이번 글에서는 2020.05.14 업데이트로 추가 된,
병맛스러운 그린PC, 옐로우PC, 레드PC라는
새로운 보안 시스템에 대한 얘기와 함께
보안 담당자가 더 이상 삽질하는 시스템을 만들지 말기를 바라며
메이플스토리의 전반적인 보안 시스템과 해킹에 대해 얘기해보고자 합니다.



1. 그린PC, 옐로우PC, 레드PC가 뭔데??



해당 단어를 처음 접했을 때 드는 일반적인 생각은
"그린PC는 안전한 PC인가 보네"
"옐로우PC는 보안이 애매한 PC인가 보네"
"레드PC는 보안이 취약한 PC인가 보네" 일 것이고,



잇따르는 생각은
"또 무슨 보안이라는 명목하에 귀찮은 시스템을 만든거야" 일 것입니다.



자세한 내용을 확인하기 위해 공지사항을 확인해 보니
메이플스토리의 보안 시스템을 전반적으로 알고 있는 저도
역시나 읽기만 해도 귀찮고, 복잡한 개념의 시스템이었습니다.
- 해당 공지사항 https://maplestory.nexon.com/News/Notice/130224







그린PC는 "넥슨OTP"라는 보안 서비스를 이용하는 계정이면
어떤 PC에서건 적용되어 정상적인 게임 이용이 가능한 등급이고,



옐로우PC는 "넥슨OTP"를 이용하지 않는 계정으로
자주 이용하는 PC에서 일정기간 동안 접속하게 되면 설정되면서
그린PC와 같이 정상적인 게임 이용이 가능한 등급이고,



레드PC는 "넥슨OTP"를 이용하지 않는 계정으로
PC방과 같은 자주 이용하지 않는 PC에서 접속하게 되면
다른 캐릭터와의 거래 기능이 제한되는 등급입니다.



2. 그린PC, 옐로우PC, 레드PC는 왜 만든건데??



당연한 얘기겠지만 유저들의 계정을 털어가는 해킹 사고 때문입니다.



메이플은 2020.05.08 공지사항을 통해
최근 해킹 피해가 늘어나고 있다며 알리기도 했습니다.
- 해당 공지사항 https://maplestory.nexon.com/News/Notice/130165







3. 해킹은 어떤 계정에서 발생하는데??



기본적으로 메이플스토리의 해킹 사고는
"U-OTP+", "넥슨OTP"라는 OTP 서비스를
이용하지 않는 계정에서 99% 발생합니다.
(U-OTP+, 넥슨OTP에 대한 상세 설명은 밑에서 다루겠습니다.)







특히 메이플스토리의 해킹 집단과의 접촉이나
해킹 시장을 어느정도 알고 있는 입장에서 얘기해 보면,
메이플과 같이 온라인게임을 타겟으로 만들어지는 바이러스 등에 의한
아이디, 비밀번호, 2차 비밀번호의 유출은 절대 막을 수가 없습니다.



아이디, 비밀번호는 그냥 기본적인 신분증 개념이고,
2차 비밀번호는 동일한 아이디와 비밀번호를 사용하는
타 사이트를 통해 유출된 개인정보로 인한
해킹을 조금이나마 막아주기 위한 시스템에 불과합니다.



그래서 실제 금융거래에서나 사용되던 OTP 시스템을
온라인게임에서도 도입하게 된 것이고,
이제는 보편화 된 보안 시스템으로 자리 잡았습니다.



4. 메이플에서 사용하는 U-OTP+, 넥슨OTP가 뭔데??



OTP는 "일회용 비밀번호"라는 "One Time Password"의 약자입니다.



메이플스토리는 원래 타사에서 만든 "U-OTP+"라는
휴대폰 어플의 서비스를 제공하고 있었습니다.







기본적인 메이플스토리의 접속 방식이
"아이디 & 비밀번호 입력 → 2차 비밀번호 입력"의 순서였다면



U-OTP+ 서비스를 이용하게 되면
아이디 & 비밀번호 입력 후,
휴대폰의 U-OTP+ 어플을 통해 생성된 일회용 비밀번호를 입력하고,
2차 비밀번호까지 입력해야 메이플 접속이 되는 방식입니다.







접속 시마다 달라지는 일회용 비밀번호라는 개념 상,
OTP 시스템을 이용하면 이론상으로는 해킹이 발생 할 수가 없습니다.



하지만 완벽에 가까운 이런 U-OTP+를 이용해도
"OTP 사용해도 털린다."라는 말을 한번쯤은 들어봤을 것이고,
실제로 이와 관련한 해킹 사고가 드물게 발생 해 온 것이 사실입니다.



OTP를 사용해도 해킹이 발생하는 첫번째 경우는,
메이플스토리의 보안 자체가 뚫려
OTP를 입력하지 않고도 게임 접속이 됐던
대략 8년전, 2012년도에 발생한 해킹 사태와 같은 경우입니다.
- 해당 사태에 대한 글 https://blog.naver.com/manager_ods/100158500986







하지만 위와 같이 넥슨의 보안 자체가 털려
OTP 인증 없이 접속이 되는 일은
8년전을 제외하고는 없었던 것으로 알고 있습니다.



두번째 경우는 최근까지도 발생해 왔던 경우인데요.
U-OTP+ 서비스는 휴대폰에 생성된 일회용 비밀번호를 보고,
유저가 PC에 직접 입력해야 하는 시스템입니다.



일반적인 해킹 사건들은 바이러스를 통해
대량으로 수집된 아이디와 비밀번호가
각 게임들의 전담 해킹범들에게 분류가 되고,
차례대로 털어가며 작업하는 것인데



PC를 씹고 뱉는 껌마냥 허드레 수준으로 사용하여
해킹범이 유저의 PC 제어가 가능한 좀비PC 까지 된 경우,
유저가 PC에 OTP를 입력하는 순간
프로그램 된 해킹툴이 유저의 PC를 지연시키고,
해당 OTP를 해킹범의 PC에 입력하여 실시간으로 털어가는 경우입니다.



이 때문에 "OTP를 사용해도 털린다."라는 말이 계속 나왔던 것인데요.



점차 OTP 기술이 보급화 되고,
자체 플랫폼에서 운영이 가능한 수준이 되자
위와 같은 경우를 방지하고자
방식에 약간의 변형을 주어 출시 된 것이
넥슨플레이 어플 안에 탑재 된 "넥슨OTP" 서비스입니다.







유저의 PC가 거의 허드레 좀비 PC가 되어
유저가 PC에 입력하는 일회용 비밀번호가
유출이 되는 것까지 완벽하게 막을 수는 없습니다.



하여 "넥슨OTP"는 방식을 바꿨습니다.



유저가 휴대폰에 생성된 일회용 비밀번호를 보고
이를 PC에 입력하는 것이 아니라,
넥슨OTP는 반대로 PC에서 일회용 비밀번호를 보고
서비스에 가입한 휴대폰에 입력하면 로그인이 되는 방식입니다.







이로 인해 넥슨OTP를 사용한다면
"절대 해킹이 발생할 수 없는 구조"가 된 것이고,
넥슨도 "U-OTP+" 보다 "넥슨OTP"를 밀고 가는 것이겠지요.



5. U-OTP+는 그럼 위험하네??



위에서 언급했듯이 U-OTP+는
유저가 직접 PC에 일회용 비밀번호를 입력하기 때문에
이를 순간 탈취하여 입력하는 해킹툴에 의해
드물게 해킹이 발생해 온 것이 사실입니다.



하지만 이는 해킹하고자 하는 대상을 특정하여
유저의 PC를 제어까지 해가면서
실시간으로 작업해야 하는 번거로움이 있기 때문에
실제 해킹 현장에서는 효율이 떨어져 주로 사용되지 않습니다.



또한 보안상의 이유라며 공지를 하지는 않았지만 수개월 전,
유저가 A라는 PC에서 아이디와 비밀번호를 입력하게 되면
동시간에 몇 분 동안은 B라는 PC에서 U-OTP+를 입력하지 못하게 하거나
U-OTP+를 입력해도 로그인이 되지 않게끔 보완 패치가 이루어졌습니다.







여러 방법으로 테스트 해 본 결과,
보완된 이 룰에 적용받지 않고 로그인이 가능한 방법이 있긴 하지만
실제 해킹 현장에서는 효율성이 현저히 떨어지기 때문에
사실상 U-OTP+를 실시간으로 탈취하여
해킹하는 경우는 거의 없다고 봐도 무방합니다.



저도 U-OTP+와 넥슨OTP를 둘 다 이용하지만
실제로 사용하는건 99% 간편한 U-OTP+니까요.



6. 그린PC 시스템은 정상적인 게임 이용을 해칠 뿐이다.



그린PC 시스템은 U-OTP+를 사용하던 사용하지 않던,
넥슨OTP를 이용하지 않는다면
기본적으로 모든 PC가 레드PC라는 전제를 깔고 있습니다.



이로 인해 게임 내 거래 기능 등을 불가능 하게끔 패널티를 주어
대다수의 유저들을 불편하게 쪼는 방식인데요.







게임에 접속할 때마다 수시로 뜨는 보안 위험을 알리는 문구와
무슨 PC를 자꾸 등록하고 어쩌고 저쩌고를 하라는 것 자체가
복잡하고 원활한 게임 이용을 방해하는 요소입니다.







메이플은 현재도 이전과 다른 IP에서 접속하면
5분간 교환을 제한하는 불편만 초래하는
개떡같은 시스템을 적용하고 있습니다.
(이 제한도 원래는 15분이었지요..)



메이플은 게임 내 이러한 보안 시스템을 적용할 때,
동일한 PC와 다른 PC를 구분하는 과정에서
수집하는 PC 정보의 IP 대역을 중점으로 삼습니다.



하지만 KT, SKB, LG U+와 같이 인터넷망 업체들은
이용자들에게 고정 IP가 아닌 유동 IP를 제공합니다.



예를 들어 PC를 켜서 A라는 IP를 부여받아
게임 등 인터넷을 이용하다가 PC를 종료하게 되면
업체에 따라 약간의 변동은 있지만
몇시간 뒤에는 A라는 IP를 다른 이용자에게 주는 등의 구조입니다.



하여 넥슨의 "지정PC" 서비스를 이용하지 않는 이상
오늘 메이플을 잘 하다가
다음날 동일한 PC에서 이용한다 해도
IP 대역이 달라진다면
이전과 다른 PC 환경에서 접속했다며
5분간의 거래 제한 패널티를 부여하는 것이지요.







자신의 PC인데도 수시로 5분간의 거래 제한 패널티를 받게 되는데
해킹범이 어느날 들어왔다 간들 이를 잘도 구분 하겠습니다..



그린PC 시스템도 마찬가지입니다.
U-OTP+를 사용하던, 넥슨OTP를 사용하던,
둘 다 사용하지 않던간에 상관없이
IP 대역이 바뀌니 동일한 PC도 새로운 PC로 인식을 하더군요.



OTP를 이용하는데도 불구하고,
매번 보안이 어쩌고 저쩌고 하는 알림에
PC 이름을 등록하고, 등급 UP을 하라 하는 등
아주 똥을 싸고 있습니다.



7. 유저가 불편할 것이라는 걸 알고 있으니 문제다.



그린PC 시스템으로 인해 정상적으로 게임 이용을 하는
대부분의 유저들이 불편을 겪을 것이라는 걸 개발자가 모를까요?
모른다면 알려주면 됩니다.!!
하지만 이를 알고 있다는 것이 문제입니다.



공지에서 확인할 수 있듯이 유저들이 불편할 것을 알기에
레드PC에서의 거래 제한 기능을 당장 적용하지는 않았으니까요.
애초에 이런 똥을 싸지른다는 것 자체가 불편함이거늘..







8. 목적을 다시 생각하고, 보안 정책 방향을 "당근"으로 전환하라.



메이플의 보안 수단에는 2차 비밀번호, U-OTP+, 넥슨OTP,
지정PC, 아이템잠금 등의 여러가지 수단들이 많습니다.



이처럼 다양한 보안 수단들이 존재하는 이유는
근본적으로 돈줄인 유저들의 해킹 피해를 방지하고,
해킹으로 인한 넥슨의 인적, 물적 비용을 절감하는 데에 있겠지요.



이미 메이플에는 U-OTP+와 넥슨OTP라는 훌륭한 보안 수단이 있습니다.
그리고 모든 유저가 OTP를 이용한다면 해킹 피해가 없겠지요.
새로 도입하고자 하는 그린PC라는 똥 역시,
넥슨OTP를 이용하게끔 권장하고 있습니다.







요즘 세상에 피치 못할 사정을 제외하고는
거의 모든 사람이 휴대폰 하나씩은 있지 않습니까?
또 메이플을 기본적으로 이용하려면
휴대폰 본인인증 등과 같은 절차를 걸쳐야 하는데
U-OTP+나 넥슨OTP 이용률은 현저히 떨어지죠.



요즘에는 많은 유저들이 OTP를 이용한다고 하지만
피치 못할 사정을 제외하고 OTP를 이용하지 않는 유저들은
대부분 "귀찮음" 때문이라고 봐도 무방합니다.



게임을 하는데 아이디와 비밀번호, 2차 비밀번호까지 입력하는데
"거기에 무슨 어플을 깔고 OTP까지 입력하래~"라는..



이는 여러 공지사항에서 확인할 수 있듯이 넥슨도 잘 알고 있습니다.
알면서 맨날 아가리만 터니까 문제겠지요.







유저들을 괴롭히기만 하는 "다른 IP 거래 제한 5분" 같은 똥이나
그린PC 같은 또 다른 똥으로 유저들을 불편하게 하지 말고,



OTP를 이용하는 계정은 "상시 경험치 추가 10%" 등과 같이
유저들이 공감 할 만한 선에서의 게임 이용에 혜택을 주는
확실한 "당근"으로 보안 캠페인을 진행 한다면
유저들이 보안도 챙기면서 혜택도 받으니 좋지 않겠습니까?



백날 GM학구를 통해 아가리로만 "OTP를 사용하면 안전하니 쓰세요."라거나
"OTP 안쓰면 님 거래 차단"처럼 유저들을 괴롭히는 패널티를 주거나
OTP를 이용하는 유저들까지 불편하게 하지 말고,



OTP를 이용하는 것 자체가 자신의 계정을 지키는 중요한 수단이지만
메이플은 기본적으로 즐기기 위한 게임이라고..
OTP를 사용하고 싶게끔 혜택을 주는 방향으로 전환을 하는 것이 맞지 않을까요?



OTP를 사용하면 "아이템 잠그는게 무료~"라고 해서
GM학구 같으면 "우와 혜택 ㅈ되네. 빨리 가입하자."라고 하겠습니까?
(다른 IP 접속 거래 차단 5분도 제발 좀 같이 가져가기 바랍니다.)