Loading

[최상단 공지사항]
※view 버튼과 제목 옆 +1 버튼을 눌러주시면...제 기분이 좋아집니다(-_-;) 많이 눌러주세요.

MapleStory/├ EXTRA PRESS 2012.03.15 01:51

최근 메이플스토리의 보안강화책을 정리해보자

주의 : 상당수가 글쓴이의 추측으로 이루어져 있습니다.


2012.03.22 - 테섭 로그인창에 넥슨 아이디가 추가되었습니다. 뭔가 아래에서 말한 계획이 진행된다는 느낌.

2012.03.15 - 최초작성



적고 나면 별거 아닌 이야기인데, 왠지 적어두어야 할 것 같아서 적어본다.

저번 달인 2012년 2월 뉴스클립을 보시면 굉장히 신경쓰이는 공지가 있다. 하나는 2차 비밀번호를 의무화하겠다는 것이고, 또 다른 하나는 메이플 자체 서비스인 U-OTP를 넥슨 서비스로 옮긴다는 내용.



그냥 떼어놓고 보면 저번 11월 병크짓을 땜질하기 위한 대책 정도로 보인다. 하지만 이걸 단순한 보안 강화라고 보아도 될까. 나는 여기에 한 가지 '공지에 적혀있지 않은' 밑밥을 깔아보고자 한다. 그러기 위해서는 기사가 필요하다.


"지금도 죄송할 따름입니다. 그런 일이 다시는 일어나지 않을 겁니다. 보안 투자를 지속적으로 늘리고 있어요. 통합멤버십을 도입하고 주민등록번호를 폐기하는 등 추가 대책을 확정할 때마다 발표하겠습니다."

서민 넥슨 사장 "새 플랫폼 개발에 집중…올해 모바일 게임 30개 내놓겠다" - 한국경제

넥슨이 `삼국지를 품다` `배틀스타:리로드` 등 서비스를 앞둔 신작 테스트를 시작했다. 지난해 12월 일본 상장과 해킹 사고 이후 잠잠했던 게임 사업 전반에 `스타 개발자`가 진두 지휘하는 신작 게임을 앞세우며 시동을 걸었다.여기에 `메이플스토리` `카트라이더` `던전앤파이터` 등 자사의 인기 게임 IP(Intellectual Property)를 활용한 다양한 콘솔·스마트폰 게임 출시로 멀티플랫폼 사업을 강화했다. 6월 전에 넥슨닷컴 통합 멤버십 오픈 계획 윤곽도 드러날 예정이다. 지난해 숙원인 1조원 매출을 달성한만큼 신규 매출원 확보를 위해 본사에서 자회사까지 사업 전반에 적극 나서기로 했다.

넥슨, 스타 개발자와 신작게임 '기선잡기' - 전자신문


그렇다. 통합 멤버십.

저번 1320만 유저 정보가 털리는 기적과도 같은 병크짓을 저지르고 난 뒤 열린 간담회에서 넥슨은 '넥슨 통합 멤버십' 체계를 올해(2012년) 2분기까지 완료하겠다고 한 바가 있다(플레이포럼 기사). 이게 지금 진행중이라면 메이플에도 변화가 있어야 할 터. 왜? 메이플스토리는 넥슨 아이디로 로그인하지 않고 자체 아이디를 쓰는 게임이기 때문이다.

따라서 저번 달(2012년 2월)의 공지들은 이 '통합 멤버십 체계 구축'을 위한 밑밥 작업이라고 보아야 할 것이다. 이에 맞춰서 각각의 공지를 해석해보면


ㄱ. 2차 비밀번호 의무화

2011년 11월 셧다운제 시행시 문제가 되었던 사항이 '넥탈계정'의 셧다운 문제였다. 넥탈 계정이라도 캐릭터 삭제나 창고 이용시 '주민등록번호'를 사용하니까 나이 식별이 가능할텐데 왜 넥탈계정을 전부 셧다운시키냐는 것이 그 당시의 주장.

이게 맞는 말인지 틀린 말인지 따지려는 것은 아니다. 넥슨 통합 멤버십의 주 목적은 흩어져 있는 계정 정보를 한군데 모아서 저장하며, 이와 별개로 저장된 개인정보는 폐기하겠다는 것이다. 그래서 통합 멤버십 체계 구축이 보안 강화와 연결된다는 것이고. 통합 멤버십 구축이 되면 주민등록번호 등 개인정보는 제3의 기관에서 관리하는 것이니 게임사 입장에서는 보안상/관리상 이득을 보고 유저는 해당 사이트가 털려도 아이디 암호 외의 핵심적인 개인정보 유출을 막을 수 있다.

여기서 '기존 정보의 폐기'에 주목하자. 작년 넥슨의 답변에 의하면 게임상에서 비밀번호 대신 입력하는 주민등록번호 끝자리는 암호로의 역할을 할 뿐 개인식별의 기능을 가질수 없다고 했다. 하지만 이것이 '개인정보'에서 유래된 거라면 폐기가 되어야 마땅하다.

그렇기 때문에, 넥슨 통합멤버쉽 전환 전 기존 정보의 폐기가 용이하도록 모든 유저에게 2차 비밀번호를 의무화한 것으로 해석할 수 있다. 갑자기 메이플스토리 서버 내에서 '주민등록번호 뒷자리'를 삭제하면 기존에 암호를 사용하거나 하는 사람이 혼란을 겪을 수 있기 때문. --- 바꿔 말하면, 모든 사람이 2차 비밀번호만을 사용하면 기존의 '주민등록번호 뒷자리'를 폐기하기가 좀더 수월해진다.


ㄴ. U-OTP 서비스를 넥슨 계정 단위로 전환

이 역시 겉으로만 보면 '왜 이러는지 모르겠'지만, 넥슨 통합 멤버십이라는 단어와 연결하면 넥슨의 의도를 이해할 수 있을 것이다.

넥슨 통합 멤버십을 구축한다면 기존의 메이플스토리 계정(아이디)는 어떻게 될까? 쓰지 않으니 폐기해버릴 가능성이 높다. 이때 '메이플 계정과 넥슨 계정을 동시에 사용한다'는 생각도 해봄직하지만, 그건 통합 멤버십의 취지와도 맞지 않고 더 복잡한 작업을 필요로 한다.(이게 쉬운 작업이라면 벌써 이렇게 했을 것이다)

그렇기 때문에 1) 메이플스토리 계정과 직접 연결되는 서비스를 전부 넥슨 계정과 연결되도록 전환한다 2) 메이플스토리를 넥슨 아이디로 접속하도록 바꾼다 3) 기존 메이플 계정정보를 폐기한다 - 쪽이 더 설득력있는 시나리오다.

이 중에서 1) 에 해당하는 대표적인 서비스가 OTP 서비스. 극단적으로 말해서, OTP를 넥슨 계정으로 전환하지 않고 바로 넥슨 통합 멤버십으로 전환한다면, 넥탈 계정은 아무 예고도 없이 OTP가 해제되어 버릴 것이다. 따라서 시행 몇 달 전(으로 추측되는) OTP를 바꿀 기회를 주는 것.



여기까지의 요약


1. 넥슨 통합 멤버십 정책은 단순히 '계정을 합친다'가 아니다. '합친 계정에서 벗어나는 별개의 개인정보를 폐기'하는 것에 포인트를 두자.

2. 넥슨 통합 멤버십 시스템을 구축하고 메이플 전용 로그인 계정(아이디)을 폐기하기 위해서는? 기존 메이플 계정과 직접적으로 연결되는 서비스를 넥슨과 연결되도록 전환할 필요가 있다. 따라서 이에 걸리는 'U-OTP 서비스'를 메이플 자체계정 기준이 아닌 넥슨 계정 기준으로 전환시킨 것.

3. 한편, 통합 멤버십 시스템이 구축되면 기존 개인정보는 폐기해야 한다. 이 중에서 대표적인 것이 '창고 이용'이나 캐릭터 삭제'에 쓰이는 주민등록번호 뒷자리. 암호의 역할만을 할 뿐이라고는 하지만 어쩄거나 개인정보의 일종이므로 언젠가는 폐기해야 할 개인정보. 2차 비밀번호 의무화는 이 기존 개인정보 폐기를 수월하게 진행하기 위한 사전작업이다.


그러니까, 단순히 보안을 강화하겠다는 목적이 아니라 모든 유저가 '넥슨 아이디만' 쓰도록 바꾸는 것진짜 목적이고 2차 비밀번호니 OTP 전환이니 하는건 다 이 진짜 목적을 위한 사전작업이다.


그럼 이 '넥슨 통합 멤버십 시스템'이 구축되면 가장 크게 변하는 점은? 여러 가지 답이 나올 수 있겠지만 가장 큰 변화는 아마 이것이 아닐까↓


모든 계정이 넥슨 계정으로 로그인하게 된다면
따라서, 메이플스토리 로그인용 계정이라는 개념이 필요없어진다면

'자체 계정만 있고 넥슨 계정은 없는'
'넥탈 계정'이라는 개념도 완전히 사라진다.


[팬nty와 스toc키ng with 가rter베lt 04_20101024_052337]

Q. 헐 넥탈계정 이제 못 만듦? / A. 그럴지도?


아까 잠깐 말했지만, 조금 다른 상황이 발생하지도 모르겠다. 메이플스토리 로그인 계정과 넥슨 계정을 동시에 이용하는 경우가 발생할 지도 모른다. 하지만 이렇게 만들 거면 뭐하러 회사 돈 들여가면서 넥슨 통합 멤버십을 구축하겠는가? 또 둘다 로그인되기 만들거면 OTP는 뭐하러 전환시키는 걸까? 이건 생각해봄직한 이야기지만 진짜 이렇게 될 가능성은 매우 낮다. 가장 쉽게 예측할 수 있는 건 메이플스토리 로그인 계정이 전부 넥슨 계정으로 전환되고 기존 메이플스토리 계정을 버리는 것이다.


요 시나리오대로라면 넥슨이 생각하는 결과도 명백하다. 모든 작업이 끝나면 메이플스토리는 메이플스토리 자체 로그인 아이디가 아니라 '넥슨 아이디'로 로그인해서 게임을 시작한다. 메이플스토리 독자적으로 사용하는 개인정보/서비스는 넥슨 계정으로 전환시키고 그래도 남는 개인정보는 전량 폐기한다.

이렇게 하면 자체 계정이 사라지기 때문에 관리가 좀더 수월해지는 효과가 있을 것이다. 또 모든 계정이 넥슨 아이디를 써야 하기 떄문에 '넥탈계정'이라는 골치 아픈 문제를 더 이상 신경쓰지 않아도 된다.넥탈계정인데 이거 왜 안되요? 하는 질문도 사라질 것이고 앞서 잠시 언급했던 셧다운제 문제도 핵심은 '넥탈 계정을 어떻게 하냐'인데 모두가 넥슨 아이디를 쓴다면 이런 문제는 깨끗하게 해결된다.

개인정보가 일원화되기 떄문에 관리가 쉬워지고 최근 급변하는 정부 규제책에 대응하기도 쉬워진다. 주민등록번호 같은 개인정보는 제 3의 관리기관(예를 들면 신용정보회사)으로 맡도록 하면 되니까 보안 사고에 대한 부담을 덜 수 있다.


이러한 장점이 있기 때문에 '넥탈계정'을 가진 사람이 뭐라뭐라 반발을 하더라도, 그에 따른 다소간의 손해가 있더라도 - 아마 넥슨은 이 '넥슨 통합 멤버십'을 2분기 안에(=6월까지) 끝내기 위해 밀어붙일 가능성이 매우 높다 하겠다.


개인적으로 아쉬운 점은 2가지다.


첫번째는 왜 이걸 일찍 안 했냐는 것.

지금 이렇게 추진하는 걸 보면 절대 '못' 하는것이 아니다. 그렇다면 분명 더 빨리 할 수도 있었을 것이다. 그렇다면 1320만명 분의 '메이플 계정'이 털릴 일도 없었을 것이요, 수많은 넥탈 계정 문제에서도 자유로울 수 있었을 것이다.

넥슨은 분명 '무슨 무슨 사정이 있었으니까' 라고 하지만 유저는 그럴걸 납득할 정도로 똑똑하지 않고 이해할 필요도 없다. 이건 누가 봐도 전형적인 '소잃고 외양간 고치는' 정책이니까. 이해를 하더라도 아쉬운 마음을 숨길 수 없다.

여기에 덧붙이자. 저번 11월 기자회견 당시, 메이플스토리 개인정보 유출 사태에 대한 대책은 '경찰 수사가 나오고' 발표하겠다고 했다. 하지만, 그 이후 100일이 넘는 시간동안 조사 결과는 나오고 있지 않다. 여기에 넥슨의 입김이 들어갔다고 하면 괴담에 지나지 않을 것이다.

하지만 이 정도로 긴 시간이 지났다면 경찰의 수사와 관계없이 뭔가를 내놓아야 할 시점이 아닐까? 어떤 해결책을 내놓아도 욕을 먹는건 피할 수 없겠지만, 그렇다고 해서 이렇게 질질 끌고 사람들이 잊어버리기를 바라는 것도 상 병크 짓이다. 이건 언제 하나?


두번째는, 통합 멤버십이후에도 넥슨의 보안 상태를 믿기 힘들다는 것.

멀리 갈 것도 없다. 며칠 전(3월 13일) 일부 OTP에서 약 2시간동안 오류가 발생했다. 오류가 난 계정은 아무 숫자나 치면 로그인이 되는 황당한 현상이 벌어졌다. 누가 진짜 제대로 마음먹었다면 지난 11월 개인정보 유출에 못지 않은 대형 사고가 될 뻔 했다.

이런 넥슨을 믿을 수 있는가? 메이플스토리 개인정보 유출 사태같은 대형 사고가 넥슨 계정 차원에서 터지지 않는다는 보장이 있는가? '절대 안터질 겁니다'라고 넥슨이 말한다면 우리는 그 말을 쉽사리 믿을 수 있을까?

결국 신뢰와 소통의 문제다. 넥슨이 우리에게 뭔가를 믿어달라고 말하기엔, 넥슨은 신뢰를 잃을만한 일을 너무 많이 벌였다. 각종 사행성 아이템, PC방 정책, 11월 개인정보 유출 등등. 통합 멤버십으로 넥슨의 신뢰성은 다시 회복될 수 있을까? 이건 두고볼 일이다.




-mazefind (넥홈미투 / 트윗 / 페북 / 구플 / 요즘)
* 제 글은 퍼갈 수 있습니다. 단, 출처를 인터넷 주소(maplestory.pe.kr)로 남겨주세요.

저작자 표시 비영리
신고
comments powered by Disqus