도 금방 다른걸로 바뀌니 소용없다.

OTP가 비밀번호를 생성해내는 알고리즘은 뚫는게 불가능하다는 것이 수학적으로도 증명되었다고 한다.

게임업계에서 이 방면의 선두주자는 블리자드였다.

블리자드는 배틀넷 2.0을 내놓으며 OTP 인증기를 적극적으로 도입했고 스타크래프트2, 디아블로3, 월드오브워크래프트 등의 주력 게임들이 이 보안 시스템의 혜택을 입었다. 뿐만 아니라 자사 게임을 모델로 한 다양한 디자인을 내세워 좀 더 친근하게 다가가도록 노력하였다.

물론 블리자드 말고도 NC소프트나 넥슨을 비롯한 여러 게임사들이 OTP를 도입하고 있었다.

다만 강제성을 띄는 2차비밀번호와는 다르게 OTP같은경우는 '사용자가 별도로 설치하거나 구입해야 하는' 선택적 보안이었기 때문에 OTP를 적극적으로 알릴만한 홍보전략이 필요했다.

이 부분에 있어 블리자드를 포함하여 많은 게임사들이 이벤트라는 당근을 제시하기 시작했는데, 블리자드 같은 경우 2012년경에는 128GB짜리 삼성 SSD를 포함해 유저 입장에서 굉장히 구미당기는 아이템들을 댓가로 뿌렸고, 이에 뒤질새라 넥슨이나 NC소프트도 적극적인 마케팅 공세로 OTP를 알려나갔다.

계정도용 피해가 유저 입장에서는 '나 하나쯤 털려도 상관없다 이거지? 나쁜놈들!'로 비춰질지 몰라도.

게임의 중심축인 고레벨 유저들이 해킹을 당해 접어버리면 분명 엄청난 타격이 될 것이다.

더구나 해커들이 주로 노리는 것은 값비싼 아이템이 많은 고수일 것은 자명하고 그 숫자도 상대적으로 소수인 편이라

한명한명의 비중이 커서 피해를 입으면 일반 유저의 몇배로 타격이 간다.

수 많은 유명 길드장들이 계정도용 피해를 당하고, 수 많은 랭커들이 접어버리는 게임

오토 돌리는 작업장밖에 없는 게임이 된다면 누가 그 게임을 할 것인가?

보안강화는 어쩌면 유저보다 게임사가 더 다급할지도 모른다.

2. 자만의 댓가 : 기동전에서 패배한 OTP

-------------------------------------------------------------------------------------------

보안전쟁

또 다시 패배하다.

2011년 11월 넥슨의 개인정보가 해킹당하는 사건이 발생한다. 그리고 시간이 흘러

2012년 03월에 메이플스토리 고레벨 유저들을 노린 대규모 계정도용 사건이 발생한다.

은행사, 통신사, 포털사이트의 개인정보도 유출되는 마당이니 새삼 놀라울 것도 없는 뉴스지만

우리가 저 뉴스에서 주목해야 할 것은 'OTP가 아무런 역할도 하지 못했다'는 점이다.

악성 코드가 심어진 PC의 경우에는 OTP값을 입력했을 때 키 값을 중간에서 해커들이 빼가는 거죠.

계정도용으로 보고 있습니다.

- 넥슨 관계자

제작 : 채플리스

사건의 전말은 이렇다.

1. 해커(블랙햇)에 의해 악성코드가 설치된다.

2. 악성코드가 깔려있는 컴퓨터에 사용자가 OTP의 일회용 비밀번호를 입력한다.

3. 일회용 비밀번호를 알아낸 해커(블랙햇)은 초기화되기 전에 신속히 로그인을 한다.

4. 원래 사용자의 접속을 차단시켜버린 해커(블랙햇)은 신속하게 아이템과 게임머니를 탈취한다.

이렇게 되면 유저는 OTP까지 썼음에도 불구하고 오류메세지에 헤메다가 돈과 아이템을 모조리 빼앗기게 된다.

그야말로 눈 뜨고 코 베이는 격이다.

넥슨이 잘못했네.

넥슨이 관리 못한거야.

그래 넥슨을 욕하자!

돈슨 개객끼들아! 관리 똑바로 못해?!

이렇게 넥슨만 욕하며 스스로 정신승리하면 여러모로 편하겠지만

안타깝게도 이 문제는 굉장히 많은 게임회사에서 공통적으로 나타나고 있었다.

앞서 OTP 보안시스템의 선구자로 소개했던 블리자드의 디아블로3가 대표적이다. (오히려 이쪽이 더 떠들썩 했을지도모른다.)

 otp 사용중 해킹당함.

비번치고 otp치고 게임접속하니 바로 튕김. 다시접속후 사냥 하자마자 또 튕김

그다음부터는 디아블로 실행이 안됨 

알약백신이 꺼져있어서 다시 다운로드 받으니. 다운로드 안됨.

알약 다운로드 안되는거 홈피가서 해결하고 다시 다운받음 

알약실행 시키기고 다시 디아접속하니 귀속탬 빼고 다 떨어감

다른분들도 디아 실행하기전에 알약이나 v3백신 실시간검사 어느순간에 꺼져있음면 

바이러스 걸림. 이상태에서는 otp써도 튕기면서 접속안되고 접속되는순간 다 해킹당한걸로 보면됨 

결론은 otp도 쉽게 뚤림...

 

- 디아블로3 공식홈페이지 토론장에 올라온 한 유저의 증언

'원래 사용자가 차단당하고, 그 사이에 해커가 침투한다'는 실시간 계정도용은 이 당시 디아블로3에도 고스란히 나타나고 있었고, 많은 이들이 OTP의 보안성에 의구심을 품고 있었다. 그러던 중 국내 유명 게임웹진인 디스이즈게임의 기자가 계정도용 피해를 당하는 일이 벌어졌고, 한달 뒤 기자들의 실험에서 충격적인 결과가 폭로된다.

드러난 OTP의 맹점, 이대로 괜찮은가?

 

OTP의 핵심은 특정 시점에 범용 사용자 모듈 식별(USIM)에 따라 생성된 일회용 패스워드를 정해진 유효시간 내에 입력하는 것이다. 그러나 실제로 일회용 패스워드의 효력은 앱에 표시되는 유효시간이 끝나고 패스워드가 교체된 후에도 약 1~3분 정도 유효하다.

 

TIG 기자들이 직접 실험해본 결과, A 자리에서 로그인에 사용한 계정 정보를 OTP 유효시간이 종료된 뒤에 B 자리에서 그대로 사용했더니 로그인에 성공했으며, 그 즉시 A 자리의 클라이언트가 종료되는 것을 확인했다.

 

또한, '123456' 라는 OTP 번호를 부여받은 뒤 두 번 패스워드가 갱신된 뒤에 '123456'을 그대로 사용해도 로그인할 수 있었다. 즉, 유저의 계정 정보와 OTP를 해킹 툴을 통해 획득한 해커는 유저가 접속한 지 1~3분 이내로 접속하기만 하면 해당 계정을 사용할 수 있는 것이다.

 

- 디스이즈게임 기사 중 일부(/diablo3/nboard/189/?n=34585)

일회용 비밀번호 생성기라더니 알고보니 새빨간 거짓말이었다.

OTP 보안시스템의 핵심은 기동력이다.

마치 게릴라전을 벌이는 것처럼 비밀번호를 입력하고 빠르게 폐기되어야 한다.

하지만 당시 OTP는 기술적/설계적인 한계로 인해 비밀번호의 유효시간이 1~3분 정도 있었는데

이 사이에 똑같은 비밀번호를 치면 고스란히 사용할 수 있었다. 미리 악성코드를 깔아놓고 걸리기만을 기다리고있는 해커에게 OTP는 아무짝에도 쓸모가 없던 것이다.

결국 기동성을 내세우던 OTP는 마찬가지로 기동성을 내세운 해커에게 패배하고 말았다.

한국이 이렇게 OTP 가지고 게임상에서 싸우는 동안 미국에서는 유명 OTP 제조사인 RSA의 소스코드가 해킹당해 알고리즘이 고스란히 해커의 손에 넘어간 일이 있었고, 이 여파로 미국의 유명 방위산업체인 록히드마틴의 전산망이 뚫리는등 2011년부터 2012년까지 OTP는 무차별적인 난타를 당하며 혹독한 시련기를 보내게 된다.

- 다음편에서 계속 -

 /webzine/community/tboard/?n=206240&board=36

참고자료

- 드러난 OTP의 맹점, 이대로 괜찮은가?/디스이즈게임

- [정보] 디아3를 접는 이유, 해킹보안이시급하다/인벤

- 美RSA, 해킹파문 OTP 4천만대 전면리콜/지디넷 코리아

- OTP / 리그베다 위키