이번에는 게임봇, 작업장과 더불어 게임 세계의 악의 축이라 꼽을 수 있는 ‘계정도용’을 예방하는 방법을 살펴보도록 하겠습니다.  ( ͡° ͜ʖ ͡°)


계정 도용이란?

온라인 게임상에는 무서운 도용 3종 세트가 있는데, 바로 계정 도용, 명의 도용, 결제 도용이다.

이번에 다룰 계정 도용은 게이머들이 게임을 즉시(!) 그만두게 만드는 원인 1순위이기도 하다.

오랫동안 정성껏 키운 캐릭터가 로그인 하자마자 모두 털려서 내복만 입고 있다면 얼마나 황당하겠는가!

읭??  #내캐릭터_어디갔니 

최근 몇 년 간 비단 우리나라뿐 아니라 해외에서도 크고 작은 보안 사고가 자주 발생하고 있다.

대형 쇼핑몰, 은행, 클라우드 서비스, 파일공유 서비스 등이 해킹을 당해 개인 정보가 대규모로 유출된 사건들이 그 예이다.

클릭만 하면 볼 수 있는 당신의 정보 

그래서 주민등록번호나 아이디, 패스워드 정보는 더 이상 개인 정보가 아니라 공공 정보라는 자조감 섞인 이야기가 나오기도 한다.

 

#계정 도용을 피하는 방법 

안티바이러스 프로그램을 설치하고,  최신 버전 보안 업데이트를 하고, 온라인 게임 계정에 복잡한 패스워드를 쓰라는 이야기는 많이 들어봤을 것이다.

이중에서도 가장 신경 써야 할 것은 충분히 복잡한 패스워드, 즉 나의 개인정보 (이름, 전화번호, 생년월일 등)로 유추하기 어려운 패스워드를 만드는 것이다.

이럼 되겠어요, 안 되겠어요 

여기서 우리나라 사람들에 대한 재미있는 패스워드 규칙이 있어 잠시 소개하겠다.

많은 인터넷 서비스 회사들은  회원 가입 시 “영어 대소문자, 숫자, 특수문자를 조합해서 비밀번호를 만드세요” 라는 안내를 한다.

영문 대소문자+ 숫자 + 특수문자  = 넘나 외우기 힘든 것! 

사람은 무의식적으로 안내 문구에 영향을 받기 마련이다.

때문에 “숫자+특수문자+영어 대소문자” 순서로 만들어도 되는데, 많은 사람들이 “영어 대소문자+숫자+특수문자” 순서로 패스워드를 만들곤 한다.

그리고 영어 소대문자는 한글 단어를 영타로 변환해서 사용하는 경우가 많다( ‘고양이’라는 단어를 패스워드로 쓸 경우 ‘rhdiddl’ 처럼 입력).

한글 단어 영타 변환만이 살 길 #외우기쉬움 

숫자는 생년 또는 같은 숫자를 연속으로 쓰는 경우가 많고, 3자리 숫자를 연달아 쓸 때는 111, 777처럼 동일하게 쓰거나 123과 같은 연속 3자리를 쓰는 경우가 많다.

특수문자는 보통 !@# 중에서 1~2 개를 쓰며, 간혹 $를 쓰는 경우에는 $$ 처럼 붙여서 쓰곤 한다.

어떤 사람이 “ 빨리 부자가 되고 싶다”는 염원을 담아 패스워드를 만든다면 ‘woqjf82$$(재벌빨리돈돈)’  같은 패스워드를 만들게 되는 것이다.

패스워드라도  재벌 코스프레를…

내 패스워드는 충분히 복잡한데 왜 내 계정이 털린거지? 하는 의문이 든다면 혹시 이런 패스워드를 쓰지 않았는지 한번 생각해 볼 필요가 있다.                            .

해커들은 이러한 규칙을 알고 있어서 한글사전에 나오는 단어의 2벌식 영타 변환 사전, 숫자와 특수문자를 조합하는 패스워드 크랙툴을 가지고 있다.

#완벽한 보안은 없다 

아무리 강력한 패스워드를 사용해도 완벽한 보안은 없다. 그래서 인터넷 사이트마다 서로 다른 패스워드를 사용하는 게 좋다.

하지만 최근 패스워드 관련 연구에 따르면, 너무 강한 보안규칙을 따르라고 할 경우 사람들이 이용을 포기한다는 분석 결과가 있다.

자주가는 인터넷 사이트가 50개인데 모두 서로 다른 패스워드를 쓰라고 하고 3개월마다 1번씩 바꾸라고 한다면?

안 해 안 한다고 !!! 

패스워드를 포스트잇 같은 메모지나 휴대폰 메모장, 엑셀 파일 등에 기록해 버리는 역효과가 나게 된다는 것이다.

가장 권장할 만한 것은 OTP (One Time Password), 전화 인증 서비스, 등록된 컴퓨터에서만 로그인할 수 있는  PC등록 서비스를 이용하는 것이다.

설령 아이디와 패스워드가 노출되더라도 OTP가 설치된 휴대전화나, 등록한 PC까지 모두 해킹이 되지 않는한 무척 안전하다고 볼 수 있다.

 

#온라인 게임의 계정 도용 시도

온라인 게임에는 가치가 높은 사이버 재화가 있기 때문에 다른 사이트보다 해킹 시도가 무척 많은 편이다.

때문에 이를 미연에 방지하기 위해  게임 회사들은 보안에 많은 노력을 기울이고 있다.

하드웨어 방식의 OTP 서비스의 경우, 블리자드의 World of Warcraft 에서 가장 먼저 도입했다.

블리자드에서 제공한  OTP 인증기 

휴대폰을 이용한 OTP서비스의 경우, 엔씨소프트의 리니지에서 린OTP라는 이름으로 가장 먼저 서비스했다. (*NCOTP 를 거쳐 현재는 Google Authenticator 연동 서비스로 변화됨).

리니지의 OTP 서비스 

이러한 보안 서비스는 국내에서 금융권보다도 앞서 도입돼 화제가 되기도 했다.

다음 편에서는 시퀀스 분석을 통해 계정 도용 시도를 막는 방법을 소개하도록 하겠다.


원형프로필_김휘강교수님김휘강 고려대학교 정보보호대학원 부교수. KAIST 산업경영학과를 마치고 산업공학과에서 석사, 박사학위를 받았으며, 게임봇 탐지 및 작업장 탐지, 계정도용 및 결제부정 탐지와 관련하여 지속적인 연구를 수행 중에 있으며, 고려대학교 해킹대응기술 연구실은 온라인게임보안 분야에서 전세계적으로 가장 많은 연구 성과를 내고 있다.

 

게임과 보안 #1 게임봇의 두 얼굴

게임과 보안 #2 게임봇이 나쁜 이유

게임과 보안 #3 게임봇과 작업장을 바라보는 다양한 시선

게임과 보안 #4 게임봇을 탐지하는 기법

게임과 보안 #5 게임봇과의 채팅엔 뭔가 특별한게 있다 

게임과 보안#6 찾아라! 게임봇의 행동 패턴