*** 3월 29일 20시 내용 일부수정 ***
일단 원문을 읽고 와 주세요. 여기 ↓
'저게 뭔 소리여' 하는 분이 있을 수 있으므로, 제 맘대로 요약을 해 드리겠습니다.
ㄱ)
넥슨에서는 U-otp 인증내역을 공개할 수 없다고 하지만, OTP 서비스 업체(AK솔루션)에 문의한 결과, 인터넷에서 바로 인증내역을 조회할 수 있었음. 넥슨의 OTP 인증내역 거부는 불가피한 이유로 거부한 것이 아니라 아무런 이유 없이 거부하고 있었던 것.
ㄴ)
지난 2012년 3월 14일 발생한 OTP 무효화 오류(약 3시간동안, OTP 입력난에 아무 숫자나 쳐도 뚫려버렸던 오류)에 대해 OTP 서비스 업체는 모르고 있었으며, 업체가 알아본 결과 이는 넥슨의 문제라는 답변이 왔음.
ㄷ)
넥슨에게서 받은 캐릭터 접속 기록
OTP 제공업체 사이트에서 조회한 OTP 인증 기록
일자 |
OTP 인증기록 |
접속자 |
23일 22시 06분 |
O |
본인 |
24일 13시 24분 |
X |
해킹범(추정) |
24일 13시 38분 |
X |
해킹범(추정) |
24일 13시 43분 |
X |
해킹범(추정) |
24일 13시 57분 |
O |
본인 |
위 2개 표를 시간 순서대로 한 것(이것만 보셔도 됩니다)
피해를 본 기획팀님 본인이 접속하지도 않은 시간에 해킹범이 OTP를 걸어둔 3개 계정에 접속해 현금 1천만원 상당의 피해를 입힘. 그런데, 해킹범이 접속했다는 3개의 시간대는 OTP 인증내역이 남아 있지 않았음. 이는 사실상 OTP 보안이 무력화된 채로 해킹을 당했다는 것을 의미함.
ㄹ)
그럼, OTP를 쓰지 않고 접속했을 가능성은? 휴대폰 인증과 범용공인인증서 로그인이 있다. 하지만, 핸드폰 인증을 쓸 경우 문자가 오게 되어 있는데 기획팀님은 문자를 받은 사실이 없었음. 범용 공인인증서의 경우 유료발급인 데다가 본인이 신청한 사실조차 없음.
또한, OTP 업체에 따르면, OTP 인증 기록이 누락되는 경우는 절대 없다고 함. 따라서 OTP 업체의 잘못(실수)일 가능성도 거의 없음.
---------
이상을 종합해보면, 이런 시나리오가 나옵니다.
1) 기획팀님이 23일 정상적으로 접속종료.
2) 24일 13시 경, 해킹범이 OTP 인증절차를 거치지 않고 접속
3) 기획팀님이 해킹당한 사실을 인지.
4) 넥슨에 문의를 때려 봤으나 '본인의 관리 부주의'라고 함. 암호/OTP 접속 목록도 제공을 거부함. 본인 부주의로 판단하고 있으므로 보상 그딴거 없음.
그리고 인벤쪽에서 인터뷰를 한 결과 이런 답변이 나왔습니다.
해당 유저가 OTP 를 중도에 해지하지 않고 꾸준히 사용하고 있었다는 것은 OTP 기록으로도, 넥슨으로부터도 확인이 가능한 내용. 그러면 도대체 어떻게 해서 OTP 를 사용하고 있음에도 범인이 접속할 수 있었던 것일까.
이에 대해 넥슨은 ‘OTP 를 통한 인증 방식 자체가 뚫린 것은 아니’라면서, ‘해당 유저의 PC 가 악성코드에 감염되어 있었던 것으로 보이며, 또한 최근 보안에 관련된 여러 시스템을 업그레이드하는 과정에서 일부 시스템들의 충돌로 오류가 빚어져 해킹이 가능했던 것으로 파악하고 있다’는 답변을 내놓았다.
결론적으로, 이번 메이플 해킹 사태에 대해 넥슨에게도 귀책 사유가 있다는 것을 인정한 셈이다.
에...앞부분에 포인트를 주냐, 뒷부분에 포인트를 주냐에 따라 해석이 달라질수 있겠네요.
제가 기획팀님도 아니고 넥슨도 아니니 저 말이 진짜인지 아닌지 확인할 수 있는 방법은 없습니다. 사실 여부는 넥슨이 전부 쥐고 있습니다. 하지만, 저 내용이 진짜라면 메이플 역사에서 손에 꼽을만한 대사건이 보안사고가 벌어진 거죠.
근데, 정말 만약에 이게 기획팀님의 잘못이라고 나올 경우엔, 개인보안이라는 거 참 의미가 없네염. 뭘 어느 정도로 개인 보안을 유지해야 안 털리는 건지? 아예 컴을 포맷하고 익스플로러 지워버린 다음에 메이플만 하도록 만들어야 완벽한 보안상태가 되는건가?
저는 넥슨쪽의 귀책사유가 더 크지 않나? 판단하고 있습니다. 개인이 어떠한 준비를 한다고 하더라도 해킹이 어떠한 형태로 일어날지 개인의 영역에서 예상하는건 엄청나게 어려운 일이죠. 따라서 그 이상의 영역에서 발생하는 해킹이라면 단순히 100% 개인책이라고 돌리기엔 가혹한 처사가 아닐까 합니다. 그럼 U-OTP가 뚫릴 가능성에 대해선 메이플에서 경고한 적도 없고 단순히 메이플 보안 강화하려면 U-OTP 걸라고만 했죠. 이런 해킹 상황에 대해서 예방조치도 알려준 적이 없습니다. 사실상, 유저가 'OTP 조치를 통과하는 해킹' 유형에 대해 조치할 수 있는 수단은 없었습니다. 그럼 아무도 책임을 안 지나?
그런데, 이와 반대로 인소야닷컴의 피아님은 기획팀님의 귀책사유가 매우 클 것이다 - 라고 추측하고 있습니다. 쿠키나 세션 등 다른 수단을 이용해 로그인 상태를 복제하는 방법으로 시도된 해킹으로 보이며, 따라서 OTP의 해킹 OTP과정의 생략 등은 처음부터 포인트가 아니었다. 이건 OTP 과정과는 상관없는 악성코드에 의한 해킹 피해이므로 본인 책임일 것이고 따라서 보상도 받기 어렵다는 입장.
넥슨의 이미지는 바닥 이하이므로 넥슨 책임이라고 생각하는 사람이 많을 거라고 생각하고, 저도 그렇게 생각하지만, 아직 사실여부는 아무도 모릅니다. 글을 굳이 수정하는 이유도 이것 때문.
11월때 벌어진 메이플스토리 1320만명 분의 개인정보 누출 사고 이후 4개월. 드디어 넥슨 대표가 소환되기 직전입니다. 그런데도 넥슨의 보안은 전혀 나아질 기미가 없습니다.
1) 넥슨의 대책이라는 것은 '경찰 수사 이후'로 미뤄 두었을 뿐, 그 경찰 수사의 진전이 거의 없는 상태. 그 사이에도 누출된 정보에 기반한 해킹 사고는 계속 일어나고 잇을 것. 사고 직후 임시 보상책을 제외하면 어떠한 대책이나 보상도 내놓지 않고 있음.
2) 보안과 관련된 최소한의 아이템마저 유료화 정책을 유지(자물쇠 등).
3) 해킹 보상이 전무하며, 해킹 추적 서비스만 제공. 그마저도 대부분의 정보는 알려줄 수 없다면서 비공개 정책을 취하고 있음.
4) 진행중이라곤 하지만, 넥슨 통합 멤버쉽은 아직도 완료되지 않았음. 그나마 이 프로젝트가 끝난다고 해서 넥슨의 보안 수준이 올라갈지 여부가 불투명함.
정말 아이러니한 건 개인보안이나, 기업보안이나 '보안이 철저하다'는 것의 기준이 없다는 점입니다. 유저는 개인이 할 수 있는 최대한의 보안책을, 기업도 기업이 할 수 있는 최소한의 보안대책을 세우는데도, 털릴 사람은 털립니다. 그럼 유저는 '기업 보안이 엉망이다'고 공격하고 기업은 '너네들의 개인보안이 허술한 탓이다'라고 떠넘기죠. 그럼 도대체 보안이 어느 정도 수준까지 올라가야 완벽한 보안상태가 유지되는가? - 이건 아무도 모르니까 이러한 다툼은 앞으로도 계속 일어날 겁니다. 비밀번호를 뺀 계정 정보가 대량 유출된 지금은 더 하죠. 그런데도 누구 책임인지는 확실하지 않습니다. 웃기죠? 결국 결론은,
이런 게임 돈 투자했다가 털리면 너님만 손해란다
캐시 지르면 뭐해요. 털리면 끝인데.
복구도 안되고 뭐든 유저 과실이 되는 이런 게임인데.
-mazefind (넥홈 / 미투 / 트윗 / 페북 / 구플 / 요즘)
* 제 글은 퍼갈 수 있습니다. 단, 출처를 인터넷 주소(maplestory.pe.kr)로 남겨주세요.