디아블로 3이 계정 해킹으로 몸살을 앓았는데, 사실 블리자드의 계정 관리는 엄격한 편이다.
블리자드에는 OTP 라는 시스템이 있다. 비밀번호는 별도로 두고, 휴대폰에서 별도의 앱을 깔아서 그 앱이 제 2의 비밀번호를, 그때그때 다르게 만들어 보여주는 것이다.
정확히는, 앱마다 일련번호가 있고, 그 일련번호에 따라, 시간에 따른 제 2의 비밀번호 패턴이 정해져 있다. 블리자드 서버는 일련번호에 따른 비밀번호 패턴들을 다 알고 있어서 제 2의 비밀번호가 그 시간대에 유효한지 인증할 수가 있다. 다만 블리자드 서버가, 이 이용자가 어떤 일련번호를 가진 앱을 쓰는지는 모르기 때문에 처음 앱 등록을 할 때 일련번호를 적게 되어있다.
해커로서는, 비밀번호야 a부터 z까지, 0부터 9까지 하나하나 넣어보면 언젠가는 해결할 수 있지만, 제 2의 비밀번호는 시간에 따라 바뀌기 때문에 하나하나 넣어봤자 소용이 없는 것이다.
그런데도 그 OTP가 털렸다. 이걸 보고 몇몇 사람들은 블리자드 서버가 털린 것이 아니냐 하는데, 블리자드 서버는 털리지 않았다.
우리나라 PC방의 90%에는 키로거 라는 해킹 프로그램이 깔려있다. 정작 그 PC방 주인장들은 모른다. 대부분의 PC방에 깔려있는 V3이나 알약 같은 프로그램도 키로거의 존재를 모르는 경우가 대부분이고, 심한 경우 백신 프로그램이 깔려는 있지만 아예 실행조차 되지 않는 경우도 있다.(그것도 꽤 많다).
키로거가 깔린 PC에서 키보드로 뭔가를 입력하면, 입력한 값이 그대로 해커의 PC로 전송된다. 이용자 몰래. ID와 비밀번호가 고스란히 누출되는 것이다.
문제는, OTP도 예외가 아니라는 것이다.
디아블로 3 계정 해킹 방법은 간단하다. 키로거 프로그램을 이용하여 이용자의 ID를 확인한다, 엔터 키나 마우스 버튼이 감지되면 다음 입력 칸으로 넘어간 것으로 생각한다. 그 다음에 입력되는 값들이 비밀번호이다.
제 2 비밀번호까지 입력된 것이 키로거로 들어온다면, 해커는 그 PC의 디아블로 3을 강제 종료시킨다. 이용자는 잠시 문제가 생긴 줄 알고 다시 접속하여 ID와 비밀번호와 제2비밀번호를 고스란히 다시 입력한다. 이 때 해커는 그 PC에 렉을 건다.
이 때부터가 승부처. 제2비밀번호가 바뀌기 전에 해커는 재빨리 다른 PC에서 그 이용자 계정으로 접속한다. 그리고 아이템과 돈을 다 빼간다. 로그아웃. 끝.
이 때문에 디아블로 3 해킹 계정이 비밀번호가 바뀌지 않고 아이템만 없어져 있는 것이다. 비밀번호를 바꾸려면 제2비밀번호 인증을 다시 받아야 하기 때문인데 그 때는 이미 제2비밀번호가 바뀌어 있기 때문.
해킹 방지 방법은 여러 가지가 있다.
이용자 입장에서, 그리고 블리자드가 취해야 할 조치에 대해서 알아보겠다.
핵심 방법은 3가지, 키로거는 마우스 커서의 위치를 제대로 활용할 수 없다는 것과, 그리고 은행 보안카드의 원리. 그리고, 키로거 프로그램이 깔리지 않게 하는 것.
우선, 이용자 입장에서 디아블로 3 계정을 보호하는 방법
1. OTP 제 2 비밀번호를 입력할 때, 제한 시간이 거의 남지 않았을 때 입력한다. 블리자드 OTP는, 제한 시간이 지난 것처럼 보여도 1~2초간 제한 시간이 남아 있는 것이 일반적이다.
2. 비밀번호를 입력할 때, 마우스를 적극 활용한다. 가령, 앞의 2글자를 먼저 입력하고, 바로 맨 뒤의 2글자를 입력한 다음, 마우스를 이용하여 2칸 앞 부분을 클릭해 입력 커서를 옮기고, 중간에 남은 비밀번호를 입력한다. 중요한 것은, 키보드의 방향키를 이용하면 아무 소용 없다는 것이다. OTP의 제 2 비밀번호도 입력할 때 마우스를 입력해 입력 커서 위치를 바꿔가며 입력하는 것이 좋다.
3. PC방에서 이용 후 집에 와서 반드시 비밀번호를 변경하고 OTP를 재발급 받는다. 재발급 받으려면 OTP 해제하고 휴대폰에서 앱을 삭제한 후 다시 받아 깔고 다시 등록해야 한다.
4. 집 컴퓨터에서 Windows XP를 절대로 사용해서는 안되고, 보다 상위 버전인 Windows Vista, 7, 8 등을 사용하며, 반드시 사용자 계정 컨트롤 기능을 켜고, 경고 창 뜰 때마다 반드시 제대로 확인하여, 대부분 “아니오”를 눌러 주어야 한다. 만약, 실수로 “예”를 클릭했다면 그 즉시 포맷을 하고 윈도우를 새로 설치해야 한다. 백신 프로그램과 별도로 Windows Defender 의 실시간 감시는 반드시 켜 둔다.
블리자드가 취해야 할 조치는 간단하다.(나만 간단하다고 생각하려나?)
OTP 체제를 완전히 바꾸어야 한다.
우선, OTP에서, 제 2 비밀번호가 동일 시간에 하나만 보인다. 이거 자체가 위험하다. OTP에서, 동일 시간에 제 2 비밀번호가 여러 개가 보이고, 로그인 시 제 2 비밀번호 중 몇 번째 것만 입력하세요 라고 요구하여야 한다. 서로 다른 컴퓨터에서 동시 로그인 시도가 이루어졌을 때, 제 2 비밀번호 중 몇 번째를 입력해야 하는지의 요구가 서로 달라야만 한다. 즉, 컴퓨터 IP나 Mac Address에 따라 랜덤하게 “몇 번째”를 정해야 한다.
키로거에게 제 2 비밀번호 전체가 노출되는 것을 막아야 한다는 것이다. 제 2 비밀번호 중 일부만을 입력해서 해커가 제 2 비밀번호 전체를 알지 못하게 해야 한다는 것이다.
댓글 없음:
댓글 쓰기