지난 11월 중순, 해킹을 막기 위해 도입한 보안카드에서 한게임 로그인을 3회 틀렸을 경우
보안카드 설정이 초기화되는 오류가 알려져 화제가 된 적이 있다.

보안카드 초기화 문제가 알려지고 해당부분이 수정되긴 했지만
이미 개인정보가 유출되었는데 보안카드만을 믿고 있다가 피해를 본 유저들 중에는
OTP 를 사용할 수 없는 기종의 핸드폰을 가지고 있는 사람도 많아서 아쉬움을 샀다.


그러나 보안카드는 내용물이 이메일로 전송되는 속성상
이미 개인 컴퓨터가 개인정보 유출에 노출되어있는 경우에는 안전을 보장받기 어렵다.
그래서 많은 유저들은 OTP를 사용하고 또 추천한다.


그런데 OTP 도 100% 안전하지 않다면?
메테오스 서버에서 12월 들어 두 번의 해킹을 당했다는 로체 유저의 이야기다.


평소 PC방에서 게임을 즐기는 로체 유저가 처음 해킹을 당한 것은 12월 초순으로
+5 쌍칼, +4 미늘갑옷, +2 사슬세트 등 아이템 전부가 사라졌다.
이에 1:1 문의를 했으나 평소 이용하는 IP와 동일한 IP에서 접속했다는 것을 이유로
운영팀은 해킹이 아니라는 답변을 하였고 이에 재문의를 하였으나 같은 답변 이상을 들을 수는 없었다.

이미 OTP 를 사용하고 있었는데도 이런 일이 발생한 것에 대해
여러 번 문의를 하다, 일단은 포기하고 다시 장비를 마련해 게임을 하게 되었는데

12월 25일 자신의 캐릭터가 모두 옷을 벗고 있더라는 친분 있는 유저의 전화 연락을 받고
동생에게 OTP 비밀번호를 불러주며 접속해서 확인해보도록 일렀고, 동생이 접속해서
첫번째 해킹 이후 힘겹게 복구했던 +6 쌍칼, +2 사슬갑옷, +3 사슬셋 등이 사라진 것을 확인했다.

OTP를 사용하고 있음에도 해킹이 된 것에 기존 OTP를 해지하고
새롭게 OTP 를 설정하려고 해보다가, OTP 가 벌써 해지된 상태라는 것을 알게 되었다.

조금 전까지 OTP 로 접속하였던 게 이상하다 싶어
OTP 비밀번호를 입력하지 않고 접속, OTP 비밀번호를 입력하고 접속,
OTP 비밀번호를 틀리게 입력하고 접속해보았는데 모든 경우에 가능했다고 한다.




▲ 이미 해지된 것을 모르고 해지하기를 눌렀더니 이렇게 나왔다고 한다.


1:1 문의로 해결을 볼 수 없다고 판단해 직접 게임사에 찾아간 로체 유저는

1. 핸드폰을 빌려준 적이 없으므로 한게임 개인정보 외에 다른 개인정보,
신용카드나 공인인증서, 본인증명서류 등이 유출되었는지 확인하기 위해 OTP 가 해지된 경위.

2. 이미 1차 해킹 이전부터 해지되어있었던 것으로 추론이 가능한데
1차 해킹 때 사실을 고지하지 않았던 점과, 그 후 OTP 해지상태에서 OTP 비밀번호를 입력하여
접속하였을 때 아무런 경고문구 (OTP 이용자가 아닙니다) 가 없었던 것에 대한 게임사의 책임.

3. 해지사실을 모른 상태에서의 해킹이라면 100% 안전을 보장한 것에
일정 부분의 책임이 있으므로 아이템의 복구 가능 여부에 대해 문의하였고,

이에 대해 게임사는

'해지된 경위는 OTP 가 외부업체를 이용한 것이므로 게임사에서 확인할 수 없다',
그리고 (1차 해킹 때와는 달리, IP 도 달라) 해킹인 것은 인정했지만 '해킹된 아이템이
인챈트로 인해 사라지거나 상점에 판매된 것은 복구할 수 없다'는 답변 뿐이었다고 한다.



▲ 해킹으로부터의 100% 안전보장...



- OTP 의 해지과정


하지만 해커가 OTP 를 해지하기로 마음먹었다고 하더라도 그리 쉬워보이지는 않는다.
OTP 를 해지하는 방법은 세 가지가 있는데 핸드폰을 이용해 OTP 비밀번호를 입력하는 방법,

또는 공인인증서나 신용카드 정보로 해지할 수 있지만,

공인인증서는 공인인증서가 저장된 매체 (휴대용 USB 드라이브나 하드드라이브) 와
연결되어 있어야 하고 따로 비밀번호도 알아야 하므로 해킹은 어렵다.

신용카드의 경우도 카드 번호와 유효기간, 비밀번호의 앞자리 2자리를 요구하고
비밀번호가 3회 이상 틀리면 카드 자체가 막히게 되어있다.

마지막으로 팩스(FAX 031-789-4801)로 본인 확인이 가능한 서류(주민등록증, 주민등록 사본,
의료보험증, 운전면허증, 여권 사본 중 택1)를 보내 해지할 수도 있다.



▲ OTP 해지는 쉽게 해킹당하기는 어려워보이는데.


이미 두 차례에 걸친 해킹을 경험한 로체 유저는 OTP 를 사용하더라도
세 번째 해킹을 당할 수 있다는 생각에 OTP 가 해지된 경로에 대해서도 물어보았지만
'OTP 는 별도로 운영되기 때문에 알려줄 수 없다'는 대답을 받았다고 한다.


기자가 OTP 서비스를 제공하고 있는 이니텍(주)와의 전화통화로 확인한 바에 따르면

법적으로 신용카드 해지 내용 등의 정보를 기록으로 남겨둘 수 없기 때문에
이니틱(주) 사에 정식으로 요청을 하면 따로 카드사 등을 통해서 해지기록을 조회할 수는 있지만,
일반적으로는 게임사는 OTP의 가입/해지 상태나 상태변경 날짜 등만 확인할 수 있다고 한다.


이 사건에 대해 게임사에 문의해본 결과 이번 사건의 경우는
'25일 사건 발생 당일 신용카드 정보를 이용한 방법으로 OTP가 해지되었다'는 답변을 받을 수 있었는데
본인이 해지한 것이 아니라는 주장대로라면, 신용카드 정보를 빼낼 수 있는 키보드 해킹이 의심된다.



- OTP 해지의 고지


OTP 해지 과정이나 해지 후, OTP 가 해지된 사실을 알려주는 지 확인해보았는데
해지과정에서 해지 결과를 문자메세지로 보내준다거나 하는 등의 고지과정은 없었다.


또 게임에 로그인 할 때 OTP가 해지되었는데도 OTP 비밀번호가 입력되었다.

핸드폰에 남아있는 OTP 프로그램을 이용한 비밀번호 입력으로 정상적으로 로그인 되었음은 물론
이미 OTP 가 해지된 상태이므로 OTP 번호가 틀리거나 입력되지 않은 경우도 로그인 되었다.


☞ R2 OTP 해지하기 페이지 보러가기


OTP 가 해지되거나 애초에 설정되어있지 않은 경우에 OTP 가 설정되어 있지 않다는
메세지가 나오지 않기 때문에, 의도치 않게 OTP 가 해지된 유저들은 아무런 의심없이
평소와 마찬가지로 비밀번호를 입력하고 로그인을 하게 될 수 있는 부분이었다.



▲ OTP에 가입하지 않으셨거나 해지된 상태입니다. 라는 안내문구가 아쉽다.



- 하지만 로체 유저의 경우는 계정도용이라 볼 수 없다는 것이 게임사의 입장이었다.


로체 유저는 이번 사건의 1:1 문의를 통해 아래와 같은 답변을 받았다고 하는데

고객님의 게임정보를 확인해본 결과 아이템 강화로 인해 아이템이 감소한 것이 확인되었습니다.

고객님께서 진행하신 게임 진행 내용에 대해 간략히 안내해 드리도록 하겠습니다.

2006-12-25 오후 1:24:12 게임 접속
2006-12-25 오후 1:42:38 +2 사슬투구 1,700,000 실버 판매
2006-12-25 오후 1:44:26 +5 쌍칼 강화로 손실
2006-12-25 오후 1:46:13 +2 사슬장갑 1,490,000 실버 판매
2006-12-25 오후 1:46:59 +2 사슬갑옷 강화로 손실
2006-12-25 오후 1:50:12 +1 플린드의 망토 395,000 실버 판매
2006-12-25 오후 1:51:49 +2 중형 방패 2,170,000 실버 판매
2006-12-25 오후 1:54:46 +2 사슬장갑 1,650,000 실버 구입
2006-12-25 오후 1:55:34 +2 사슬장갑 강화로 손실
2006-12-25 오후 1:55:40 +3 사슬부츠 강화로 손실

계정도용 피해는 복구가 아닌 회수를 원칙으로 하고 있으며, 회수는 게임 내 아이템이 존재해야 회수가 가능합니다.

하지만 고객님께서 문의 주신 아이템들은 아이템 강화로 인해 감소하였으며, 다른 계정으로 대가 없이 무상이로 이동된 아이템은 확인되지 않았습니다.

모든 서비스는 정확한 게임 진행 내용을 통해 조치가 이루어지며, 위 내용은 계정도용이라 볼 수 없는 점 양해해 주시면 감사하겠습니다.


강화로 인한 손실 및 유상 아이템 교환이었기 때문에 계정도용이라 볼 수 없다는 것이다.
게임사의 설명대로라면 로체 유저가 아이템을 처분하고 거짓으로 해킹신고를 했다는 것인데...

이에 대해 로체 유저는 분명히 계정도용임을 주장하며 이미 사법기관에 신고까지 마쳤다고 강변했다.


이번 해킹 사건이 OTP 자체의 문제로 인한 것인지
신종 키보드 핵으로 해당 유저의 개인정보가 추가로 유출되어서 해지된 탓인지
혹은 게임사의 주장대로 계정도용 자체가 성립되지 않는지는 판단하기 어렵다.


하지만 어떤 경우라도 이미 OTP 가 해지된 상태라는 것을
해당 유저가 알 수 없다면 추가적인 해킹 피해가 발생할 수 있다는 점에서
OTP 가 해지되는 과정과 해지된 이후 사용자가 해지된 사실을 안내받지 못하는 것에는 문제가 있다.


또 게임사에 찾아가기까지 해 상담을 받은 유저에게
OTP 해지 경위와 시간 등을 미리 밝혀주었더라면 불필요한 오해를 덜 수 있었으리라는 아쉬움이 있다.


개인정보 관리의 1차적 책임은 물론 개인 각자에게 있다.
하지만 그렇기 때문에 해킹으로 인한 피해를 전적으로 개인 탓으로 돌리기엔
이미 너무 많은 해킹 사건을 겪었던 R2 이고 R2 유저들이다.

해킹과 관련된 업무의 처리에 많은 유저들이 색안경을 끼고 보게 되기까지 지나온 과정은 다난했다.
다른 부분 보다 해킹에 관련된 상담에 더 많은 배려가 필요한 것은 이 때문이다.


* 취재 과정에서 게임사는 OTP 해지 상태에서도 비밀번호가 입력되어
* 혼동을 주는 부분을 조속히 수정하겠다고 알려왔으며
* 12월 28일 'OTP 사용자가 아닐때, OTP를 입력하면 인증을 할 수 없도록 변경'된다고 한다.


Inven Niimo
(Niimo@inven.co.kr)