저는 보안업계에 종사하고 있는 사람입니다.

길더라도 읽어보세요. 게임 해킹을 보는 시각이 바뀌실 것이라고 생각합니다.



OTP는 안전하지 않습니다.

이 글은 OTP에 대해 지나친 과대 망상을 가지고 계신 분들이 많이 보여서 쓰게 됐습니다.


OTP(One Time Password)는 매 1분마다 난수 생성으로 시간 동기 방식입니다.

해커는 OTP의 '매 1분마다' 라는 특성을 악용해서

여러분의 컴퓨터에 스파이웨어를 설치하고

여러분이 게임 하기를 기다리고

여러분이 로그인에 성공하고 OTP를 입력하려고하면 일반적으로 Network Traffic을 차단시킵니다.

그러면 OTP를 다 입력하고 확인을 눌러도 송신이 안되므로 무응답 상태가 됩니다.

OTP 입력한거 다 보았고 해커가 그다음 1차적으로 하는 일은 OTP를 해지시켜버립니다.

(게임 OTP 해지 방식은 2가지가 있는데 첫번째가 본인 인증방식, 두번째가 현재 OTP 번호 입력방식입니다.)

그러므로 해커들은 두번째 방식을 이용해 OTP를 해지시켜버리고

본인의 핸드폰으로 OTP를 가입하죠(마영전의 경우는 확인 안해봤습니다. 해지방식은 게임사에 따라 차이가 있습니다.)

 

OTP 해지가 안된다면 그냥 곧바로 해커 본인이 그 OTP번호로 로그인 하는 것이죠.

 


게임 접속이 계속 안되고 있는데 사용자가 가만히 있지는 않겠죠.

해커는 이 때 취향에 따라 선택합니다.

어떤 선택을 하냐고요?

여러분이 키고 있는 게임을 꺼버릴지

조금 성격이 앞뒤 생각안하는 악동 싸이코라면 하드 MBR을 파괴시켜버릴지
(진짜 하드 MBR 파괴시키면 부팅안되고요. 저런 짓을 했다는 것은 걸리지 않을 자신 있는 짱깨들일 가능성이 높음)

이런 식으로 어떻게든 여러분이 게임하는 것을 방해 하겠죠.

그리고 여러분은 겨우겨우 되기까지 기다리다가 접속이 되면 기뻐하겠죠

그러나 접속이 된 이유는 해커가 이미 다 정리하고 쓸모가 없어서 놔준 상태라는 것을 곧 깨닫게 됩니다.

그리고 사용자는 기뻐한 만큼 2배로 빡쳐서 경찰서에 달려 갈테지만

십중팔구는 중국입니다. 중국에서 해킹한 경우라면 시간도 엄청 오래걸리고 거의 못잡습니다.

해커들은 거의 이중 삼중 Proxy를 사용하거나 익명성이 더 보장된 Tor를 써서 못잡게 합니다.

그 정도는 기본이거든요. 여러분이 신고해서 해커를 잡았다면 다행히 그 해커가 초짜였던겁니다.

따라서 OTP는 안전하지 않습니다.

가장 안전한 것은 여러분 컴퓨터의 MAC ADDRESS 같은 컴퓨터 고유주소를 등록시키고 비교하는 PC 등록입니다.

PC 등록은 해커가 매우 싫어하는 방식입니다. 제가 해커이니 보장합니다.

사용자 컴퓨터를 Proxy Server로 쓰거나 Tor Server로 쓰더라도 PC 등록 통과가 안됩니다.

또 그런 Server를 쓰려면 사용자 pc가 켜져있고 Network Traffic 또한 정상적이어야 가능하니 사용자도 똑같이 접속할 수 있게 되므로 힘듭니다.


따라서 pc 등록이 그나마 안전하다 할 수 있겠죠.




일단 OTP를 사용하는 것과 사용하지 않는 것은 비교가 되지 않을 정도로 차이납니다.

OTP를 사용하면 거의 해킹당할 일이 없어지는 것은 맞습니다.

그러나 요즘 중국 해커들은 저런 식으로 해킹하는 경우가 많습니다.

왜냐하면 비싼 아이디 일 수록 OTP가 쳐져있기 때문이죠.

힘들게 OTP 뚫고 갔는데 레벨 5짜리고 5금 밖에 없고 이러면 해커가 빡쳐서 여러분 컴퓨터 박살낼지도 몰라욘 ㄷㄷ

그리고... OTP는 재생성 누른다고해서 이전에 OTP 번호가 사라지는 건 아니에요.

1분이 지나지 않는 이상 그 OTP 번호는 사라지지 않습니다~


OTP를 사용해도 안전한 방법은

뭐 그냥 몇십번이고 들어보신 컴퓨터 관리 잘하시면 됩니다.

비밀번호는 다른 사이트와 똑같게 하시면 안되고!

특히나 제 경험상 특정 게임의 프리서버 같은 곳에선 비밀번호를 평소에 쓰던 것과 똑같이 쓰시면 안돼요~~~~

운영자는 그런 개인정보 막 봅니다~~

백신 최신 업데이트 잘하시고!

Windows Update는 귀찮다고 미루거나 아예 꺼버리지 마시고요!

바이러스 검사는 자기 전에 하루에 한 번씩!

PC방에서 게임할 시에는 Process Clean 같은 Process를 정리해주는 프로그램을 사용합니다!

추가로 바이러스 검사까지 해주면 센스만점

아무튼 해킹당하지 맙시다!

 

 

 

 

요약쟁이들을 위해 요약

 

OTP는 안전하지 않다. 한번 로그인 성공한 OTP번호는 사라지는 것이 아니고 지속적으로 유효하다.

 

OTP 제한시간이 초과된다고 해서 그 OTP번호가 사라지는 것도 아니다. 제한시간이 넘어서도 더 오래 지속될 수 있다.

 

가장 중요한 교훈은 스스로 조심해야 한다.

 

 

 

번외편 정보보안전문가가 알려주는 보안 점검법!

스스로 체크해보시길 바랍니다.

 

맞다(3), 조금 맞다(2), 모르겠다(1), 아니다(0)

- 내 비밀번호를 1명 이상 알고 있는가?(가족, 친지 모든 경우 포함)

 

- 내 비밀번호는 특수문자가 2개 이하이다.

 

- 내 비밀번호는 나와 연관된 단어나 숫자가 포함되어 있다.(전화번호,생일,이름,가족이름,핸드폰번호)

 

- 내 비밀번호는 대문자가 없다.

 

- 나는 비밀번호를 변경한 지 한 달이 넘었다.

 

- 내 비밀번호는 타 사이트에도 동일하게 쓰이고 있다.

 

- 보안이 확인 되지 않은 타 컴퓨터에서 로그인 하고 비밀번호를 변경하지 않았다. (PC방, 다른 장소)

 

- 나는 사이트 회사에서 제공하는 로그인 접속 내역을 1주일에 1회 이상 확인하지 않는다.

 

- 나는 보안서비스(OTP, PC 등록, 보안코드 등)를 2개 이상 사용하지 않고 있다.

 

- 내가 로그인하는 PC에는 1주일에 1회 이상 백신으로 전체검사를 실시하지 않는다.

 

Special - 내 비밀번호는 전에 해킹당한 적 있는 비밀번호와 유사하거나 같다. (맞다 30점, 조금 맞다 20점, 아니다 0점)

 

 

24~30점 - 해킹 고위험군

15~23 - 해킹 준위험군

4~14 - 해킹 주의군

0~3 - 정상

 

필자는 0점!

 

 

필자의 추천 비밀번호 예제 : @JU4yZL!xaS&dZP9 (16자, 절대로 막 쓴 것이 아니고 철저한 보안 규칙에 의해 형성된 최적의 비밀번호입니다. 이거를 쓰라는 것이 아니고 이런 형태가 좋다는 뜻이란 것을 명심)

 

 

 

 

 

 

필자가 생각하기에 위와 같은 OTP 취약점을 차단하기 위해서

 

한 번 로그인 성공 후 게임을 실행하여 OTP 입력 창까지 간 계정에 대해서는

 

다른 PC 에서 5분 정도 접속을 못하게 막으면 위와 같은 취약점은 어느 정도 해결 될 것 같지만

 

넥슨에서 해줄 리가 없겠지요. 그냥 스쳐지나간 짧은 생각이었습니다.