2005년 온라인 게임계의 최대 화두는 무차별로 이루어지고 있는 해킹일 것이다.


물론 그 전부터 사이버 공간에서 벌어지는 해킹은 큰 문제이기도 했고
온라인 게임에서도 해킹, 계정도용의 문제들이 발생하여
많은 게이머들이 이것의 확산에 대해 상당히 우려하기도 했다.


2005년에 들어 온라인 게임에서 발생되는 해킹 건수는 기하급수적으로 늘어났고
특정 게임들을 타겟을 한 백도어 프로그램이 대규모 포탈 사이트에 심어져
그에 따른 피해가 심각한 상황까지 벌어졌다.


이는 리니지 뿐만이 아닌 수많은 타 온라인 게임에서도 발생되고 있는 문제이며,
특히나 지난 여름 발생했던 리니지의 대규모 계정 도용건은 많은 유저들에게
해킹에 대한 심각성을 일깨워주었던 사건이기도 하다.



때문에 게임사에서는 유독 계정 도용이 많이 발생했던 시기의 피해 계정에 대해
상당히 의례적인 복구 조치를 취하기도 했으며, 지난 6월 리니지인벤과의 인터뷰 시
현재 가동되고 있는 게임 보안 프로그램인 게임 가드의 보안 강화와
또 다른 개인 정보 보호 솔루션을 마련할 것이라는 내용을 밝히기도 하였다.


그 후 얼마 전 리니지가 아닌 모게임에서 접속시 마다 휴대폰을 통해
신원을 입증하는 시스템이 도입되기도 하는 등 온라인 게임계에서는
그 어느 때보다 개인 정보 보안에 관한 관심이 높은 상황이다.




그리고 이번에 NCSOFT의 리니지 개인 정보 보호 솔루션이 드디어 그 모습을 보이게 되었다.
개인 정보 보호 솔루션. 자세히 어떤 내용이고 어떻게 진행되는 것인지,
또한 이로 인한 기대 효과는 무엇인지 NCSOFT와 인터뷰를 진행하였다.



인터뷰에는 NCSOFT의 김휘강 팀장, 정원영 운영팀장이 함께 하였다.




■ 먼저 개인 정보 보호 솔루션이 생기게 된 배경에 대해 이야기해달라.



배경은 무엇보다 심각해지고 있는 최근 해킹 때문이다.

과거에는 일부 해커들의 장난 혹은 자기 과시용으로 시도 되었던 해킹이
현재는 대규모화, 전문화되어 특정 사이트의 서비스를 마비시키기도 하고
온라인 게임 자체를 타켓으로 한 해킹까지 빈번하게 벌어지고 있는 실정이다.

해킹의 규모는 점점 커지고 있기 때문에 이러한 솔루션을 도입하게 되었다.



■ 해킹의 주된 원인은 무엇으로 판단하는가.



이제는 일반 매체 등을 통해 많이 알려지기도 한 방법이기도 한데 간략하게 설명을 하자면,

웹상의 특정 사이트 등에 백도어 프로그램을 설치하여 그 사이트를 방문한
불특정 다수의 개인 컴퓨터에 바이러스가 감염되는 사례가 가장 많이 보여지고 있는 실정이다.
개인 컴퓨터에 보안 패치를 하지 않은 유저들은 해커가 무작위로 배포한 백도어에 감염되어
자신의 계정 정보가 유출되는 것이라 볼 수 있다.


이러한 부분은 개인 컴퓨터의 보안이 매우 중요하고 이 때문에 게임사에서도
Nprotect 게임가드의 신속한 업데이트를 유지하고 이를 막아내려 노력해왔다.




[ 게임사측에서 밝힌 중국 해커들의 해킹 경로, 점점 증가하는 추세라고 ]




■ 지난 여름 발생했던 대규모 해킹과 비교했을 때 요즘 해킹의 규모나 횟수 등은 어떠한가.



지금은 일상적인 수준으로 돌아가기는 했는데 지속적으로 백도어 툴이 보이고 있으며,
앞으로도 계속적으로 발생할 것으로 보인다.




■ 이번에 게임사에서 발표하는 리니지의 개인 정보 보호 솔루션에 대해 설명해달라.



먼저 소개할 개인 정보 보호 솔루션의 이름은 린OTP이다.
이는 One Time Password의 약자로써 글자 그대로 풀이하면 한번 쓰는 비밀번호라는 뜻이다.
다시 말해 계정에 접속을 할 때마다 매번 다른 비밀번호를 쓰게 된다는 것.


이 솔루션은 아직까지 우리나라 뿐만이 아니라 전 세계적으로 보았을 때도
온라인 게임에서 적용되고 있지 않은 보안 솔루션이며
일부 금융 관련 기관 등에서 이용되고 있는 솔루션이기도 하다.



대략적인 린OTP의 진행방식을 소개하자면,

일단 린OTP는 원하는 고객만 홈페이지 등록을 통하여 이용을 할 수 있다.
홈페이지에 접속하게 되면 기존에 사용하였던 계정명과 비밀번호 입력까지
기존과 동일하게 유지된다. 다만 좌측에 린OTP을 사용하겠냐는 안내 문구가 있는데
사용하겠다라 동의하고 버튼을 누르면 동의 절차를 밟게 된다.


동의 절차를 개인 핸드폰을 이용하여 최초에 인증번호가 전달되는 형식이고
인증번호를 홈페이지에 입력하면 개인 핸드폰으로 린OTP에 필요한 프로그램이 다운로드 된다.
최초 다운로드 시 발생하는 통신료(150원에서 300원 사이)만 고객이 부담하고
그 외에는 특별한 비용이 부가되지 않고 모든 비용은 회사에서 부담하게 된다.



린OTP의 다운로드가 완료된 후 휴대폰에서 실행버튼을
(예: SKT의 네이트, KTF의 multi pack, LG 텔레콤의 Ez-i)
눌러 들어가면 플레이온이라는 곳이 있는데 이것을 누르면 린OTP가 핸드폰에
내장되어 있다는 것을 확인할 수 있다.


린OTP를 실행시키면 8자리의 고유번호가 출력되고 하단에 타이머가 실시간으로
돌아가게 되어 있다. 시간은 1분이다. 1분안에 린OTP에서 부여한 고유 번호를 입력하고
계정에 들어가는 방식이다.


플레이온을 통해 린OTP을 실행시키는 것에는 일체의 비용이 들지 않으니
이 부분에 대한 오해가 없으시길 바란다.



린OTP 서비스가 가능한 휴대폰은 현재는 2002년 하반기 이후 출시된 모든 제품이며,
2002년 하반기 이전에 출시된 일부 모델 중에도 가능한 것이 있다.
추후 모든 핸드폰에 린OTP 서비스가 가능토록 준비할 예정이다.


* SKT, KTF, LG 텔레콤 3사의 모든 제품들 중 2002년 하반기 출시된 대부분의 제품은
린OTP 서비스가 이용 가능하다.




[ 추후 유저들에게 공개될 공식 홈페이지의 린OTP의 비밀번호 입력창 ]





■ 린OTP는 현재 진행되는 모바일 인증번호 서비스와 어떻게 차이점이 있는지 알려주길 바란다.



린OTP는 현재 일반적으로 이용되는 모바일 인증 서비스와는 매우 틀린 성격이라 할 수 있다.

모바일 인증 서비스는 인증번호를 통신을 거쳐 전송이 되는 형식이지만 린OTP는
자신의 핸드폰 안에 린OTP 실행 프로그램이 완전히 들어간 상태로 진행되기 때문에
통신이 필요치 않다. 다시 한 번 이야기하자면 최초에 린OTP 다운로드 과정만 거치면
린OTP는 다운로드 받은 핸드폰 안에 독립적으로 자리 잡게 된다는 이야기다.




■ 린OTP를 실제로 유저들이 사용할 때는 어떤 식으로 사용하게 되는가.



유저들이 알기 쉽도록 항목화를 하자면,

1. 린OTP를 원하는 고객은 홈페이지에서 신청을 한다.(개인 휴대폰 필요)
2. 개인 휴대폰을 통해 전송된 인증번호를 홈페이지에 입력하면 린OTP가 핸드폰으로 다운로드.
3. 게임에 로그인 하여 기존과 같이 계정명과 비밀번호 입력.
이 때 린OTP를 사용하는 고객에 한해 린OTP번호를 넣는 새로운 창이 생성.
4. 핸드폰의 실행 버튼(예:SKT의 네이트) → 플레이온 → 린OTP 접속
5. 린OTP에서 알려주는 8자리의 비밀번호 입력.

의 과정을 거치게 된다.




* 위 이미지는 린OTP의 모습을 가상으로 만들어 본 것입니다.
실제 적용되는 모습이 아니니 오해 없으시길 바랍니다.




■ 린OTP의 비밀번호는 어떤 식으로 유지가 되는가.



각 계정마다 린OTP를 이용할 때마다 생성되는 비밀번호는 모두 다르다.
비밀번호가 겹칠 확률을 거의 불가능하다고 생각해도 무방하다. 더 자세한 예를 들자면
2005년 12월 14일 오후 6시 30분에 생성되는 비밀번호와 같은 날 오후 6시 31분에 생성되는
비밀번호가 틀리다는 것이다. 린OTP 말 그대로 한 번 사용하면 무용지물이 되는
비밀번호가 생성이 되는 것이다.


부여되는 린OTP의 8자리 비밀번호는 패턴화되어 있지 않고 특정 알고리즘에 의하여
계속적으로 바뀌기 때문에 이 비밀번호를 타인이 맞출 수 있는 확률은 매우 희박하다.
소위 말하는 로또 1등에 당첨되는 것 만큼이나 매우 어려운 일이다.(웃음)




■ 앞에서 잠깐 언급했던 것 중 아까 이야기를 들어보니 린OTP 비밀번호 아래 1분의 시간이 부여된다고 들었는데 이는 무엇 때문인가 .



1분의 유효시간을 두는 것은 만약에 발생할 비밀번호 유출을 방지하기 위한 것이다.
1분 안에 로그인 창에 해당 비밀번호를 넣지 않았을 경우 그 비밀번호는 무효화되어
다시 린OTP를 통해 비밀번호를 부여받아야 한다.




■ 린OTP의 장점은 무엇인가.



장점은,

1. 일회용 패스워드이기 때문에 유출의 염려가 전혀 없다.
2. 통신을 이용하지 않기 때문에 비밀번호를 부여받는 동안 발생되는 시간 지연이 없고
린OTP를 이용할 시 요금이 발생되지 않는다.
3. 린OTP는 이용할 때마다 비밀번호가 달리 생성되므로 키로그 백도어
(사용자 컴퓨터의 키보드 기록을 스틸하는 것)이 발생되지 않는다.



린OTP와 같은 방식의 보안 솔루션은 현재까지 게임에 적용된 적도 없고
금융권에서 OTP사용은 현재 고객대상이 아니며 소수의 내부 보안용으로 특화되어 사용중이다.


추가적인 설명을 하자면 금융권에서 주로 쓰이는 개인보안 솔루션이 씨크리트 카드라 하여,
개인에게 약 30가지 정도의 비밀번호를 주고 그 중 한 가지를 입력하게 하는 방식인데
이는 얼마 전 신문지상을 통해서도 소개되었듯이 도용이 된 사례가 발생하였다.


때문에 향후 금융권에서도 린OTP와 같은 방식의 솔루션을 도입할 예정이라 들은 바있다.




■ 린OTP의 도입으로 현재 발생하고 있는 해킹을 방지할 수 있을 것으로 보는가.



상당 부분 해결 될 것으로 보인다. 통신을 통해 인증번호를 받아야하는
시스템이 아니기 때문에 비밀번호가 도중에 노출될 가능성도 거의 없을뿐더러
혹시라도 핸드폰을 분실하게 되어 린OTP의 번호가 노출된다 해도 린OTP에 계정명이
노출되지 않기 때문에 계정명과 핸드폰 모두를 가지고 있지 않으면 계정도용이 불가능하다.




■ 린OTP를 해지하려면 어떤 과정을 거쳐야 하는가.



린OTP는 가입 과정은 간단하지만 린OTP 해지는 조금은 복잡한 절차를 거쳐야한다.
이유는 혹시라도 모를 제3자에 의해 악의적으로 린OTP를 해제시킬 수 있는 가능성이
있기 때문에 해지는 홈페이지의 서비스 센타 등을 통해 본인 확인 단계를 거쳐 해지할 수 있다.




■ 린OTP는 1인 1계정만 가능한 것인가.



아직까지는 그렇다. 그러나 추후 더 많은 계정들을 이용할 수 있도록
기술적인 측면에서 노력을 할 것이다.




■ 리니지 유저들이 직접 린OTP를 이용하는 시기는 언제쯤으로 예상하는가.



다가오는 12월 28일로 예상하고 있으며 현재 이를 위해 일반 유저 대상으로
홈페이지에서 테스터를 모집하고 있는 상황이다. 일반 유저들의 테스트 과정이
완료되면 리니지 고객들이 직접 린OTP를 이용할 수 있을 것이다.




[ 공식 홈페이지를 통해서 테스터 모집 중 ]




■ 린OTP를 NCSOFT의 타 게임들에도 도입할 것인가.



일단 이번 보안 솔루션의 이름자체를 보면 알겠지만 리니지만을 위해 기획이 된 솔루션이다.
그러나 앞으로 고객들의 반응과 상황을 지켜보고 추후에 타 게임에도 확대 적용될 수 있다.




■ 린OTP와 관련하여 리니지 유저들에게 하고 싶은 이야기가 있다면.



현재 우리 나라 뿐만이 아니라 세계의 온라인 계임에 해킹은 점점 큰 문제가 되고 있다.
앞으로 이 부분은 더욱 심화될 것이라 생각하기 때문에 이것에 대한 대책이 필요한 시점이다.


일단 해킹을 막기 위해서는 개인 컴퓨터의 보안과 유저들의 인식 전환이 필요하다고 보아지며,
게임사에서도 이 부분에 대해 지속적으로 고민하여 유저들의 피해가 없도록 최대한 노력을 할 것이다.



그리고 이것의 일환으로 시행되는 것이 리니지의 린OTP이기도 하다.
다시 설명을 드리자면 린OTP는 통신을 통해 비밀번호가 전해지는 것이 아닌
개인의 핸드폰에 다운로드된 린OTP에 의해 독립적으로 비밀번호가 부여되기 때문에
핸드폰을 분실하지 않는다면 타인에게 비밀번호가 노출될 가능성은 거의 없다.


또한 핸드폰을 분실한다고 하여도 개인 계정이 린OTP에 노출되지 않기 때문에
린OTP를 이용하여 일한 계정 도용을 대다수 막아낼 수 있는 강력한 것이라 생각한다.


그러나 아무리 좋은 시스템이라 하여도 유저들이 직접적으로 사용을 하지 않는다면
무용지물이 되버리고 말 것이다. 물론 매번 새로운 비밀번호를 입력해야 한다는 번거로움이 있지만,
이것으로 인해 내가 아끼는 계정의 도용을 막기 위한 확실한 예방책이 된다면
그러한 것들에 대해서는 많이 이해해주실 것이라 본다.


이번에 도입되는 린OTP로 인해 리니지 고객들의 계정 도용을 원천적으로 막을 수 있기를
바라고 많은 유저분들이 린OTP를 사용하셨으면 하는 바람이다.





[ 린OTP를 설명 중인 정원영 운영팀장 ]




인터뷰 내용을 간략하게 정리하자면,



리니지 유저들을 위한 개인 정보 보안 솔루션으로 린OTP가 도입이 되었으며
이것은 리니지 홈페이지를 통하여 개인적으로 신청할 수 있다.



신청을 한 유저들에 한해 린OTP를 개인 핸드폰으로 다운로드 받을 수 있으며
이때 유저들이 통신료인 약 150원에서 300원 가량의 비용만 소요되며,
그 외 일체 금액은 게임사에서 부담한다는 것.



한 번 다운로드된 린OTP는 개인 핸드폰에 내장되어 게이머가 게임에 접속할 시마다,
린OTP를 통하여 매번 새로운 비밀번호 8자리를 부여받게 되고 이를 로그인 화면에
입력하게 되면 게임 접속이 가능해지는 것이다.



린OTP는 통신을 이용한 비밀번호 전송이 아닌 개인 핸드폰에 내장된 자체적인
프로그램이므로 혹시라도 발생할 지 모를 제3자의 비밀번호 스틸 등으로 노출이 불가능하며,
한번 사용된 비밀번호는 다시 이용이 불가능하고 매번 새로운 비밀번호를 부여받는 형식이다.



더불어 비밀번호 하단에는 1분이라는 제한 시간이 있어 제한 시간 내에
비밀번호를 입력하지 못했을 경우 해당 비밀번호는 무용지물이 되어버린다.
게다가 핸드폰을 분실했을 시에도 린OTP에 계정 정보가 노출되지 않기 때문에
계정명과 그 계정의 린OTP가 있는 핸드폰 두 가지를 충족시키지 못하면
계정 도용 자체가 불가능하다는 것이다.



현재 홈페이지를 통하여 린OTP 시스템의 테스터를 모집 중이며
테스터 기간을 거쳐 12월 28일 경을 전후 하여
리니지의 전 유저들이 린OTP를 사용할 수 있도록 준비하겠다는 내용이다.







먼저 지난 여름 인터뷰시에도 밝혔듯이 개인 보안 솔루션을 마련하겠다는
게임사측의 약속은 린OTP의 도입으로 이행이 된 것을 판단된다.



일단 린OTP는 근래에 온라인 게임계에서는 상당히 보기 드문 개인 보안 솔루션으로 보아지며
또한 린OTP의 도입이 늦어지게 된 이유는 보다 강력한 보안 시스템을
구현하고자 하는 과정에서 발생된 것이라 관계자가 밝히기도 했다.


이러한 부분들로 유추해보았을 때 게임사에서 유저들의 개인 정보 보안을 위한
지속적인 고민이 이루어졌고 그로 인한 노력이 계속되었음은 린OTP의 등장으로
어느 정도 설득력을 얻을 것으로 보아진다.



이제 가장 관건이 되는 것은 과연 얼마나 되는 유저들이 실질적으로 린OTP를 이용하여
계정 도용 예방을 하는가인데...이는 게임사의 지속적인 홍보와 유저들을 이해시키는 과정이
선행되야 보다 좋은 결과를 얻을 수 있을 것이라 보며, 유저들 역시 자신의 계정을
스스로 지키려는 인식이 필요할 것이라 보아진다.


현재 홈페이지에서 테스터를 모집중이라하고 이 테스트 기간을 거쳐
곧 리니지 유저들이 직접적으로 린OTP를 이용할 수 있을 것이라 하니,
앞으로 유저들이 린OTP를 얼마나 이용할 것인지 이로 인한 계정 도용 예방이
어느 정도의 실효를 거둘 것인지는 지속적으로 지켜보아야 할 듯 싶다.