메이플 랜드

전체보기

모바일 상단 메뉴

본문 페이지

[팁] 왜 메랜 핵이 엄청나게 뚫리는지 정확한 이유 알려줄게

슈리맛장인
댓글: 19 개
조회: 11603
추천: 17
2024-01-17 12:11:06
일단 이전에 내가 쓴 글에서 말했 듯 겜 개발자로 일하고 있어서 온라인 게임 서비스 관련 코드도 많이 봤었거든
원래 게임 개발자 하다보면 이런저런 서드파티 모듈을 많이 만져보게 됨
(아닌 곳도 있지만, 내가 경험한 회사들은 그랬었음 ㅇㅇ)

그래서 기초적인 보안 지식은 박혀있는데, 이번에 메랜 핵 뚫리는거 보고 설마설마 싶었던 일이 실제로 발생하고 있었어서 좀 많이 놀라웠다, 그래도 머기업에서 관리하는 툴즈로 만드는 게임인데 이정도로 보안이 처참할 줄은 몰랐거든

일단 빠르게 이유를 설명하자면

원래 MMORPG라는 게임은 특성 상 실시간으로 서버와 데이터를 주고 받음, 당연히 서버에서 허락을 안하면 어떤 것도 못하고, 실제 데이터에도 반영이 안 됨, 그래서 클라이언트를 변조해도 소위 겉 값으로만 데이터가 나오고 실제로는 적용되지 않는 거임

당연히 해커들의 타겟은 저 서버로 보내는 값인데, 해당 값은 스니핑(Sniffing)이라는 해킹 방법으로 가져올 수 있음, 원리는 간단함, 아까도 말했듯 클라이언트에서 요청을 해야 서버는 응답을 하거든, 당연히 유저들 컴퓨터에 있는 클라이언트에서 값을 보내고, 그 값을 보내기 위한 일종의 경로가 마련되어 있음

그 경로에서 값을 읽어오기만 하면 되, 말만 들으면 어려워 보이지만 님들이 잘 아는 치트 엔진, 치트 오매틱이 이런 곳에 사용이 됨, 방법도 어렵지 않고

당연히 이건 게임사도 알고 있기 때문에 아주 기본적인 1차 적 조치로 배열 암호화를 사용함
암호화가 별개 아님 "ufuisdfhuidhfiudsiusdfhuisdfhuisdisdhf" 이런 식의 의미 없는 긴 배열의 문자를 보내는 데이터에 덮어 씌우는거야

모든 서버로 보내는 데이터는 1바이트 단위로 나눠서 보내기 때문에 그 1바이트마다 위의 의미 없는 나열을 차례대로 적용 시키는 거지

물론 이 방법은 너무 널리 알려져 있는 기초적인 암호화라 패킷을 패턴화해서 분석하다보면 뚫리게 되어 있음, 동일한 문자열을 사용하니까

그래서 보통은 아주 긴~~~ 배열을 쓰거나, 패치 때마다 바꾸거나, 아니면 저 패킷 값 마저도 요청마다 바꾸는 방법(결제 모듈, 로그인 등에서 주로 사용하고, 이 값을 '토큰(Token)'이라고 부름)을 씀

근데, 메이플 랜드에서 보내는 모든 패킷(서버로 보내는 데이터)은 암호화가 전혀 되어 있지 않음, 보여줄 수는 있지만 보여줬다간 내가 철컹철컹 될 수도 있어서 못 보여주고...
(현재 글을 쓰는 시각 기준으로도 암호화는 되어있지 않음)

내가 본대로라면 진짜 님들이 상상할 수 있는 모든 버그가 사용 가능 하다는 점만 알려줌
남이 드롭한 템을 뺏는 것도 가능하고, 특정 장비를 드롭한 기록이 있다면 해당 장비만 드롭하게 변조할 수도 있음
(무한 노우 드랍이나... 무한 뇌전 드랍도 가능함...)

물론 위처럼 대놓고 DB상에 들킬 수 있는 핵을 쓰면 운영 측에서 바로 눈치챌테니 아마 저런 건 못쓰겠지만
그 외에는 은근슬쩍 스리슬쩍 얼마든지 쓸 수 있다는 거임

가뜩이나 운영진 수도 적기 때문에 저런 내용을 전부 확인하는 것도 사실상 불가능할거고, 핵을 만드는 인간들은 저걸 노리는거지...

운영진들이 어떤 사람들인지 내가 모르니까 판단은 못하지만, 이번 문제는 지금의 운영진으로서 감당할 수 없는 수준이라고 생각함

인력은 압도적으로 부족한데, 메이플스토리 월드측은 ㅈ같은 불공정 계약에, 패널티를 몇 개는 걸어두고 남일 모르쇠 시전하고 있으니까, 개발 측 입장에서도 할 수 있는게 전혀 없는거임

보안 모듈도 결국엔 메이플스토리 월드꺼를 써야하는데 그게 뚫리면 진짜 운영진으로선 할 수 있는 방법이 없음
그나마, 할 수 있는 방법이 위에서 말한 패킷 암호화 인거지 ㅇㅇ

그래서 메랜 운영진이 이 글을 볼지는 모르지만 만약 보게 된다면 위의 암호화만이라도 적용해줬음 좋겠음
나도 메랜 재밌게 즐기는 사람이고, 개발자로서 운영진이 지금 매우 힘든 상황이라는 걸 알기 때문에 나는 응원해주고 싶음

아.. 근데 저 분명 클레릭으로 사냥하는데 공격 패킷에 파이널 어택이랑 쉐도우 파트너, 소울 에로우는 왜 들어가 있나요...? 직업 별로 필요하지 않은 값은 안 넣으셨으면 좋겠어요...

Lv2 슈리맛장인

메뉴 인장보기
EXP 77%

모바일 게시판 하단버튼

목록 본문 이전 다음 댓글쓰기

댓글(19)

새로고침
  • 생생중24-01-17 17:40
    신고|공감 확인
    애초에 메월드 오픈 취지가 소스는 오픈소스로 다 제공할게 이 소스들로 마음대로 가지고 놀아봐
    기기에 부수적으로 인기 많아지면 소소하게 수입가져갈수도 있게할게 하고 만든건데 이게 주객이 전도돼서 RPG만들고 돈이 주된게 돼서 그런거임
    메이플 월드는 닌텐도 '차근차근 게임코딩'같은걸 
    생각하고 출시한거라... 저 게임도 코딩 어떻게 했는지 다 볼수있고 수정도 가능함. 
    돈은 프메 개발자들이 코딩 가지고 노는 게임에 RPG구현하고 돈벌이 하고있는데 이걸 넥슨을 욕하네ㅋㅋ
    답글이동
    비공감 2공감 9
  • 슈리맛장인24-01-17 13:04
    신고|공감 확인
    솔직히 글에 써놓은 패킷 암호화 문제가 해결이 안된다면 저는 접는게 맞다고 봅니다
    패킷에 정말 별의 별 정보가 다 들어있고, 지금 나오는 핵들과 비교가 안되는 수준의 핵도 나올 수 있기 때문에, 그걸 막지 못한다면 서비스 종료 수순을 밟는게 오히려 현명하다고 생각해요
    답글이동
    비공감0공감 3
  • 죽기장인24-01-20 17:45
    신고|공감 확인
    애초에 메이플월드자체가 좀비게임 사다리게임같은 미니게임처럼 가볍게 하라고 낸건데 거기다 빅뱅전메이플이라는 과분한게임을 구현하려한게 문제지... 결국 공식 클라이언트게임이 아니라 체험판같은개념에 가까우니 팡이도 일반인들은 과몰입 적당히 하고 현질 자제하라는거고.. 넥슨탓 하기엔 메이플월드 자체 규모가 애초에 작은데 공식 클라이언트게임마냥 바라는게 많은것도 웃김
    답글이동
    비공감0공감 3
  • 연우시윤24-01-17 12:29
    신고|공감 확인
    운영자가 프메운영자라 기량 떨어지면 런할텐데 이런 사실 있는지 알고나니 더더욱 운영자에대한 신뢰가 떨어지네요
    답글
    비공감0공감 1
  • 슈리맛장인24-01-17 13:04
    신고|공감 확인
    솔직히 글에 써놓은 패킷 암호화 문제가 해결이 안된다면 저는 접는게 맞다고 봅니다
    패킷에 정말 별의 별 정보가 다 들어있고, 지금 나오는 핵들과 비교가 안되는 수준의 핵도 나올 수 있기 때문에, 그걸 막지 못한다면 서비스 종료 수순을 밟는게 오히려 현명하다고 생각해요
    답글
    비공감0공감 3
  • 연우시윤24-01-17 13:48
    신고|공감 확인
    자게에도 써줘요
    답글
    비공감0공감0
  • 슈리맛장인24-01-17 15:02
    신고|공감 확인
    자게 사람들이 관심이 있을까요..
    자기들끼리도 피터지게 싸우고 있어서..
    답글
    비공감0공감0
  • 보자보자24-01-17 18:30
    신고|공감 확인
    자게가 뭔 피터지게 싸움? 싸움글 전혀없는데
    답글
    비공감0공감0
  • 실무관24-01-17 12:57
    신고|공감 확인
    질문 지금 로직이 맵밖에 몬스터를 잡으면 오토정지 이런 느낌으로 알고있는데 
    그 맵 밖 몬스터들에게 랜덤아이템같은? 걸 나오게해서 먹으면 정지되는 이런방법은 어때 30분마다 아이템은 바꾸고 그랜덤템 먹으면 정지되는거임
    답글
    비공감0공감0
  • 슈리맛장인24-01-17 13:02
    신고|공감 확인
    그건 우회하는 정도의 방법이고 효과적으로도 강력하고 간단한 구현은 글에 써놓은 암호화임, 내가 본 패킷 상 아이템들 id값이 그대로 나오기 때문에 말해준 먹으면 정지되는 아이템은 id만 알아내면 끝임, 핵쟁이들 입장에선 알아내기도 쉬운데, 반대로 모종의 이슈 때문에 일반 유저가 먹는 경우도 생길 수 있기 때문에 위험하다고 생각함 ㅇㅇ
    답글
    비공감0공감0
  • 실무관24-01-17 14:01
    신고|공감 확인
    그럼 암호화는 자주자주 바꿔주는식으로??
    결국 또 뚫릴테니 
    일단 해결책은 위의 방법과 구글과 생성후 일주일정도 거래금지 정도하면 좋을듯?
    답글
    비공감0공감0
  • 슈리맛장인24-01-17 15:01
    신고|공감 확인
    그쵸, 조금 극단적으로는 매일 바꿔주는게 제일 좋습니다, 시간이 오래걸리는 작업이 아니니까요, 매일 바꿔주면 핵쟁이 90%는 죽어나갑니다 ㅋㅋ
    답글
    비공감0공감0
  • 말랑한디붕이24-01-17 13:20
    신고|공감 확인
    굿굿
    답글
    비공감0공감0
  • 빛쌤24-01-17 13:33
    신고|공감 확인
    10추 보내서 많은 사람들 보게하자 
    근데 ㅍㅁ 개발자들?은 자기 영역 침범하는가 싫어하던데 능력 딸려도 혼자 하고 말지 라는게 강하긴 한 것 같음
    답글
    비공감0공감0
  • 슈리맛장인24-01-17 15:02
    신고|공감 확인
    메랜 게시판에는 10추 게시판이 따로 없어서 묻힐 수도...
    답글
    비공감0공감0
  • 드릴김요괴24-01-17 13:48
    신고|공감 확인
    사실 자본만 어느정도 해결된다면 
    인력추가로 어느정도 커버 가능할텐데
    넥슨이 넥슨하면 답 없는거지뭐 ㅋㅋ
    답글
    비공감0공감0
  • 슈리맛장인24-01-17 15:04
    신고|공감 확인
    솔직히 이번 문제의 가장 큰 책임은 넥슨에 있습니다
    메이플랜드에서 벌어들인 수익을 한 달에 최대 천만원 정도까지 얻게 해두고, 심지어 그 마저도 수령 승인을 해줘야 받을 수 있게 해뒀으니까요

    본인들의 리소스를 써서 게임을 만드는거니 당연하다고 생각하는 모양입니다
    답글
    비공감0공감0
  • 생생중24-01-17 17:40
    신고|공감 확인
    애초에 메월드 오픈 취지가 소스는 오픈소스로 다 제공할게 이 소스들로 마음대로 가지고 놀아봐
    기기에 부수적으로 인기 많아지면 소소하게 수입가져갈수도 있게할게 하고 만든건데 이게 주객이 전도돼서 RPG만들고 돈이 주된게 돼서 그런거임
    메이플 월드는 닌텐도 '차근차근 게임코딩'같은걸 
    생각하고 출시한거라... 저 게임도 코딩 어떻게 했는지 다 볼수있고 수정도 가능함. 
    돈은 프메 개발자들이 코딩 가지고 노는 게임에 RPG구현하고 돈벌이 하고있는데 이걸 넥슨을 욕하네ㅋㅋ
    답글
    비공감 2공감 9
  • 난개미라고해24-01-17 22:06
    신고|공감 확인
    메월드련 지원좀 하지
    답글
    비공감0공감0
  • WindWarker24-01-18 01:02
    신고|공감 확인
    9시간 점검 하는데 잘 해결됬으면 좋겠네요
    답글
    비공감0공감0
  • 드디어해냈다24-01-18 11:13
    신고|공감 확인
    그렇구나 패킷 메모
    답글
    비공감0공감0
  • 죽기장인24-01-20 17:45
    신고|공감 확인
    애초에 메이플월드자체가 좀비게임 사다리게임같은 미니게임처럼 가볍게 하라고 낸건데 거기다 빅뱅전메이플이라는 과분한게임을 구현하려한게 문제지... 결국 공식 클라이언트게임이 아니라 체험판같은개념에 가까우니 팡이도 일반인들은 과몰입 적당히 하고 현질 자제하라는거고.. 넥슨탓 하기엔 메이플월드 자체 규모가 애초에 작은데 공식 클라이언트게임마냥 바라는게 많은것도 웃김
    답글
    비공감0공감 3
새로고침

모바일 게시판 하단버튼

목록 본문 이전 다음 댓글보기

지금 뜨는 인벤

더보기+

모바일 게시판 리스트

모바일 게시판 하단버튼

최근 다음
글쓰기

모바일 게시판 페이징

최근 HOT한 콘텐츠

  • 메이플
  • 게임
  • IT
  • 유머
  • 연예
AD