https://forum.treeofsavior.com/t/exploit-infinite-quest-rewards-and-unrestricted-class-switching/123654
외국서버 CBT중 발견된 문제로
게임 폴더 내 핫키 파일에 정해진 커맨드를 기록한 후에
게임 내에서 해당 핫키를 입력하면
일반적으로 수행할 수 없는 커맨드도 수행되는 보안 취약점이 발견됨
Ex )
정상적인 플레이로 퀘스트를 수행하려면 선행 퀘스트를 완료했거나, 레벨 제한을 충족시키거나,
해당 퀘스트를 완료하면 다시 받을수 없다거나 하는
몇가지의 제약이 있기 마련인데
언급된 보안 취약점을 이용하여 강제로 퀘스트를 수주하는 커맨드를 보내면
조건을 묻지도 따지지도 않고 퀘스트가 수주 가능한 것.
즉 생성한 지 5분도 안된 캐릭터가 9레벨 경험치 카드를 보상으로 받는 퀘스트를 받는다던가,
스탯 보너스를 주는 퀘스트를 반복적으로 수행한다거나,
짤에 보이는 것처럼 전직 퀘스트를 강제로 수주하여 여러가지 비정상적인 직업을 가진다거나...
맨 위의 링크로 언급한 '퀘스트를 조건없이 수주할 수 있는 문제' 는
그 취약점이 한 유저에 의해 포럼에 게시되어 공론화 된 후 하루만에 막혔지만
유사한 취약점을 이용하는 또다른 문제
( https://forum.treeofsavior.com/t/exploit-hidden-frames/124194?u=melon ) 가
다시 발견되어 한번 더 혼란을 겪게 된다. (이것도 막힘)
이러한 문제는 클라이언트(유저) 측에서 보내는 요청이 서버에 도착했을 때,
서버가 해당 요청에 대한 응답을 수행하기 전 요청의 유효성(validity, 즉 말이 되는 요청인지)을
검사하지 않고 요청하는 그대로 응답을 보내주기 때문에 발생하는 문제로
게임 설계 기초부터 보안에 대한 주의없이 개발을 쌓아올렸기 때문에 발생하는 것.
프로그래밍과 보안에 대해 어느 정도 아는 사람이라면 짐작할 수 있겠지만
설계 초기에 유의해두지 않았던 개념을 나중에 수정하는 것은 극히 어려운 작업으로
해당 문제가 공론화 된 23일 전 (즉 한국 OBT시작에선 11일 전) 부터 OBT시작까지
관련된 설계 내용을 처음부터 뜯어고치는 것은 불가능하다 볼 수 있다
(특히나 여러가지 버그가 터져나오고 있는 현 OBT의 상황에서 유추할 수 있는 개발진의 인력 부족이라던지,
문제점 파악능력이라던지의 대처능력으로 보면 더더욱)
임시적인 해결책으로 하나하나의 커맨드를 수정함으로써 개별적인 커맨드의 악용을 막는 것은 가능하지만
그러한 것은 미봉책으로, 설계를 완전히 뜯어 고치지 않는 한 위에 언급된 것처럼
유사한 취약점을 악용하는 문제가 끊임없이 터져나오게 된다.
물론 그러한 미봉책을 계속 수행하다보면 언젠가는 모든 커맨드에 대해 악용을 막을 수 있게 되겠지만
현 OBT시점에서는 아직 발견되지 않은, 혹은 발견되고서도 숨겨져 있는 취약점이 아직 남아있으리라 추측된다
그럼에도 불구하고 TOS가 OBT를 강행한 것은
12월 17일 (어떤 이유에선지는 모르겠지만)
라인업된 게임들을 총동원해 몰아치기를 시전한 넥슨의 전략의 일환으로
이미 다른 넥슨 게임에서도 충분히 준비되지 않은 신규 업데이트(마영전, 엘소드, 던파, 메이플2 등)로 인해
몸살을 겪고 있는 것과 유사한 상황이라 볼 수 있다
즉 아직 충분히 검증되지 않은 혹은 준비되지 않은 게임을 퍼블리셔가 요구한 일정에 맞추어
급하게 내놓으려다 보니 싸이코해승으로 대표되는 문제점들이 끊임없이 터져나오게 되는 것
그러므로 우리는 충분히 준비되지 않은 한국서버에서의
공짜 품질보증 테스팅(Quality Assurance)을 그만두고
검증이 된 후 열릴 일본서버에서 비-터가 되어 아스나 같은 일본녀와 친목질을 해야만 할 것이다
Jurin
Jurin
