그래서 저는 검증된 컴퓨터가 아닐 때는, 친척네 집에서도 로그인을 하지 않습니다.
아무튼 문제는 우리나라에서 게임 아이디 해킹이 빈번히 일어나고 있는데, 그 방법은 대부분 서버 공격이 아니라 사용자 컴퓨터에 스파이웨어를 심어서 이뤄진다는 것입니다. 게임 계정을 해킹하기 위한 스파이웨어 설치가 이렇게 빈번히 일어나는 이유는 해킹할 대상이 ID와 PW만으로 로그인해 모든 권한을 부여받을 수 있는 게임 보안이 강하게 변하지 않고 유지되기 때문일 것입니다. 따라서 ID와 PW를 알아내도 활용하기 어렵게 만들어야 합니다. 이걸 어떻게 막을 수 있을까요?
곰곰이 생각해본 제 짧은 결론으로는 다음과 같습니다. 사용자는 대부분 게임을 하는 컴퓨터가 변하지 않는 특성이 있습니다. (게임방이 아니라면.... 말이죠.)
- 우선 자기자 자주 쓰는 컴은 인증을 할 수 있게 만듭니다. 인증은 두 가지 방식으로 해야 합니다.
- 접속 IP를 서버에서 등록한 뒤에 그 IP로만 로그인 시도를 받아들입니다. 물론 비밀번호를 맞건 틀리건 "이 컴퓨터의 접속IP는 등록되어 있지 않습니다."라는 메시지를 출력하고, 1 회용 접속을 할지, 이 IP를 등록할지를 선택하도록 만들어야 합니다.
- 특정 컴퓨터에 깔린 게임 프로그램에서 인증하도록 만듭니다. 이에 대해서는 보안 프로그래머가 뚤리지 않도록 힘써야겠죠. 뭐~ 많이 있잖아요. 랜카드의 맥어드레스 등을 활용한다던지....
- IP나 프로그램이 등록되어 있지 않다면 등록을 위한 절차를 거쳐야 합니다. 이때는 특정 코드를 화면에 노출해주고, 미리 등록했던 전화번호로 문자를 발송하도록 하면 됩니다. 스마트폰 사용자에게는 앱을 설치하도록 만든 뒤에 인증 과정을 진행해도 괜찮겠죠. 이렇게 등록할 수 있는 컴 개수는 제한해야 합니다.
- 인증하지 않고 1회용으로 접속한 캐릭터의 경우 단순히 게임만 즐길 수 있도록 만듭니다. 다른 캐릭터랑 거래하거나 개인정보 수정 등의 조작은 금지시켜야 합니다.
이렇게 해도 해킹당할까요? 이에 대해서는 이후에 고민해봐야겠죠.
위에 제가 이야기한 방법은 사실 보안에서는 기본으로 다루는 것입니다. 이런 걸 무시하고 계속 사용자 계정이 뚤리도록 방치하는 넥센 같은 게임회사는, 아무리 법적인 보안대책을 충족한다 하더라도 자기 할 일을 다 하지 못하고 있다고 생각합니다. 법에서 이야기하는 것은 최소한으로 해야 할 것이지, 적절한 방어대책은 아니지 않습니까? 예를 들어 금융권이 게임업계와 같은 수준으로 보안을 취급하나요? 이건 사용자가 보안을 어떻게 생각하느냐에 따라 달라진다는 것이니만큼 게임회사가 책임을 질 건 져야 합니다.
국내 IT의 보안 개념이 법률만 충족하면 된다는 배째라 방식에서 최선의 노력을 다한다는 것으로 바뀌길 기대해 봅니다.
댓글 없음:
댓글 쓰기