분류 전체보기 (691)
현재기분 (288)
혼자놀기 (394)
도미노왕 (0)
부끄러워 (6)
엔프로텍트에 해당되는 글
2010.08.11

디아블로3 보안문제 관련 기사를 읽고


http://bit.ly/LaRtTI : 디아3 계정 해킹 극성... 알아서 해라?


나는 저 기사가 마음에 들지 않습니다. ㅋ

그러니 오늘은 '보안 뉴스를 다루는 뉴스매체'와 관련된 글을 써보겠습니다.


먹을만한게 있는 곳에는 파리가 꼬인다더니, 국내 IT분야에선 '보안' 분야가 딱 그런 곳인것 같습니다. '보안'과 관련해서는 국내 일부 보안업체와 그 회사들의 의견을 퍼다 나르는 매체들이 굉장히 나쁜 습관을 가지고 있고, 저 기사에서도 그런 문제들을 여전히 발견할 수 있습니다.


보안 뉴스매체들의 문제를 초 간단 요약하면, ['보안 문제' 의 본질을 이야기 하지 않으면서 특정 보안솔루션 판매 업체의 의견을 싣고 그것으로 '퉁' 친다]는 것입니다. 이것은 왜곡이나 다름없는 짓입니다. 지금부터 그것들을 저 기사를 바탕으로 제 나름대로 큼직 큼직한 덩어리로 나누어 짚어보겠습니다.


1. 제목 "해킹극성... 알아서 해라?"


보안은 원래 특정 방식을 강제하는게 아니라, 제각각 알아서 하는게 맞습니다. 게임사(또는 서비스 운영사)는 그들이 가능한 부분까지 알아서 잘 해야하고, 사용자들은 자신의 PC를 알아서 잘 관리해야 됩니다. 그게 정상입니다. 뒤에 의문부호가 참 보기 그렇네요.


2. "현재 계정 탈취를 막을 수 있는 별도의 해킹차단 장치가 마련돼 있지 않아 큰 문제점으로 지적되고 있다"


그 '큰 문제점' 이라는건 ' 해킹차단 장치'를 팔아 수익을 얻는 업체들에게나 큰 문제인 거겠지요. 사용자의 PC단에 무조건' 해킹차단 장치' 설치를 '강제'해야만 '높은 수준의 보안성'이 확보되는 것이 아닙니다. 목표한 보안성을 달성할 수 있는 나름대로의 방식으로 보안 사고가 통제 가능한 수준 내에서 일어난다면, '해킹차단 장치(보안플러그인 말하는듯)'설치를 강제하지 않아도 됩니다.


아니 애초에 '모든 사용자는 우리 서비스를 쓸 때 보안장치를 설치해야 한다'며 강제하는 것은 무책임에 가깝습니다. 그 서비스의 보안 책임을 사용자 PC들에게 강제로 떠넘기는 것이니까요. 그건 처음부터 글러먹은 설계입니다. '모든 이용자 여러분의 PC 환경에 보안플러그인을 설치해서 일부 변형을 가하기만 하면 우리 서비스가 해킹당하는 유혈(?)사태는 일어나지 않을 것입니다' 라니, 이렇게 '무책임하게 강제된' 구조를 어떻게 '안전'하다며 철썩같이 믿고 있을수 있는지 이해할수가 없습니다.


위에서도 말했듯이 보안은 서비스 업자와 이용자가 제각각 알아서 잘 해야 하는 것입니다. '모든 사용자에게 보안플러그인을 강제하지 않으면 안전하지 않은 서비스'는 상식적으로는 존재해선 안됩니다.


보안은 다양한 기법이 목적에 맞게 채택되고 운영되어야 하는 것입니다. 앞으로 어떤 형태의 보안 위험이 생길지 모르는데 서비스 운영사가 자신들 서버와 네트워크 보안조치보다 사용자 개개인의 PC에 보안플러그인 설치를 강제하는데 더 열을 올리고 의존하는게 정상이라고 생각되지 않습니다. 이런 의존적이고 강제적인 구조를 넘어서는 위협이 발생할 경우 제대로 대응하지 못할게 너무 뻔합니다. 그리고 이런 '강제된 '구조를 비웃는 굵직한 사고도 이미 여러차례 발생했습니다. 누구 누구들에겐 어떻게든 잊고 싶은 사건이겠지만요.


3. '디아블로 3 배틀넷 계정이 어떻게 위험에 노출되는지' 설명이 구체적이지 않고 편향적임


기사 본문에는 '잉카인터넷' 이라는 회사의 자문을 구한듯한 그림과 내용이 실려 있습니다. 정리하면 'IE나 윈도우 시스템에 악성코드가 삽입되어 그것을 통해 디아블로 3 계정 접속에 필요한 정보가 유출된다'는 내용입니다.


하지만 어떻게 IE와 윈도우 시스템에 그런 악성코드가 설치 되는지는 제대로 언급하지 않습니다. '해킹차단 장치 설치 강제'에 명분을 주기 위한 기사라는걸 의심해 볼 만 합니다.


게다가 '악성코드로 사용자 개인의 정보가 유출된다'는 건 보통의 경우엔 개인 사용자의 PC에서나 일어날만한 일입니다. '디아블로 3 계정 보안문제' 를 언급하는데 '블리자드사 측에서 책임져야할 보안영역' 문제는 전혀 언급하지 못하고 있어 편향적입니다. 앞에서 말한 '모든 이용자의 PC에 보안플러그인 설치를 강제하는 책임 전가형' 모델로 갈 것을 내심 기대하는 것처럼 보이기까지 합니다.


국내에선 게임사 계정도용, 아이템도난 사건이 사용자 PC단에서 발생한 계정정보 유출때문에 일어난 것이 아니라, 게임사나 포털사이트의 서버가 해킹당해서 개인정보가 대규모로 유출되어 일어나는 경우가 대부분이었습니다. 네이트가 그랬고 넥슨이 그랬습니다. 한국인들은 십여 년 넘게 그들이 뿌리는 각종 보안플러그인들을 때로는 흔쾌히, 때로는 참아가며 깔아주었지만, 정작 굵직한 보안 사고의 대부분은 '사용자'측이 아닌 '서비스 운영사'의 서버나 보안체계에서 발생했습니다. 그럼에도 아직까지 일부 매체나 보안업체가 내는 글의 평균적인 수준이 이정도라면, 이건 귀를 닫고 눈을 감은것도 정도가 있지, 애초에 양심이 없는게 아닌가 하는 생각이 약간 듭니다.


'사용자 모두가 PC를 안전하게 관리할만큼의 지식을 갖고 있는 것은 아니니 보안플러그인이 도움이 될수 있다' 는 지적을 하실 수 있겠습니다. 하지만 그럴수록 '어떤 경우에 악성코드가 PC에 유입되는가' 를 자세히 설명해야 합니다. 그래야 사용자들의 보안의식 자체를 점검하고 환기할 수 있기 때문입니다. '집에 쥐가 안생기게 하려면 어떻게 하나요?' 하고 묻는 사람에게 '쥐를 때려잡으려면 이 몽둥이를 무조건 사세요' 하며 몽둥이 사용을 강제해선 안됩니다.


대응책은 예측과 사고사례가 있고 나서야 생깁니다. '해킹차단 장치'를 설치를 강제하고, 그게 설치되어있는지 아닌지를 파악하는 것이 앞으로 다가올 신종 보안위협까지 알아서 막아주진 못합니다. 뉴스매체가 보안업체의 의견을 전하기보다 '이용자의 안전한 PC 이용 습관'을 환기하는데 더 신경 써야 하는 이유입니다.


4. 기사에 다른 꿍꿍이가 없었다면...


그렇다면, 꼭 저 기사가 아니더라도 '보안 뉴스'를 다루는 매체가 진심으로 요즘 뜨는 게임의 '사용자 계정 보안' 문제를 환기하고자 했다면 어떤 내용이 들어가야 했을까요? 내 나름대로 생각해본 것들을 써보면 이렇습니다.


일단 '디아블로 3 배틀넷 계정'이 어떻게 도용피해를 입을 수 있는지를 생각해 봐야 할 것입니다.

배틀넷에 접속할때는 블리자드의 OTP 인증절차를 거치게 되어 있습니다. OTP는 서비스 운영자와 이용자가 상호작용하는, 나쁘지 않은 인증수단중 하나지요. 하지만 OTP 방식에서도 사고는 납니다.


예를들어 OTP 사용중인데도 계정 자체가 도용당했다면, OTP 번호가 재생성되기까지의 시간이 길어서, 그 사이에 번호가 유출되었을 수가 있습니다. 이 경우 운영사와 서비스 이용자에게 모두 일부 책임이 있을수 있는 복합적인 문제가 됩니다.


그외 OTP 서버의 seed값 자체가 해커에게 유출되어서 OTP가 무력화 됐다거나, 게임 서버측 결함으로 자신과 무관한 계정의 캐릭터에 접근할 수 있게 되는 등의 문제가 있다면 그건 전적으로 블리자드사가 책임져야 할 문제가 되겠지요.


기사가 진심으로 '보안' 에 관심이 있었다면 게임사가 조치가능한 보안영역에 대한 점검을 강조하는 내용도 다루었어야 합니다.


그리고 '사용자측이 조심해야 할 것' 또한 기사 내용에 담아야겠지요?


악성코드는 출처가 불분명한 프로그램을 실행하거나, 악성코드에 감염된 웹사이트에 접속할때 유입되고 설치되는게 일반적입니다. 그러니 [사용자들은 '디아블로3 맵핵'이나 '트레이너', '아이템/게임머니 복사'를 가능하게 해준다는 유틸리티나 웹사이트들을 이용하지 말아야 한다] 식으로, 유의해야 할 악성코드 전파경로를 함께 알려주는 기사가 되어야 합니다.


'IE에 삽입된 악성코드가 계정정보를 탈취한다' 고 할게 아니라, [IE 보안업데이트를 충실히 하고 악성코드 검사를 자주하며, PC방 등 공용 PC에서는 다른 안전한 브라우저를 사용하거나 '시크릿 모드'를 활용할 것]을 권하는 것도 괜찮을 것입니다.


5. 결론


'보안 뉴스' 를 다루는 매체들의 한결같은 기사들이 하루이틀 나온게 아닙니다. 그래서 그것들을 떠올리며 쓰다보니 글이 쓸데없이 길어진 감이 있습니다.


많은 보안사고 뉴스를 보면서 생각한건, '보안은 사람이 먼저'라는 것입니다. 어떤 장치를 가져다 줘도, 어떤 기술이 나와도 그것이 근본적인 해법이 아니며, 완전한 조치가 아닙니다.


그러므로 '보안뉴스'를 다루는 매체는 서비스 운영사와 사용자들이 제각각의 보안 의식, 안전한 PC이용 습관 자체가 향상되도록 점검하고 환기하는 방향으로 발전해 나가야 합니다.


볼사람이 있겠냐마는 ㅋ 긴 글 읽으시느라 수고 하셨습니다.

쓰느라 고생한 나님도 수고.

'혼자놀기' 카테고리의 다른 글

공인된 보안조치?  (0) 2012.06.07
디아블로3 보안문제 관련 기사를 읽고  (0) 2012.06.04
민방위 때문에...  (0) 2012.05.23
여기가 낙원인 것입니다 여러분!  (0) 2012.05.18
arrstein
0TRACKBACK, 0REPLIES
name
password
homesite

잉카인터넷


잉카인터넷도 참...어쩌다 이렇게 됐는지....

아래는 마켓에 등록된 nProtect Mobile의 어플리케이션 설명 화면

   


아래는 '댓글' 을 눌렀을때 나타나는 사용자들의 댓글들

   

   



자신의 폰을 희생(?) 하면서 까지 굳이 별을 한개씩 주고가는 용자님들...!!!!

'혼자놀기' 카테고리의 다른 글

무료 IRC 프로그램 Xchat2  (2) 2010.08.21
잉카인터넷  (6) 2010.08.11
초대장 보내드렸슴  (10) 2010.08.05
이름이 아깝다. Ahnlab  (0) 2010.08.05
arrstein
0TRACKBACK, 6REPLIES
  2010.08.11 14:50 신고 | link | edit or delete | write reply 
잉카인터넷 직원분들 참 착찹할거 같네요.=_=;; 늘 저런 반응들이니...
  2010.08.11 14:58 신고 | link | edit or delete  
그래도 예정대로 마켓에 제품을 업로드했고
그외 금융어플에 끼워져서 올라오거나, 새 스마트폰 제품에 끼워팔기(?) 한다는 이야기는 안들리는거 보면
개발자들은 이정도 잔소리는 각오했을지도 모르겠군요. 하하.
  2010.08.11 16:08 신고 | link | edit or delete | write reply 
저 부르시는 줄 알고 들어왔다 갑니다..
잉카인터넷
  2010.08.12 20:07 신고 | link | edit or delete | write reply 
잉카인터넷 고객지원센터 입니다.

먼저 저희 nProtect Mobile 이용 중 불편을 드려 죄송합니다.
모바일 환경의 보안문제를 대비하기 위해 새롭게 제품을 출시하고 최선을 다하고 있지만, 부족함이 많습니다.
nProtect Mobile 프로그램 이용 중 불편하셨던 부분이나 개선되어야할 사항이
있을 경우 자세한 내용과 함께 nProtect@inca.co.kr 로 알려주시면,
소중한 고객님들의 말씀을 최대한 반영하도록 노력하겠습니다.

다시 한번 불편을 드려서 죄송합니다.
  2010.08.13 09:24 신고 | link | edit or delete  
저는 안드로이드폰을 사용하고 있지만, 귀사의 안드로이드용 nprotect 로 성능저하 외의 불편을 겪은적은 없습니다. 오래 사용하지 않았기 때문이지요. 개인적으로 안드로이드용 백신이라고 나오는것들 참 쓸모없다고 생각하고 있습니다.

물론 윈도우용 nprotect에는 하도 당해서 어떻게든 안쓰려 애쓰고 있긴 합니다만, 이 글은 안드로이드용 nprotect에 불만인 점을 쓴 글이 아니라 한마디로 요약해서 '니들 참 고생한다' 정도의 의미를 담은 글입니다.

특정 검색어로 검색해서 크게 상관없는 글에까지 같은 내용의 댓글을 붙이고 다니시는 모습을 보니 어떤 플랫폼으로 nprotect를 출시하시던 크게 기대할 필요는 없다는것 정도는 알수 있을것 같네요.
유진님
  2010.08.14 06:02 신고 | link | edit or delete | write reply 
이런..실험정신 투철하신분들같으니라고......
이래서 우리나라는 무서운 나라입니다.......
name
password
homesite
*1 
명박스럽다 takeshima japan sea dokdo