1. ID/Password
ID/ Password 방식은 지금도 강력한 방법입니다.
저의 집에서도 암호숫자 네자리를 입력하면 그대로 집에 들어올수 있습니다.
일단 입력할때 누가 훔쳐보지 않는 이상 알수가 없습니다.
은행사이트 홈페이지 처럼 몇번 이상 실패하면 그대로 잠겨버리니까요.
10*10*10*10 의 조합을 신이 아닌 이상 추측해낼수 없습니다.
하지만 문제가 있습니다. 주위에 사람이 없어도
CCTV를 몰래 설치하거나, 버튼 10자리중 가장 많이 눌렀던 버튼을
인체가 가장 많이 가지고 있는 성분에 대해 특별한 반응을 하는 약품을 칠하거나
잠금장치에 전기충격을 가하거나 여러가지에 의해 뚫릴수 있습니다.
윈도우도 마찬가지입니다. 오히려 집보다 많은 유형을 가집니다.
특별한 프로그램이 몰래 설치되면 사용자가 입력한
내용을 그대로 크래커에게 전송되거나(CCTV랑 비슷하지요), 아예 다른 사이트를 해킹한 데이터를 가지고
동일한 ID/Passwrod를 시도하거나(오히려 집보다 더 쉽지요. 가장 쉽게 나오는 유형입니다),
심지어는 ID/Password가 저장된 서버의 DB가 유출되는 경우도 있습니다. 그냥 모든 사용자가
노출되는 것이지요.
설명드렸다시피 밑에 2번째 유형같은 경우 상당히 많습니다. 특히 예전 네이트 및 싸이월드가 유출되면서
다른 게임사이트도 동일한 ID를 가진 사람이 꽤 많아서 피해가 있었습니다.
2. Password 암호화
서버의 DB가 노출되면, 그대로 모든 사용자가 피해보기 떄문에,
패스워드를 암호화 되서 저장합니다. 유저가 치는 비밀번호가 1234라면
서버에서는 유저들이 입력한 비밀번호를 1234를 저장하지 않고, 역함수가 없는 특별한 암호화 방식을 거쳐서 저장합니다.
물론 유저들이 1234라고 입력했다면 그것은 유저들 컴에서 1234를 그대로 전송하는 것이 아니라
서버와 동일한 암호화 방식을 거쳐 서버로 전송합니다. 서버는 1234가 아니라 암호화된 값을 비교해서 인증합니다.
이런 경우 서버의 DB가 유출되어도 비밀번호를 암호화 한것이 유출되기 때문에
복잡한 비밀번호를 가진 유저는 피해볼 확률이 극히 적습니다.
3. OTP
아무리 패스워드가 암호화 된다고 해도, 암호가 노출될 확률은 많습니다.
특히 다른 사이트의 유출이나 주위사람(보안계통의 범죄는 80%가 과거 일했던 직원이나 주변사람인것을 알고 계세요)이
비밀번호를 유추할 확률은 꽤 높습니다.
그래서 OTP라는 2번쨰 비밀번호가 나왔습니다. 지금도 은행에서 쓰고 있는 방식입니다.
사용자마다 특별한 키... 예를 들어 사람마다 다른 a1b2c3d4e5 이렇게 발급한 키를 가지고
조합해서 숫자를 만들어냅니다. 그 공식은 현재의 시간을 포함하고 또 다양한 규칙에 의해
만들어내기 때문에 그것과 똑같은 공식과 키를 알수 없다면 도저히 추측해 낼수 없습니다.
대신 그 규칙에 대해 계산할수 있는 기계가 필요합니다. 요즘은 스마트폰 앱으로 다운받아
공식에 들어갈 키를 입력하면 그대로 동작하기 때문에 특별한 문제점은 없습니다.
그리고 패스워드와 마찬가지로 51002132 이렇게 그대로 서버로 전송되지 않기 때문에
실제 사용자 키가 입력되는 것을 알지 않는 이상, 그 암호화 된 값을 풀어낼수 없습니다.
패스워드랑 마찬가지인것으로 보이지만, 패스워드만 단독으로 쓰는 방식에 비해
80%이상의 주변사람 암호 추측화 방식에서 벗어날수 있습니다.
4. OTP뚫리는 경우
제가 몇년전 Keylog같은 것을 설치해서 테스트해봤지만, V3는 알려진 거의 모든
키로그 프로그램을 감지했습니다. 현재의 디아3의 해킹 식을 당해보진 않았지만
걸리지 않는 교묘한 백그라운드 프로그램으로 특정한 프로그램. 와우나 디아3같은
입력창 근처의 좌표를 얻어내어 Password나 OTP 다 입력시에 방해하는 프로그램이라
추측됩니다. 실제 백신프로그램을 설치했다고 해도 실시간 감시가 정지되었거나
기타 여러가지 이유에 의해서 그런 프로그램들이 돌아가고 있는것 처럼 보입니다.
이걸 막기 위해서는 거의 모든 백신 프로그램들이
오른쪽 아래 트레이 창에 떠 있는데 한 번 눌러봐서 실시간 감시가 잘되고 있는지
확인해 봐야 합니다. 실제로 저도 1년전 와우를 즐겼는데 집에서 할때와 PC방 여럿 다녔지만
문제가 없었습니다. 하지만, 우연히 유흥가 근처에서 누군가 기다리다가
시간 떄우려고 간 PC방 후에 다음날 와우 접속해보니 모든 골드가 털린 경험을 했습니다.
전 PC방 여럿갔을떄도 특별히 백신프로그램 체크 안했고,
물론 오랜시간동안 털리지 않았고, 그런 습관으로 유흥가 어디 PC방 갔다가 털린것을 봐서는
PC방 컴의 보안문제가 있는것으로 보입니다. PC방이던 집이던
오른쪽 아래 트레이를 보시고 실시간 감시가 잘되고 있는지 확인해보세요.
그런 PC라면 해킹 당할 확률은 거의 없습니다.
와우재즈
