1 . 자동 , 기계 , 패왕 , 프로그램 관련 내용 금지
2 . 시세 및 판매 구매 글 금지 -> 강등사유
3 . 리니지 관련 질문은 린지질답 게시판에 올려주세요 ^^
----------------------------------------------------------------★
OTP 글만 나오면 습관적으로
OTP도 해킹당한다.
내주면에서 OTP 해킹당했다.
나도 당했다.
OTP 믿지마라 등등
거의 선동하는 수준의 댓글이 많이 올라옵니다.
일단 사진투척부터 하겠습니다.
![](https://t1.daumcdn.net/cfile/cafe/257506345202E0640B)
이거 우리가 흔히 알고 있는 ncOTP 실행화면
[ㅇㅇㅇㅇ ㅇㅇㅇㅇ] - 8자리의 숫자로 구성되어있는
어느 유저분의 말에 의하면 대충만들고 허술하다는 그 otp
![](https://t1.daumcdn.net/cfile/cafe/257997365202E11703)
이게 제가 5-6년째 사용하고 있는 은행거래용
NH Bank OTP
게임아이템 따위가 아닌,
실제 제 통장잔고랑 관련되어있는
아주아주 중요한 거지만
비밀번호는 겨우 [ㅇㅇㅇㅇㅇㅇ] - 6자리 otp
과연 상식적으로
6자리 OTP와 8자리 OTP 중 어는게 더 보안에 강할까요?
상식적으로 접근해도 답이 나오는데,
막무가내로 OTP 욕하는분들 보면 참...
뭐 설득할 이유도 없고,
제가 피해를 보는것도 없지만
성격이 더러워서 콕 찝을껀 찝어줘야 하네요;;
행여나 해킹범이 리사를 통해서 수많은 악성프로그램을 이미 유포하고,
OTP가 걸려있어서 작업진행이 안되서
리사를 통해서.
OTP 해지 같은걸 유도하지는 않을까...
라는 생각도 하는 설레발 킹왕짱 유저라서요....
게임 OTP 뚫을 시간에 은행 OTP 뚫겠습니다.
원리는 같은데..
그 좋은 머리를 더 좋은데(?) 써야죠
그리고 OTP 알고리즘은 해킹이라기 보다는 유출밖에 안됩니다.
OTP 처음에 등록하실때 일렬번호 기억나시죠?
폰에서 "일렬번호"확인하고 홈페이지에 등록하고,
OTP 해지했다가 재 가입 과정에서,
해킹범이 원격으로 일렬번호 쳐다보다가
해킹범이 먼저 OTP 등록!
이러면 진짜 X 되는 겁니다.
이외에 해킹방법은 무궁무진하나,
요새 10053 오류..
이건 90% 컴퓨터문제, 10% 회선문제인데..
심지어 보안프로그램을 끄고 게임하면 잘 안팅긴다는 둥....
(강도가 들끓고 있는데, 문을 잠그지 말라는 소리로 들리네요)
(최소한 잠금장치에 +@ 안정장치는 못할망정... 문을 열라니요 ㅠㅠ)
너무 비정상적인 정보가 넘치는거 같아서
안타까워서 다시한번 글써봅니다...
OTP 믿으세요.
OTP 안 믿으면 뭘 믿으실려구요?
술먹고 다음날 아무것도 기억이 안난다랑
OTP 해놓고 자기가 들어가서 러쉬해놓고,
* OTP도 해킹당하나요?
글로 대충 떠보고, 사람들 반응보고
"흠... OTP 지만 일단 신고해서 해킹이라고 해봐야지......"
이러면서 엔씨에 신고해보고...........
대책 없으신분들 많아요
허위신고는 다른 게임처럼 바로 압류를 때려야하는데 말이죠
일례로 예전에 비통합계정이 비밀번호가 틀려도
계정명만 알면 접속이 싸그리 되는 "엔씨서버오류"가 한번 있었습니다.
이때 OTP 시스템은
계정 : 난OTP
비번 : OTP만 믿음
OTP : 11223344
이렇게 OTP를 처음부터 치고 들어가는거였는데,
그때 OTP 계정도 바로 로그인이 됐었는지는 모르겠습니다.
(전 정검되고 알았어요)
저런식으로 NC의 오류가 아닌이상.
* 본인 스스로 다른 컴퓨터에 PC등록을 해주지 않은이상,
* 내 OTP폰을 누가 훔쳐가지 않은이상
* 내 방에 CCTV라도 달려서 내가 OTP치는걸 누가 보고 있지 않은이상
OTP 해킹당하는거...
진짜 어렵습니다......
차라리 길가다가 오크가 집행검 주는게 빠를수도 있어요
http://cafe.daum.net/pinogada/DK5T/26582
리니지 보안관련 tip과 토막상식
제가 예전에 쓴글인데 한번쯤 읽어보시면 도움이 될것 같습니다
혹시나 귀찮으신 분들을 위해서,
본문에
OTP 관련 내용만 복사를 해왔습니다.
방금 OTP 관련 이야기를 하다가, 질문자 분이 잘 이해를 못하시는것 같아서
보안관련(리니지 포함 여러상황에 해당) 여러가지 이야기를 해보려고합니다.
일단 우리가 생각하는거보다 NC라는 기업은 아주 크고 대단한 기업입니다(?)
링크가 안되는 관계로 관련기사 내용 첨부합니다
검색어 : 네이버) 이니텍 리니지 OTP
뉴스로 검색하면 바로 나옵니다.
................................................
기사입력 2006-01-19 10:59
.................................................
엔씨소프트는 이번 린OTP 도입을 통해 계정도용 사고를 원천적으로 봉쇄, 이용자들이 안심하고 서비스를 이용하는 것은 물론, 중국 게이머들에 대한 접속 차단을 통해서 온라인 게임 서비스의 안전성을 강화하는 효과를 기대하고 있다. 회사는 앞으로 리니지2, 시티오브히어로 등 모든 게임에 점진적으로 이 서비스를 확대 적용할 계획이다. 이니텍은 "엔씨소프트의 이번 도입은 인터넷뱅킹과 같은 전자금융거래에서 주로 논의돼 온 OTP의 적용 분야가 온라인 게임 등 인터넷 서비스 전영역으로 확대되고 다는 것을 의미한다"고 말했다.
.............................
2006년 당시만해도, 은행권의 보안시스템은 겨우 보안카드 수준이었습니다.
정확히는 OTP 개념이 있었지만, 아직까지 거부반응과 홍보의 부재라고 보시는게 맞을것 같습니다.
OTP (One Time Password)
라는 개념자체도 없던 시절이었고,
그걸 빠르게 온라인게임에 처음으로 도입했던게 바로 NC였습니다.
그 외에 오히려 은행권에서 OTP를 따라하기 시작했죠.
(제가 은행권 OTP를 사용한게 2008-9년이었던것 같습니다. 이쯤에는 은행에서 OTP를 권장하기 시작했어요)
OTP 관련된 전문지식은 저도 없지만,
시간을 기반으로
일렬번호를 이용해서
1회성 비밀번호를 만드는 시스템입니다.
한번사용된 OTP번호는 유효시간이 남아있더라도
"재사용"이 불가능하며,
이는 원천적으로
원격제어 프로그램을 통해서 내화면을 보고 있는 해킹범으로 부터
나의 계정 접속을 차단하는 효과가 있지요.
화면을 본다는 의미가 눈으로보는것도 있지만,
키로거(key logger)를 이용해서 내가 입력하는 자판의 모든내용을
보는것을 의미합니다
*key logger 프로그램 : 현재 입력하고 있는 keyboard 입력신호를 모두 기록해서 악용하기 위해 만들어진 프로그램들
쉽게 현재 입력하고 있는 아이디/비번이 새나간다고 보시면됩니다.
요즘은 파일하나만 잘못 실행해도, 저런 원격제어 프로그램이(나쁜용도로 쓰는거죠) 묻어들어오게 됩니다.
ex. 네이버에서 패핑 검색하다가 잘못 다운받으시면 광고창뜨고, x다운로드 xx공유 이런거 막 깔리시죠?
그런 경우처럼, 스킨하나 잘못 받았다가 원격제어 프로그램 깔릴 수 도 있습니다.
천만 다행인건,
우리가 하는 리니지라는 게임은 보안프로그램으로 "nProtect"를 사용하게 됩니다.
많은 대다수가 쉽게 구할수 있는 보편화된
해킹프로그램 (이라고 쓰고 원격제어 프로그램이라고 읽을께요) 은
이 nProtect에서 자동으로 (데이터베이스가 있으니) 탐지를 하고
강제로 리니지를 종료 해주게 됩니다.
예전에는 리니지 접속전에 경고창이 뜨기도 했었는데, 어차피 사람들이 무시하고 진행을 해버리니
이제는 강제로 게임을 종료해 버립니다.
그럼 난리가납니다.
-리니지 게시판- 현황
* 리니지가 5분정도 되면 팅겨요 무슨일이죠?
* 10년 넘은 게임이 운영을 발로하냐?
* 잡으라는 오토는 안잡고 엄한 유저 팅겨서 장비 날라갔다 물어내라!!
..............
.
.
.
.
첫댓글 어떤이유에서건링크는안돼는걸로알거있는데요.. 중간에 링크지우셔야할꺼같아요.. ㅠ
리사까페 내부링크는 허용됩니다. 운영진께 확답받은부분이라 걱정하지않으셔도^^
리사링크는 돼요 ^^ 공지 읽어보시길
OTP의 갑은 디아죠.ㅋㅋㅋㅋ
한번 생성된 오티피 번호로 몇시간 후에 접속해도 통과.ㅋ
심지어 다음날 까지도...-_-;;
오타나도 접속.ㅋㅋ
리니지는 안그러겠죠?
디아는 오티피가 문제가 아니라 접속 알고리즘의 문제라 ';; 오티피랑은 상관 없어요 ㅎㅎ
감사합니다
현재 프로그램 보안 업체에 다니는 1인으로 써 OTP 간단하게 보일지 몰라도 해킹 불가능하다고 생각합니다.
제가 쓰는 프로그램도 원본이 되는 KEY가 어떤 것인지 알아야 해킹이 가능한데..
그 키를 해킹범이 푸는데 약 44년 걸립니다 ㅎㅎ
안전하게 믿고 사용하십시오
OTP 저도 좋아하는데요...
일단 OTP 알고리즘은 생성 알고리즘은 '너나하세요'님이 말한데도 해킹의 위험이 거의 없다 봐야 합니다.
하지만, 그 OTP 알고리즘을 실제 어플리케이션(리니지, 디아블로3 등 게임 프로그램)에 적용할 경우,
기술적 한계로 인해서
1. 동일 PC에서 사용한 OTP의 재사용 가능,
2. OTP의 유효시간이 지속
3. OTP 적용 시스템 업데이트 미실시
되는 문제가 발생할 수 있다는 것이 이론적인 침해 가능성입니다.(사례가 있긴 있음)
관련 정보의 해킹은 보통 키로깅(계정, 패스워드 정보) 공격으로,
유저 스스로 컴퓨터 백신프로그램의 자동 업데이트 기능 및 실시간 감시 사용해야합니다.
*P2P 영화다운 조심!
우하하 속이 다 시원합니다.
카더라통신 otp해킹 입리니지 아닐까요?
otp의 안전성에대해 의구심을 던지는 분들이 많이 있습니다. 깊게 자세히 들어가자면 너무 자료가 방대하기에 이해하기쉽게 예를들어드리기를 " 누군가가 소원노트를 당신에게 주고 거기에 적은것을 준다고 했을때 당신은 [집행검]을 적을것인가요? [현금 100억원]을 적을것인가요? " 라고 얘기해줍니다. otp를 무용지물로 만들수있는 능력이 있으면 왜 계정을 털까요. 계좌를 털어야죠. 도덕적으로 지탄받기싫다구요? 그럼 신한이나 하나,우리같은 거대금융권 보안팀들에게 본인의 실력을 잘 정리하여 포폴하나만들어서 보내주면 바로 연봉협상들어가고 수억연봉의 직장에 취직하실수 있습니다.
그런데도 불구하고 otp가 털렸다고 하시는분들이 있거나 들은분들이 있습니다. 다시 쉽게 예를 들어드릴께요.
절대로 털수없는 금고가 있습니다.
근데 털렸어요.
조사를 해보니 주인이 금고의 키를 금고위의 선반에 보관해둔걸 가정부가 알고 털었어요.
결과는 금고가 털린게 맞지만, 금고가 취약해서 털린것은 아니지요.
이런 상황을 피해자들은 otp 믿지마라 무조건 털린다. 라고 여기저기 떠들어대고,
과정을 못듣고 결과만 들은 사람들은 otp도 안전하지 않다. 라는 인식이 자리 잡히게 되었답니다.
즉 모든 원인은 관리못한 본인한테 있는것이지요.
OTP 뚫을 실력이면 각 종 대기업에서 돈 다발 들고 오라고 스카웃 할듯..
제2의 빌게이츠가 나오는 것이지요~
맞습니다.. otp를 뚫는다면 그 헛점을 알고있다는것이고, 그부분을 보안하여 특정금융권만의 보안매체에 적용시키면 그 금융회사를 제외한 모든 금융권의 otp서비스는 중지되고 안전성과 신뢰도는 추락합니다. 금융회사 최우선가치는 신뢰와 안전인데 그게 흐려져버리면 존폐를 가늠할정도로 치명적이지요.
그런데 리니지에선 맨날 뚫렸데요.
이거 참 허허허 하면서 보기엔 너무 심하게 거짓정보들이 굴러다니니 원...
보안중에서도 여러가지 보안이 있습니다.
어느 보안이나 보안홀이라는 구멍이 있습니다
그 보안 홀을 최대한 감춰지면서 보안을 하는 것이 보안업체의 최대 관건이지요..
타 상품과 비교하여 자기 제품의 우수한 면이 되기도 하고요..
아마 OTP를 만드는 회사의 최고 경영자나 담당자는 그 홀을 알 수 도 있을 것 같네요..
우리나라에서는 OTP를 만드는 원천 회사는 단 1군데 있습니다.
일례로 SHA1, MD5라는 알고리즘은 처음 발표당시 절때 풀 수 없다고 하였지만..
알고리즘에 대한 홀이 존재한다고 발표하여서(뚫린 것이 아닙니다)
이러한 알고리즘의 대응하게 AES128, SHA2라는 새로운 알고리즘이 나온 것이고요..
기술의 발전에 따라 추후 OTP 알고리즘도 뚫을 수 있는 보안 홀이 공개되어 세상에 알려질 때 쯤이면
NC라는 대기업은 그 시기 훨 신 전에 새로운 보안 프로그램을 내놓을 것입니다.
제 생각은 현 시점에서 OTP는 99.99% 안전하다고 보네요
라인달 AES-128은 이미 sk컴즈의 싸이+네이트 해킹대란때 신뢰도를 잃어버린 알고리즘입니다. 민번을 AES-128로 암호화하고 비번을 MD5로 암호화했으나 너무 무기력하게 싹털렸던.. AES-256과 SHA2가 아직까지는 현존하는 가장 안전한 알고리즘임은 동감합니다. 다만 SHA같은 해시함수계열은 MD5에서 발견된 해시충돌이 완벽히해결되지않은 강화판이라는 견해가 있어 단독으로는 사용을 권장하지않습니다. 리사에서 보안계열에 종사하시는분을 뵙다니 반갑습니다.ㅎㅎ
예전기억인지라 확인해보니 관련기사가 있었습니다.
SK컴즈는 사고 발생 후 '암호화된 주민등록번호와 비밀번호는 절대 풀리지 않을 것'이라며 자신감을 보였다. 하지만 '세상에 풀리지 않는 암호란 없다'는 것이 전문가들의 증언이다. 특히 김승주 고려대학교 정보보호대학원 교수는 본지와의 통화에서 "암호화 수준이 처음부터 너무 낮았다"며 예견된 사고라는 것을 강조했다. 김 교수는 "SK컴즈는 주민등록번호 암호화에 'AES-128'이란 암호화 기술을 사용했고 비밀번호에는 'MD5'라는 기술을 사용했다"고 설명....
너나하세요님의 말씀이 맞다면 SK컴즈발 보도자료인용이 아닌 김교수 개인적견해로 보는게 맞겠군요. 잘못된점 짚어주셔서 감사합니다.
AES128 알고리즘이 홀이 생겨서 신뢰를 잃었다기 보단...
컴즈의 해킹 사건이 터져서 신뢰가 떨어졌다고 생각하네요..
그 당시 개인정보보호법이 현시점보다 더 완벽하게 정부에서 지침이 내려온 상태는 아니었고요..
그 데이터가 유출이 됐다고 하더라도.. 비밀번호와 주민번호를 암호화가 되 있었기 때문에..
유출은 되었지만 그걸 해독을 못했습니다.
데이터가 유출되어 털린 것은 맞지만, 그게 원문이 털린게 아니고 암호화 된 데이터값이 털린 것이고요..
무기력하게 털린 이유는 알약에 악성코드 배포해서 관리자ID/PW를 알아내서 원격으로 털린 것입니다
OTP얘기하다 여기 까지 왔네요..
하프문님이 다방면에서 지식이 좋은신지 알았지만..
보안쪽이라고 생각못했네요..
저도 짧은 지식이지만 현재 DB보안쪽 하고 있습니다.ㅎㅎ
DB보안쪽이 바닥이 좁아서 언제가는 만나실듯 ㅋㅋㅋㅋㅋ
AES 128 알고림즘의 경우 신뢰성을 잃어 버렸다 하더라도 현재 기업용으로 안전한 알고리즘이라고 발표된 것중에 하나인데.....192비트 시대로 넘어가야 하는건지........그나저나 이바닥 좁긴 한데....뉘신지는 몰라도..컨퍼런스 자주 다니시면...마주치긴 하겟네요.ㅋㅋㅋ
하프문님 말씀대로 OTP 는 완벽할지 몰라도 OTP를 적용한 앱이 완벽하다고 할수 없지 않을가요?(실제로 디아가 기존 오티피 값이 인증값으로 활용되어 키로깅에 의해서 털렸죠.)
8월 29일 Fasoo Solution Day 2013 때 뵙겠습니다 ㅋㅋㅋㅋㅋ
와,,,,,,,,,,,,,,,,대단한 분들이다......................
그러타면 OTP해서 털린사람(대리없다 혼자한다 등등)은
다 쑈였군요 0.0001%만 진짜고 ㅋㅋ