보안 적신호, 캐릭터 비밀번호 의미 없다!?
-캐릭터 비밀번호 서비스 사용 유저의 해킹사건 발생!
-보안 서비스, 이대로 만족해야 하는가?
지난 12월, 리니지에 캐릭터 비밀번호 서비스가 정식으로 도입되었다. 캐릭터 비밀번호 서비스는 캐릭터의 접속 혹은 삭제 시 전용 비밀번호를 확인하는 보안 서비스로, NC 보안 서비스(PC등록, NC OTP, 전화인증)를 사용하지 않는 플레이어는 반드시 사용해야 하는 새로운 보안 서비스다.
그동안 보안서비스는 그 사용이 가능한 유저가 선택하는 것으로 강제성을 띄지는 않았다. 하지만 캐릭터 비밀번호 서비스의 업데이트 이후에는 한 개 이상의 보안서비스를 필히 사용해야 게임진행이 가능하다. 기존 보안 서비스를 사용하지 않는 혹은 못하는 유저들이 많다는 점을 고려할 때 캐릭터 비밀번호 서비스의 도입은 전반적으로 환영받는 분위기다.
그리고 2011년, 리니지 상용화 13년 시대가 열렸다. 이제는 리니지에서 해킹으로 인한 피해는 발생하지 않을 거라 생각할 법 하다. 그런데 3일 오전, 한 유저로부터 "캐릭터 비밀번호 서비스 사용하는데 해킹을 당했다" 제보가 들어왔다. 보안 서비스를 사용하였는데도 당한 해킹, 어찌된 일일까? 리니지 플레이포럼이 취재하였다. (이후 피해자 유저는 ‘피해자’ 로 호칭)
▶ 캐릭터 비밀번호 서비스 게임 내 공지
Q. 만나서 반갑다. 자기소개를 부탁한다.
피해자: 반갑다. 리니지를 즐겨하는 29살 남자이다. 서울에 살고 있고 현재 55레벨 기사 캐릭터를 육성중이다.
Q. 해킹을 당했다고 들었다. 보안서비스를 사용하지 않았는가?
피해자: 얼마 전까지 NC OTP를 사용해왔다. 최근 스마트폰으로 변경하였지만 변경한 기기는 OTP서비스가 지원되지 않았다. 때문에 전화인증 서비스로 바꿔 사용하였는데 불편한 점이 있어 캐릭터 비밀번호 서비스로 보안서비스를 변경하게 되었다.
Q. 기존의 보안 서비스가 아닌 캐릭터 비밀번호 서비스를 사용한 이유는 무엇인가?
피해자: 앞서 말한 것처럼 현재 내가 사용 중인 G스마트폰은 OTP 서비스가 지원되지 않는다. 전화인증 서비스의 경우 내가 게임접속을 하지 않았는데도 접속 알림 전화가 오는 경우가 발생하곤 했다. 홈페이지 공지와 설명 등을 보고 캐릭터 비밀번호 서비스도 다른 보안서비스와 같은 수준의 보안 서비스라 생각하고 사용하게 되었다.
Q. 사건발생의 날짜와 해킹 피해에 대한 자세한 이야기 부탁한다.
피해자: 2일 저녁 11시경까지 사냥을 한 뒤 게임을 종료하였다. 3일 새벽 2시경 게임에 접속을 하였는데 장비 중 봉인이 되어있지 않았던 +9 마력의 단검, +7 마법의 투구(치유), +7 강철 부츠와 약 1억 아데나 정도가 사라진 것을 확인하였다. 홈페이지에 접속하여 내 상점 현황의 구매 히스토리를 살펴보니 계정 내 보조캐릭터로 수장의 갑옷마법 주문서와 +7 파워 글로브 2개를 구매한 내역이 있었다.
▶ 해킹 가해자가 구매 후 인챈트 한 것으로 예상되는 아이템들
Q. 해킹 신고는 하였는가?
피해자: 물론이다. 해킹 사실을 알고 난 직후 신고를 하였다. 그리고 3일(월) 아침 게임사를 방문하였다.
Q. 게임사를 방문한 특별한 이유가 있는가?
피해자: 먼저 나는 캐릭터 비밀번호 서비스가 기존의 보안서비스들과 같은 수준의 보안 서비스라고 생각하였다. 해킹은 절대 발생할 수 없고 명백한 게임사 측의 오류라고 판단했다. 해킹당한 아이템의 복구가 우선이었고 두 번째는 허위신고라 판단되어 받게 될 한 달의 압류를 막아야 한다고 생각했다.
또 엔씨소프트가 서비스하는 아이온에도 캐릭터 비밀번호 서비스가 있는데 이 서비스가 1일(토)에 발생한 장애로 인해 일시 중단된 상태라는 정보를 들었다. 실제로 아이온을 즐겨하는 지인에게 물어보니 아이온 접속 시 팝업 되던 캐릭터 비밀번호 입력창이 현재는 아예 사라졌다는 말을 들을 수 있었다. 게임사의 캐릭터 비밀번호 자체에 오류가 발생했다는 생각이 더욱 확실해 지면서 방문을 결심하였다.
Q. 게임사로부터 어떤 답변을 받았는지 궁금하다.
피해자: 이른 아침에 고객센터를 방문했기 때문에 GM의 1:1 답변은 아직 받지 못하였다. (이후 내용은 고객센터 방문상담의 내용이다.) 최초 본인 여부를 확인 한 뒤 상담은 진행되었다. 하지만 서버GM의 조사가 아직 진행되지 않은 상태이고 지금 현재 확인할 수 있는 건 해킹신고가 정상적으로 접수 되었다는 것 뿐 이라는 말을 하였다.
피해자: 보안 서비스를 사용하지 않았냐는 질문에 OTP의 사용이 불가능 했다는 점, 전화인증 서비스를 사용 중 해지했다는 점 등을 말하고 캐릭터 비밀번호 서비스를 사용 중이었다고 말하였다. 이후 상담직원에게 캐릭터 비밀번호 서비스에 대한 질문을 하였는데 게임사 직원에게 들은 대답이 나에겐 매우 충격적이었다.
내가 들은 말의 내용을 간략히 정리하면 “캐릭터 비밀번호 서비스는 해킹이 발생할 수 있는 보안 서비스”라는 것이었다. NC OTP, PC등록 서비스, 전화인증 서비스만이 해킹으로부터 완벽히 보호 받을 수 있고 캐릭터 비밀번호 서비스는 사용자의 PC환경이나 외부요소에 의해 해킹이 발생할 수 있다는 게 직원의 설명이었다.
Q. 현재의 심정을 말해 달라.
피해자: 상담 후 내가 얻은 것이 있다면 캐릭터 비밀번호 서비스가 해킹을 발생시키지 않는 다른 보안서비스에 비해서는 보안성이 떨어진다는 정보이다. 안전성에 대한 믿음이 깨지니 허탈하다. 이제 내 경우는 흔하디흔한 인챈트 해킹을 당한 상황이라고 생각된다. 복구되는 아이템이 있을지 모르겠지만 현재로써는 미련을 버린 상태다.
Q. 마지막으로 하고 싶은 말이 있다면?
피해자: 상황이 이러니 내 실수 이었다는 결론을 얻게 된다. 본인 명의계정을 사용하는 상태임에도 불구하고 편의성을 위해 보안서비스를 변경한 것은 내 자신이기 때문에 책임 역시 나한테 있는 게 맞다.
하지만 여기까지 오는 과정에서 만약 캐릭터 비밀번호 서비스의 안전수위가 다른 서비스와는 다르다는 것을 알았다면 나는 결코 보안 서비스를 변경하지 않았을 것이다. 이러한 부분에 대한 게임사의 공지나 알림메시지가 없다는 게 아쉽다.
예고된 캐릭터 비밀번호 서비스 사고, 유저들 경각심 가져야..
리니지를 즐겨하는 유저라면 한번쯤 채팅창에서 해킹을 당했다는 유저의 이야기를 듣거나 주변 지인이 해킹으로 인해 게임을 떠나는 상황을 겪었을 것이다. 리니지가 최근까지 세 종류의 보안 서비스(mControl 제외)를 제공하였지만 모든 유저가 이를 사용하는 데는 다소 무리가 있었다. 이러한 상황 속에 도입된 캐릭터 비밀번호 서비스는 그간 보안 서비스를 사용하지 않아 해킹의 위험에 노출되었던 유저에게는 가뭄 끝에 단비와도 같은 소식이었다.
하지만 돌이켜보면 창고 비밀번호만을 설정한 유저가 해킹을 당했다는 소식은 예전부터 심심찮게 전해져왔고 그것과 같은 방식의 캐릭터 비밀번호 서비스가 안전하지 않다는 것은 이미 예고된 건지도 모른다. 그리고 한 개 이상의 보안 서비스를 사용해야지만 접속이 가능한 바포메트 서버의 경우, 캐릭터 비밀번호 서비스만을 사용하는 유저는 접속이 불가능 하다. 이 부분은 캐릭터 비밀번호 서비스가 다른 3종의 보안 서비스와 비교했을 때 보안수준이 떨어진다는 것을 반증하는 대목이기도 하다. 하지만 공식 홈페이지 바포메트 서버 게시판에는 캐릭터 비밀번호 서비스 도입 안내 공지사항이 버젓이 등록되어 있다.
▶ 공식 홈페이지 바포메트 서버 게시판 공지
도입된 지 한 달이 체 안 된 보안 서비스가 해킹으로 뚫려버린 상황, 그리고 게임사조차 유저와의 상담에서 “해킹이 발생할 수 있다”고 말하는 모습 등에서 추후 제2, 제3의 피해자 발생할 것은 불 보듯 뻔한 일이다.
한편, 지난 1일(토) 발생한 장애로 인해 캐릭터 비밀 번호 서비스가 일시 중단된 엔씨소프트의 아이온이 3일(월), 다른 보안 서비스를 사용할 것을 당부하는 공지를 하였다. 이를 접한 일부 리니지 유저들은 현재 서비스 되는 캐릭터 비밀번호 시스템 자체에 문제가 있는 것이 아니냐는 우려의 목소리를 내며, 다시 한 번 자신이 사용하는 보안서비스를 점검하는 모습을 보이기도 하였다.
▶ 엔씨소프트 아이온 캐릭터 비밀번호 서비스 일시 중단 공지
아인하사드 스크린샷 ~☆
▶ Dok2 라고 쓰고 도끼라고 읽는다!
▶ 혈원 모집 중이신 작은날개빛 군주님과 함께~
▶ 아인 미남 ‘법’님 도촬 당하셨어요.
리니지 플레이포럼 - 아마네카오루_(amane_@nate.com)