당신의 계정은 안녕하십니까? - 게이머를 위한 보안프로젝트

얼마 전에 ‘월드 오브 워크래프트’ 한국 유저의 계정이 대규모로 해킹 당한 사건이 벌어져서 많은 이용자들이 블리자드 코리아에 항의를 하는 사태가 일어난 적이 있었습니다. 이 사건은 블리자드 코리아에서 공식적으로 ‘와우 데이터베이스가 해킹당한 적은 없다.’라고 밝히고 ‘와우’ 홈페이지의 보안 체계를 강화한 후에야 그나마 진정될 수 있었지만, 아직도 여러 후유증이 남아 ‘와우’를 즐기는 게이머들에게 불안감을 안겨주고 있습니다.

▲ 당해놓고선 사용자에게 주의하라고 하는 뻔뻔함

게임 업체뿐 만이 아닙니다. 이 ‘와우’ 사건 얼마 후 ‘옥션’의 대규모 정보 유출 사건이 공개되면서 파장은 더욱 커졌습니다. 비밀번호 뿐 아니라 이름과 주소, 주민등록번호 등 거의 모든 개인 정보가 해킹으로 빠져나간 사실이 밝혀지자, 분노한 ‘옥션’ 사용자들이 현재 단체 소송을 준비하고 있는 상황입니다.

그러나 더욱 놀라운 사실은 ‘와우’와 ‘옥션’같은 사례가 드문 일이 아니라는 것입니다. 해킹이 많다는 소문이 퍼져있는 ‘던전 앤 파이터’의 사례까지 들지 않더라도, 온라인 게임 계정이 나 주민등록번호가 도용 당해 소중한 개인정보와 아이템이 몽땅 털리는 사태는 드문 일이 아니니까요.

이런 상황에서 게이머는 혼란스럽기만 합니다. 어떻게 해야 해킹을 안 당하는 걸까, 혹시 내 계정도 이미 유출된 건 아닐까… 해킹으로 통장의 돈이 빠져나가는 것은 아닐까 등등. 그래서 게임메카에서는 오늘도 노심초사 하는 게이머 여러분을 위해 게이머를 위한 보안 지침을 마련했습니다. 게이머의 입장에서 바라본, 그래서 게이머에게 더욱 필요한 보안 프로젝트! ‘당신의 계정은 안녕하십니까?’ 시작합니다!

해킹은 누구의 책임인가?

흔히 게이머들이 ‘해킹’이라고 부르는 사건의 99%는 계정이 도용되어 아이템이나 게임머니를 도둑맞은 경우를 말합니다. 속된 말로 ‘털리는’ 경우지요. 어느 날 게임에 접속해 봤더니 ‘갑자기 캐릭터가 헐벗고 있고 돈은 하나도 없더라…’라는 경우가 대부분이고, 극히 드물게는 캐릭터까지 삭제 당하는 경우도 있습니다. 게이머의 입장에서는 황당하고 분통 터지는 일입니다. 분을 삭히며 사이버 수사대에 민원을 넣고 게임 회사에 복구를 요청하지만 게임 회사는 ‘약관에 따라 계정 도용은 사용자의 책임입니다’라는 대답 뿐… 계정 도용이 정말로 게이머의 잘못일까요?

▲ 뭐 이렇게 헐벗고 있다는 것은 아니고...

게임 회사 편을 들려는 것은 아니지만, 사실 계정 도용은 게이머의 부주의에 의해 벌어지는 경우가 가장 많습니다. 밑에서 다시 설명하겠지만, 의외로 많은 수의 게이머들이 허술한 보안의식을 가지고 있습니다. 예를 들어 간단한 암호를 쓴다든가, 친구에게 계정을 빌려주고 비밀번호를 바꾸지 않는 등의 행동입니다. 금고 옆에다가 비밀번호를 써 놓는 꼴이지요. 아주 드물게 게임 회사측의 서버가 해킹 당해 통째로 데이터베이스가 유출되는 경우도 있지만 (‘옥션’의 경우가 바로 그랬습니다.) 대부분의 경우, 계정 도용은 게이머의 부주의 때문에 발생합니다.

▲ 한 줄 요약: 계정 도용에 대해서는 보상 절대 안 해줌!

이러한 이유 때문에 대부분의 게임 회사가 계정 도용 건에 대해서는 절대 보상해주지 않습니다. 게이머로서는 한 순간에 자신의 노력을 날린 것이 억울하고 분통터질 일이지만 회사로서도 자신들의 책임이 없는데 어떻게 해 줄 방도가 없는 셈입니다. 회사 서버가 해킹당한 것이 아닌 이상, 대부분의 해킹은 게이머의 책임이라는 뜻입니다. 결국 자신의 계정은 자신이 지킬 수 밖에 없습니다.

↓ 페이지 이동은 이쪽입니다 ↓

소중한 나의 계정, 어떻게 지킬 것인가?

그렇다면 나의 소중한 계정을 어떻게 지켜야 할까요? 이런 저런 수사는 생략하고 지금 당장이라도 게이머들이 ‘써먹을 수’ 있는 방법들을 소개해 보도록 하겠습니다.

(1) 기본 중의 기본, 윈도우 설치부터 업데이트까지

요즘 ‘블랙버전’이니 ‘통합버전’이니 괴상한 이름의 ‘윈도우’들이 와레즈 사이트에 떠다닙니다. 설명에 따르면 알아서 윈도우가 설치되고 예쁜 스킨도 깔아준다고 하지만… 그 ‘통합버전’윈도우가 과연 안전할지는 미지수입니다. 개인이 멋대로 개조한 버전이니까요. 설사 개조한 사람이 의도하지 않았다 해도 다른 사람이 악의적인 목적으로 트로이를 심는 경우도 얼마든지 있을 수 있습니다. 윈도우를 까는 순간 여러분이 입력한 정보가 모두 저장된다고 생각하면 끔찍하지 않으십니까?

▲ 나는 네가 어젯밤에 야동을 본 사실까지 다 알고 있다!

조금 번거롭고 돈이 드는 일이지만, 윈도우를 설치할 때는 되도록 원본 정품으로 깔고 여러가지 보안 사항(ex:계정 암호)은 반드시 수동으로 설정해주시기 바랍니다. 이것은 보안을 원하는 사람이라면 정말 기본 중의 기본입니다. 어렵고 귀찮다고 피하면 나중에 어떤 피(?)를 볼 지 알 수 없습니다.

윈도우를 설치 한 후도 문제입니다. 혹시 ‘윈도우 업데이트’를 꺼놓으신 분이 있다면 지금이라도 당장 ‘자동’으로 설정하시길 권합니다. 자신이 ‘윈도우 업데이트’에 지대한 관심이 있지 않는 이상, ‘자동’으로 맞춰두고 마이크로소프트에서 윈도우 업데이트를 권할 때 바로 업데이트 하는 것이 PC 보안의 가장 기초적인 사항입니다.

(2) 바이러스 방역

윈도우를 설치했으면 바이러스 방역 프로그램(이하 ‘백신’으로 줄임)을 깔아야 합니다. 우리나라에서는 ‘V3’을 많이 사용하고 있지만, 개인적으로는 ‘V3’보다는 ‘Kaspersky’나 ‘NOD32’등의 외산 백신을 더 추천하고 싶습니다. 가장 확실한 백신은 ‘Kaspersky’ 입니다. 조금 무겁다는 단점이 있지만 거의 대부분의 바이러스와 트로이를 확실히 탐지해내니까요. 어떤 백신을 깔았든 간에, 설치만 해놨다고 안심하지 말고 주기적으로 업데이트 하고 검사하는 습관을 기르도록 합시다.

그리고, 인터넷에서 새로운 파일을 받았을 때에는 실행하기 전에 반드시 바이러스를 검사합니다. 특히 MSN 메신저 등으로 다른 사람이 주는 파일은 함부로 실행하지 않는 것이 좋습니다. 바이러스가 퍼지는 주된 경로니까요. 메일도 마찬가지입니다. 첨부파일이 있다고 함부로 실행하다가는 자료가 몽땅 날아가는 비극이 벌어질 수도 있습니다. 복돌이 짓을 자주 하는 사람은 특히 주의해야 하는데, ‘크랙’이나 ‘키젠’으로 위장한 트로이 목마가 자주 검출되기 때문입니다. 되도록 정품을 쓰거나, 바이러스 검사를 철저히 하도록 합시다. (실제로 제 자신도 ‘크랙’으로 위장한 트로이 목마에 걸려 500GB 하드를 통째로 날려 본 적이 있습니다.)

(3) ‘강한’ 암호를 사용하자

우리나라는 통장/카드 비밀번호의 영향인지 몰라도, 숫자 4자리로 된 비밀번호를 자주 사용하는 경향이 있습니다. 예전에야 그거 일일히 다 눌러 볼 사람은 없었지요. 그런데, PC 성능이 발달하면서 ‘4자리 숫자’를 자동으로 눌러주는 프로그램이 등장합니다. 인터넷을 돌아다니다 보면 자주 볼 수 있는 ‘압축 파일 암호 깨주는 프로그램’이 바로 이런 원리를 이용한 프로그램입니다.

실제로 ‘한메일’의 계정을 해킹하기 위해 자동으로 ‘4자리 숫자’로 된 암호를 입력해주는 프로그램이 나돌기도 했습니다. 이 때 수많은 계정이 프로그램 때문에 털렸고, 이 여파는 다른 사이트에까지 미칩니다. (이 이야기는 밑에서 다시 하겠음.) 여기까지만 봐도 ‘숫자로 된 4자리 암호’가 얼마나 위험한지 알 수 있을 겁니다.

▲ 윈도우에 암호를 저장해 놓는 것도 바보짓입니다. 다 보이거든요.

숫자 4자리로 된 암호 말고도 ID를 그대로 쓴 암호나 ‘apple’등의 흔히 쓰이는 단어를 암호로 사용하는 사람이 많습니다. 이런 암호를 특히 ‘약한(Weak)’암호라고 따로 구분하는데, 말 그대로 쉽게 공격 당하고 쉽게 추측할 수 있는 암호이기 때문입니다. 참고로 ‘사랑해’따위의 쉬운 단어를 영타로 쓴 암호도 마찬가지로 쉬운 암호입니다.

▲ 부적절한 암호의 적절한 예제

이런 ‘약한 암호’를 사용하는 경우, 아무리 자기PC의 보안을 철저히 해 봤자 소용 없습니다. 조금만 생각해 보고 찍어보면 누구나 다 맞출 수 있는 쉬운 암호이기 때문입니다. 사람이 손으로 일일히 입력할 필요도 없이, 간단한 프로그램만 짤 줄 알아도 이런 류의 암호는 쉽게 공략할 수 있습니다. 결국 아무리 조심해 봤자 털리는 것은 시간 문제지요.

그렇다고 무턱대고 어려운 암호를 사용하라는 것은 아닙니다. 무턱대고 어려운 암호를 써 봤 기억하지를 못해서 보통 어딘가에 써 두게 되는데 보안의 측면으로 보자면 이건 약한 암호를 쓰는  보다 더 위험한 행동입니다. 아무리 난수 발생기로 나만의 암호를 만들면 뭐합니까. 그 암호를 메모지에 적어서 모니터 옆에 붙여놓는데. 쓸모 없는 짓이지요.

▲ 강한 암호를 만들어 주는 프로그램입니다. 기억하기 쉽도록 도움말도 주네요.

좋은 암호란 ‘자기 자신은 쉽게 기억할 수 있으면서 충분한 길이를 갖추고 있고, 암호에 숫자와 영문 특수문자가 섞여 있는 형태의 암호’ - 바로 ‘강한(Strong) 암호’입니다. 실제로 Gmail을 포함한 몇몇 사이트의 경우에는 비밀번호를 변경할 때 암호의 길이나 사용 된 문자를 검사해 ‘강한 암호’가 아니면 사용자에게 경고를 주기도 합니다. 하지만 우리나라 게임 사이트 중에서 ‘강한 암호’가 아니면 경고를 주는 사이트는 그다지 본 적이 없네요. 심지어 특수문자도 사용하지 못 하게 막아놓은 사이트나 암호를 8자로 제한하는 사이트도 널려있으니 이것 또한 문제입니다.

어쨌든 ‘강한 암호’를 만드는 간단한 방법을 말해보자면 길이는 최소 8자 이상이 되어야 하며, 다른 사람이 유추하기 힘든 과정으로 암호를 만들어야 합니다. 암호를 만든 후에는 특수 문자를 한 두 개 첨가하는 것도 좋은 방법입니다. 예를 들어 암호를 만들어 보자면… 암호를 ‘1등게임메카’로 하고 싶다면 보통 이 단어를 영타로 쳐서 ‘1emdrpdlaapzk정도를 생각할 것입니다. 뭐, 길이로 보면 충분히 긴 암호입니다. 그래도 이걸론 조금 부족하니… 여기서 1의 위치를 ‘카’뒤로 보내고, a를 @로 치환하고, e를 2로 바꾸면 충분히 강한 암호가 나옵니다. ‘2mdrpdl@@pzk1’ 이 정도면 기억하기도 쉽고 나름대로 강한 암호가 되었네요. 다시 한 번 말하지만 암호를 정해놓고 어딘가에 적어두는 바보짓은 하지 마시길 바랍니다!

↓ 페이지 이동은 이쪽입니다 ↓

(4) ‘적대적인’ 환경에서는 주의, 또 주의!

적대적인 환경이란, 공공 도서관의 컴퓨터나 PC방의 컴퓨터 등 많은 사람이 공동으로 이용하는 컴퓨터를 말합니다. 이런 경우 바이러스를 검사해보면 90% 이상의 컴퓨터가 바이러스 한 두 개씩은 꼭 품고 있습니다. 아무리 손이 깨끗해도 공중 화장실의 손잡이를 잡는 순간 세균 범벅이 되듯이, 아무리 암호를 좋은 걸로 지정해봤자 이런 곳에서 기록되어 해킹 당하면 끝입니다. 고로 이런 곳에서 비밀번호를 입력할 때는, 미리 간단한 비밀번호로 바꿔서 간 다음 집에 와서 다시 강한 암호로 바꾸거나 사용 전에 바이러스 검사를 꼭 해줘야 합니다.

간단한 바이러스 검사는 은행 사이트를 이용하면 쉽게 할 수 있습니다. 국민은행(http://www.kbstar.com)에 가면 ‘nProtect Netizen’이라는 보안 프로그램을 깔아주는데, 이 프로그램으로 온라인 스캔을 하면 치명적인 트로이나 바이러스는 미리 잡아낼 수 있습니다. 단, 키보드 보안은 웹 브라우저 외에는 적용이 안되니 완전히 마음 놓지는 않는 것이 좋습니다.

▲ 삭제해 주는 센스!

PC사용이 끝난 후에는 인터넷 익스플로러의 ‘도구 - 인터넷 옵션’에 가서 쿠키 등의 임시 정보를 모두 삭제하는 것도 잊지 맙시다. 요즘은 대부분의 공공 컴퓨터에 ‘하드보안관’등의 삭제 방지 장치가 설치되어 있으므로 재부팅을 시켜주는 것도 좋은 방법입니다. 그리고 무엇보다 가장 좋은 방법은 이런 적대적인 환경에서 비밀번호를 타이핑 하지 않는 것입니다.

(5) 여러 사이트를 가입할 때의 주의점

여러 사이트를 가입하면서 동일한 ID와 비밀번호를 사용하는 사람이 많습니다. 이 경우, 보안이 취약한 A라는 사이트가 해킹 당해 계정 정보가 유출되면, 보안이 강한 B, C, D 사이트의 계정도 연속적으로 해킹 당하기 때문에 아주 위험한 습관입니다. 보안이 취약해 보이는 사이트(ex:개인 블로그나 소형 커뮤니티)에 가입해야 할 때에는 이름이나 주소에 거짓 신상정보를 넣고, 주로 쓰는 ID와 비밀번호는 사용하면 안됩니다. 가장 좋은 방법은 ID와 비밀번호를 여러 개 만들어서 종류 별로 관리하는 방법입니다. 만일, 허술해 보이는 사이트에서 가입 할 때 주민번호까지 요구한다면 차라리 다른 사이트를 알아보는 것이 더욱 현명한 방법입니다.

▲ 병무청 사이트에 다른 사람이 멋대로 자신의 이름과 주민번호를 입력해 군 입대 신청을 한다면?

참고로 공공기관 사이트는 ‘안전해’ 보이기는 하겠지만, 실제로는 가장 취약한 사이트 중 하나입니다. 가장 해킹을 빈번하게 당하는 곳이 대한민국 공공기관 사이트라는 것을 잊지 마세요! 개인적으로 안전한 곳을 꼽자면 은행>대형포털>공공기관>커뮤니티 순으로 꼽고 싶습니다. (어차피 그 나물에 그 밥이지만)

(6) 주기적인 비밀번호 변경은 기본

비밀번호를 한 번 정해놓고 1년이고 2년이고 같은 비밀번호를 사용하는 사람이 많습니다. 시간이 많이 흐르면 흐를수록 비밀번호가 빠져나갈 가능성은 더욱 높아집니다. 당연히 주기적으로 비밀번호를 바꿔주어야 하는데, 자주 바꿀수록 좋긴 하지만 사람이 어떻게 일일히 그 비밀번호를 다 기억하겠습니까? 6개월이나 1년에 한 번쯤 정기적인 비밀번호 변경을 하고, 사용하지 않는 사이트는 바로 바로 탈퇴하도록 합시다.

(7) 일회용 암호(One-Time Pad)나 휴대폰 인증은 적극 사용하자

귀찮더라도 게임 업체에서 제공하는 일회용 암호(OTP)나 휴대폰 인증은 사용하는 것이 좋습니다. 비밀번호가 유출되더라도 최악의 피해는 막을 수 있고, 위에서 말했던 적대적인 환경에서도 비교적 안전하게 비밀번호를 입력할 수 있기 때문입니다. 중요한 게임(?)이다 싶으면 이런 OTP나 휴대폰 인증을 적극 사용합시다. 조금 귀찮더라도 계정이 털리는 것 보다는 백 배 나으니까요.

(8) 계정 대여는 최악의 행동

▲ 친구가 계정을 빌려달라고 하면 이 그림을 기억합시다.

위의 사항을 다 지킨다고 해도 친구나 가족에게 계정을 빌려준다면 차라리 안 지킨 것만 못한 결과를 가져옵니다. 비밀번호란 아는 사람이 적을수록 좋은 것인데, 그것을 여러 사람이 알게 된다면 그만큼 누설 될 확률이 높기 때문입니다. 계정을 빌려간 사람이 위에서 말한 사항을 다 지킨다는 확신이 있는 것도 아니고… 특히, ‘온라인 상에서’ 알게 된 사람에게 계정을 빌려주는 것은 자살행위나 마찬가지입니다. 온라인 게임에서 이런 사례로 해킹 당한 사례가 한 두 번이 아니므로, 특별히 주의하는 것이 좋습니다.

↓ 페이지 이동은 이쪽입니다 ↓

으악, 내 계정이 도난당했어요! 어떻게 하면 좋죠?

이렇게 철저하게 관리를 하면 사용자의 부주의 때문에 계정을 도난 당하는 최악의 사태는 피해갈 수 있습니다. 제 자신의 경우 1996년에 PC통신을 처음 시작해 ‘바람의 나라’부터 ‘아이온’까지 웬만한 온라인 게임은 거의 즐겨봤지만, 계정을 도난 당해 본 적은 한 번도 없었습니다. 물론, 운이 좋아서 그랬을 수도 있겠지만… 위에 나온 사항만 제대로 지킨다면 몇 년 동안 안전할 수 있다는 반증이 아닐까요?

그래도 계정이 도난 당하는 경우가 있습니다. 이 경우 회사 DB가 해킹을 당한다든가 (ex:’옥션’ 사건) 바이러스 백신이 탐지하지 못하는 신종 트로이에 감염되었다든가 하는 경우인데, 일단 계정이 도난 당한 것을 파악했으면 파악 한 즉시 회사에 계정을 정지시켜달라고 하고, 도움을 요청해야 합니다. 보통 이런 경우 ‘사이버 수사대’에 의뢰를 많이 하는데 그것보다는 집 근처 경찰서를 방문해 사건을 설명하고 경찰에게 조언을 받아 범인을 고발하는 것이 더 좋은 방법입니다. ‘사이버 수사대’에 의뢰해 봤자 어차피 관할 경찰서로 이첩되어 사건이 진행되니 애초에 관할 경찰서에 신고하는 편이 더 나은 것이지요.

▲ 그러니까 포돌이가 '리X지' 계정 해킹까지 모두 잡아주진 않는다니까요

계정 도난이 확실하면 이제 사용 중인 사이트의 비밀번호를 모두 바꾸는 것이 좋습니다. 그리고 이름과 주민등록번호 만으로 계정의 비밀번호를 바꿀 수 있는 사이트는 모조리 탈퇴해야 합니다. 이제 나머지는 운에 달렸습니다. 옥션의 경우처럼 해킹범이 외국인이라면 범인을 잡을 수 있는 확률은 그다지 높지 않고, 한 번 빠져나간 정보는 반드시 문서화 되어 인터넷 어딘가에서 떠돌고 있을테니까요. 정 불안하다면 사설 신용기관의 ‘주민등록 도용 방지 서비스’를 이용하는 것도 좋은 선택이지만, 매달 일정 수수료를 내야 하기 때문에 부담스러울 수도 있겠습니다.

맺으며: IT 강국이면 뭐하나, 보안의식은 엉망인데.

대한민국이 IT강국이고 게임강국이라고 하지만, 보안 의식은 90년대 PC통신을 사용하던 그 당시보다 그다지 나을 것이 없는 것이 현실입니다. 허술한 비밀번호를 사용하는 사람이 태반이며, 심지어 통장 비밀번호를 ‘7979’ 등의 쉬운 번호로 설정해 놓는 사람도 많습니다. 요즘이야 사이트들이 자체적으로 일정 길이 이하의 암호는 사용하지 못하게 하고, 특정 단어(ID나 주민등록번호)를 비밀번호로 사용하지 못하도록 금지해 놓고 있지만 예전까지만 해도 인터넷에서 4자리 숫자로 된 취약한 암호를 쓰는 사람이 많았습니다. 아예 인터넷 사이트, 휴대폰, 통장 모두 같은 비밀번호를 쓰는 사람도 있었습니다.

▲ 약한 암호를 쓰면 순식간에 털릴 수 있다는 것을 알려주는 '크랙 보고서'

물론 ‘옥션’ 사태처럼 사이트가 해킹 당해 아예 통째로 정보가 새어나갔다면 회사가 책임져야 할 문제입니다. 그러나 대부분의 경우 계정 도난은 사용자의 부주의나 안이한 의식 때문에 일어나는 경우가 많고, 계정 도난에 따른 피해는 보상받기 어려운 것이 사실입니다. 계정 보상을 해주지 않는 회사를 비난하기 전에, 자신의 컴퓨터에 있는 바이러스를 잡는 것이 우선 아닐까요?