전에 완미세계에서 해킹 피해가 많이 발생했던 1월달에 완미세계 인벤에 해킹에 관련된 기사를 올린 적이 있었고, 뒤이어 내용을 보강하여 인벤 웹진에도 올린 바가 있습니다.
이 두 기사에서 가장 첫머리에 썼던 것은 해킹과 계정도용의 의미 차이에 대한 것이었습니다. 그 기사에서 '사건이 일어났을 때 게임 관련 매체나 커뮤니티에서 해킹으로 표기를 할 경우, 게임을 잘 모르는 일간지 및 IT 관련 매체들은 (게임 매체와 커뮤니티를 참고해서) 해킹으로 표기를 하게 될 가능성이 더 높아지고, 결과적으로 게임을 잘 모르는 비게이머들에게 게임에 대한 안좋은 인식을 심어주게 될 가능성이 더 높다는 것이다' 라는 표현을 쓴 일이 있었는데, 이번 J 일보의 기사에 어울리는 케이스로 보여집니다.
유저의 입장에서는 해킹으로 표현을 해도 무방합니다. 내 계정이 해킹을 당한 것이니까요. 그런데, 이것이 게임사의 입장에서는 해킹이 아니라 계정도용이 됩니다. 왜냐하면 게임사의 서버가 뚫린 것이 아니니까요. 즉, 유저들의 계정에 제 3자가 접속해서 아이템과 게임머니를 털어간 사건은 서버와 시스템에 대한 해킹이 아니라, 유저의 계정이 해킹당한 (혹은 도용당한) 사건이라는 뜻입니다.
일단 J 일보의 '해킹에 뚫렸다 'IT 코리아' 맞나' 라는 기사에는 다음과 같은 구절이 있습니다.
... 실제로 최근 해킹 피해 사례를 보면 'IT 강국 코리아'라는 말이 무색할 지경이다. 올해 초 불거진 옥션 사이트에 대한 해킹 이후 국내 2위의 인터넷 검색 사이트 '다음', 국내 최대의 증권사 '미래에셋', 블리자드의 '월드오브워크래프트(WOW), 예당온라인의 '프리스톤테일2' 등 접속자가 수십만명에 이르는 유명 온라인 게임들도 줄줄이 해킹을 당하고 있다...
해당 게임의 홈페이지와 인벤의 게시판을 보니, 이 기사를 근거로 WoW 와 프리스톤테일2 가 해킹을 당했다 라고 말하면서, 해당 게임의 서버가 뚫린 것으로 간주되는 글들이 여럿 눈에 띄었습니다. 두 게임사를 일방적으로 옹호하기 위함이 아니라, 신문 기사에 나온 해당 문구의 정확한 의미를 설명하고자 함입니다.
'해킹을 당하고 있다' 라는 문장의 실제 의미는 그 앞에 어떤 단어가 생략되어 있느냐에 따라 달라집니다. 대부분의 신문들이 'A 게임이 해킹을 당했다' 라고 표현을 합니다. 그런 면에서 옥션, 와우, 프테2 등을 모두 묶어서 한꺼번에 해킹이라고 표현을 합니다.
하지만, 같은 해킹이라는 말을 써도 의미는 매우 달라집니다. 즉,
1) A 게임 (서버가) 해킹을 당했다
2) A 게임 (게이머들의 계정이) 해킹을 당했다
1번의 경우 게임서버가 통째로 뚫려 그 안에 있던 정보가 해커의 손에 넘어간 거죠. 옥션과 같은 경우입니다. 물론 비밀번호의 경우 요즘은 대부분 암호화가 되어 있어 회원정보 DB 에 해커가 접근해서 정보를 복사해가더라도, 개인정보를 가져가지 직접적으로 비밀번호를 가져가진 못할 것입니다. 저도 옥션에 가서 확인해보니, 아이디, 이름, 주민등록번호, 이메일, 집주소, 핸드폰번호 등이 유출되었다고 하더군요. 이 정보를 손에 넣은 누군가가 다양한 식을 조합해서 비번을 알아낼 수 있을지도 모르겠습니다.
문제는 2번의 경우입니다. 보통 신문에서는 'A 게임이 해킹으로 몸살을 앓고 있다', 'A 게임 해킹 사태 문제' 이런 형태로 기사가 나오는 경우가 대부분입니다.
그런데 정확히 말하면, 신문에서 'A 게임이 해킹을 당했다' 라는 의미는 그 게임을 하는 유저들 중 많은 사람의 계정이 해킹으로 인한 피해를 보고 있다는 사태를 설명하는 것일 뿐, 해당 게임의 서버 자체가 뚫렸다는 의미는 아닙니다.
보통 신문 기자들이 기사를 쓸 때, 서버가 뚫렸느냐, 아니면 유저의 계정이 해킹 피해를 입었느냐를 구분하지 않고 둘 다 해킹은 해킹이니 표현을 그리 하지만, 실제로 이것이 주는 의미 차이는 엄청납니다. 옥션처럼 서버 자체가 뚫려서 유출된 것이라면 완전 복구는 물론이고 피해보상까지 해주어야 하지만, 서버가 뚫린 것이 아니라 유저의 계정이 해킹당한 (도용당한) 것이라면 이것은 금전적 피해보상이 아닌, 게임 내 캐릭터의 복구나 아이템 회수의 차원에서 마무리되는 것입니다.
신문 기자야 옥션도 해킹당했고 또 유명 게임들도 해킹해킹 하며 글들이 많이 올라오니, A 게임 해킹 이라고 간단히 몇글자 써버릴 수도 있지만, 이렇게 조사 하나, 단어 하나가 줄 수 있는 엄청난 의미의 차이, 즉 '서버가 해킹 당한 거냐, 서버가 뚫린 것은 아니지만 다수 유저의 계정이 해킹당한 (도용당한) 거냐' 하는 부분을 간과한 것입니다.
제가 J 일보의 기사 내용을 파악해보자면 정확한 의미는 이렇습니다. '옥션에서 다량의 개인정보가 유출되었고, 이 정보를 입수한 해커가 이 정보를 기반으로 다수 온라인 게임 계정들에 대한 아이디/비번 확보 작업을 하고 있고, 이 과정에서 많은 게이머들의 아이디/비번이 해커에게 알려져서 해킹 피해를 입었다' 라는 것입니다.
과거 리니지에서 인챈트 해킹이라 하여 해킹 피해가 극심할 때도 신문에서 리니지 해킹 등의 표현이 많이 쓰였던 것으로 기억합니다. 그러나 리니지 역시 리니지의 회원정보 DB 서버 자체가 뚫린 것은 아니었습니다. 과거 리니지의 인챈트 해킹이나 현재 와우의 해킹 사태나 둘다 다를 바 없는 동일한 사건입니다.
이런 사건에는 (옥션 등에서 유출된 개인정보 뿐만 아니라) 비밀번호를 빼가는 악성 프로그램도 큰 역할을 담당합니다. 블리자드 코리아의 공지를 보니 보통 많이 쓰이는 백신으로는 안잡히고 전문가에게 의뢰하여 다양하게 검색해보니 그제서야 20개 가량의 새로운 악성 코드 잡혔다고 합니다.
이런 비밀번호를 빼내는 악성 코드는 백신으로 찾기 매우 어렵습니다. 왜냐하면, 범용 백신에 안걸리도록 프로그램을 제작하기 때문이고, 피해가 발생하기 전까지는 악성 코드의 존재 자체를 인지하지 못합니다. 이번에 블코에서 20개 가량의 새로운 악성코드를 발견했다고 하니, 이것을 백신회사에 제공하고 백신회사에서는 이제서야 업데이트에 들어가겠죠. 그런데 백신회사에서 업데이트를 할 동안, 이 악성코드를 만든 해커는 새로운 악성 코드를 만들어 또다시 배포할 것입니다. 그러니 백신 프로그램으로 못잡는 것이 당연합니다.
그리고 옥션에서 유출된, 혹은 그간에 떠돌던 이름과 주민등록번호로 지속적으로 시도를 하는 것입니다. 다양한 비번 조합을 만들어서 될 때까지 시도하는 것인데, 이건 프로그램이 자동으로 수행을 해주니 초당 몇천, 몇만건의 조합시도가 이루어지고 해커 입장에서야 느긋하게 컴퓨터 앞에서 기다리면 하나하나 비번을 찾아내는 것들이 나올 것입니다. 대부분의 사이트들은 이름과 민번으로 아이디를 알 수 있도록 하고 있어서, 아이디는 쉽게 알아낼 수 있고, 아이디를 알아내면 이제 프로그램을 돌려 맞는 비번이 나올 때까지 하는 것입니다. 인벤도 어제 공지를 올린 바와 같이 이것을 우려하여 아이디/비번찾기 기능을 중지시켰습니다.
기자가 보기에는 게이머도, 게임사도 둘다 피해자입니다. 정작 가해자는 이미 현금화시켜서 튀었고, 어디선가 그 돈으로 유흥을 즐기고 있을 것입니다. 물론 내일의 유흥비를 위해 지금도 무수히 많은 게임들의 계정 아이디와 비번을 알아내려고 악성 프로그램과 비번 찾기 프로그램을 뿌리고 있겠지요.
그런데 가해자라는 존재 자체가 눈에 보이지 않으니, 게이머야 어쨌든 내 계정을 관리하는 그리고 내가 돈을 냈던 게임사에 대고 이야기를 할 수 밖에 없는 구조입니다. 보상이든 복구든 게임사가 해줄 수 밖에 없으니까요. 게이머는 그간 키웠던 캐릭터와 게임머니, 아이템을 잃게 되니 당연히 피해자이고, 게임사는 이로 인해 여론 악화, 신뢰 저하는 물론이고 게이머들이 게임을 접음에 따른 매출액 저하라는 피해를 입게 됩니다.
몇년 전에 몇몇 게임사의 서버가 뚫렸다는 소문도 들은 적이 있고, 또 근자에 거론되는 몇몇 게임사들의 서버가 실제로 안전한지는 제가 백프로 확인을 할 수 없습니다. 하지만 그간 있었던 많은 사건을 보았을 때는, 서버 자체가 뚫렸다기 보다는 비밀번호를 빼가는 키로그 프로그램이나 악성 코드들, 그리고 (옥션 같은 곳에서) 유출된 개인정보를 통한 아이디/비번 찾기 시도로 인해 게이머들이 피해를 입었을 가능성이 매우 높습니다. 하도 해킹, 해킹 하니까 신문 기사에서는 그냥 묶어서 해킹으로 이야기한 것으로 판단됩니다.
이런 사태는 일방적으로 게임사에 혹은 게이머에게 책임을 물을 수 있는 것도 아닙니다. 구조적으로 백신으로 잡을 수 없는 프로그램을 알아서 개인이 주의할 수 있는 것도 아니요, 이미 기 유출된 개인정보를 개인이 알아서 삭제할 수 있는 것도 아니요, 그렇다고 게임사가 그 게임을 플레이하는 모든 게이머들의 PC 를 일일이 보안체크해줄 수 있는 것도 아닙니다.
게임 판타지 소설의 무대는 보통 완벽한 가상 현실 게임입니다. 그런 게임에 접속하기 위한 캡슐이나 헬멧 (영화 아발론에 나오는 것처럼) 이 있는 것이 아니라면 어쩔 수 없이 현재와 같은 로그인 방식을 채택할 수 밖에 없습니다. 기술이 발전되면 홍채 검사나 지문 검사를 통해 본인을 확인할 수 있겠지만, 그렇게까지 되는데에도 시간이 꽤 걸릴 것입니다. (문득 그렇게 되었을 경우, 일개 게임사, 일개 회사가 다수 국민의 지문정보, 홍채정보를 보유할 수 있느냐 하는 것도 사회적 문제가 되겠다는 생각이 들기도 합니다)
현재에 알려진 해결책은 두개 정도 있습니다. 하나는 공인인증서이고, 또 하나는 OTP 입니다. 접속할 때마다 공인인증서 확인 후 접속하거나 혹은 OTP 로 넘버를 부여받아 접속하는 것입니다. 한때 해킹으로 몸살을 앓아서 NHN 이나 한게임 서버 뚫린 것 아니냐 하는 말을 들었던 R2 도 OTP 를 도입한 후 해킹이 전혀 이슈화되지 않고 있습니다.
프리스톤테일2 에서는 18일부로 OTP를 도입했더군요. 리니지는 하도 이런 사태를 많이 겪어서인지 예전에 도입했습니다. 이 외에도 리니지는 PC 등록제라 하여 지정한 PC 에서만 접속이 가능하도록 하는 제도도 있습니다. 특정 PC 를 지정하기 위해서는 공인인증서가 필요하지요.
아직 WoW 는 이 시스템이 도입되지 않은 듯 한데, WoW 뿐만 아니라 다수의 게임들이 이런 안전장치를 오픈베타 시기부터 필수적으로 도입해야 할 것으로 보입니다. 결국 이런 해킹 사태의 와중에 OTP 업체만 상당한 수익을 보는 결과를 가져오게 되는 것 같은데, 현재의 기술로는 접속시에 OTP 나 공인인증서를 사용토록 하는 것 외에 별다른 대안이 없습니다.
결론을 내려보자면, J 일보의 해당 기사 문구가 말하는 바는 그 게임들에 (유저들의 계정 다수가 도용당하는) 해킹 피해가 일어나고 있다는 것이지, 해당 게임의 서버 자체가 뚫렸다는 의미는 아니라는 것 하나하고, 현재 시점에서 근본적으로 해킹 피해를 대폭 줄일 수 있는 공인인증서나 OTP 시스템을 와우뿐만 아니라 다수의 게임들이 도입해야 한다는 것입니다.
이제는 게임 업계가 해킹을 대비하여 오픈베타 시작 시기부터 공인인증서나 OTP 같은 것을 준비해야 하는 시기가 되었습니다. 이름과 민번이 아닌 새로운 획기적 로그인 시스템이 쉽게 나오지는 않을 것이고, 이미 유출된 개인정보(이름, 민번 등)를 다시 빼앗아오는 방법은 없을 테니까요.
Inven LuPin - 서명종 기자
(lupin@inven.co.kr)
desk@inven.co.kr