내가 자주 가는 게임포털은 얼마나 안전할까? 최근 개인정보 유출 사건이 잇따라 발생하면서 공개된 개인정보를 이용한 아이디 도용이 늘어나고 있다.
국내 유명 백화점이 보유한 650만여 명의 개인정보가 중국 해커들에 의해 시중에 유통되며 파장이 일어났다. 1,000만 명이 넘는 개인정보가 유출된 옥션 회원정보 유출 사건 이후 또 한번 개인정보 대량 유출이 발생한 것이다.
주민등록번호와 아이디 등이 노출되어 다른 사람의 아이디로 게임에 접속 할 수 있게 된 것이다. 이제는 개인이 아이디와 비밀번호를 열심히 관리해도 자신의 정보를 지키기 쉽지 않은 상황이다.
그래서 유저들도 자신이 게임을 즐기는 포털사이트가 얼마나 안전하고, 계정을 도용 당하지 않게 막아 줄 수 있느냐에 더욱 관심을 갖게 됐다. 게임포털 또한 유저들의 개인정보를 보호하기 위해 다양한 보안 서비스를 제공하고 있다.
그렇다면 국내 유명 게임포털들의 보안 실태는 어떨까. 그리고 어떤 보안 서비스를 제공하고 있을까. 보안특집 1부에서는 6대 게임포털의 보안 실태를 조사해 정리했다. 2부에서는 계정을 도용 당해 실제로 피해가 발생했을 경우의 대처법을 알아 본다. /디스이즈게임 남혁우 기자
※ OTP란 일회용 암호(One Time Password)의 약자로 핸드폰이나 전용 단말기를 통해 로그인할 때마다 새로운 비밀번호가 전송되는 보안 서비스다. 지속적으로 비밀번호가 바뀌고, 오직 단말기를 통해서만 비밀번호를 확인할 수 있는 강력한 보안수단이다. |
■ 보안의 정석 [한게임]
한게임 보안은 OTP 중심으로 되어 있어서 쉽게 뚫릴 염려가 적다. 한 걸음 더 나아가 한게임은 OTP가 뚫릴 것을 대비해 계정의 접속상황을 실시간으로 직접 감시할 수 있는 서비스도 곧 제공할 예정이다.
한게임은 2차 보안 체계로 외주 업체의 U-OTP를 쓰고 있다. 홈페이지에서 OTP를 가입하면 자신의 휴대폰에 OTP 프로그램을 설치하게 된다. 이후로는 로그인할 때마다 아이디와 비밀번호를 입력하면 OTP 인증번호를 묻는다. 이때 휴대폰을 통해 실시간으로 바뀌는 비밀번호를 확인하고 입력해야 한다.
또, 한게임은 OTP 서비스 외에 ‘지정 PC 서비스’와 ‘아이디 가입 잠금 서비스’를 제공한다. 지정 PC 서비스란 유저가 지정한 특정 PC(최대 5대)에서만 로그인이 가능한 서비스로, 휴대폰이 OTP를 지원하지 않거나, 또는 휴대폰이 없을 경우를 위한 서비스다.
지정 PC가 아닌 PC에서 로그인하기 위해서는 휴대폰이나 공인인증서를 이용한 본인확인이 필요하다. 지정 PC가 아니면 홈페이지 접속을 막아버리기 때문에 보안성이 높지만, PC방 등 지정PC로 사용하기 어려운 컴퓨터에서 접속하려면 개인 인증이 필요하기 때문에 약간의 불편이 따른다.
아이디 가입 잠금 서비스는 하나의 주민등록번호로 최대 3개까지 만들 수 있는 한게임 계정을 이미 만들어진 계정 외엔 더 이상 만들지 못 하도록 막는 서비스다. 새로운 계정을 만들어 도용되는 일을 애초에 예방하기 위해 만들어진 서비스다.
다만, 게임 안에 들어가서 캐시 아이템을 구입하거나 다른 캐릭터에게 선물로 보낼 때 비밀번호나 주민등록번호 등을 묻지 않기 때문에 PC방 등 사람이 많은 곳에서는 게임을 켠 상태로 자리를 비우는 일을 자제해야 한다.
앞으로 한게임은 사용자의 아이디가 게임에 접속하면 이를 휴대폰으로 알려 주는 서비스를 제공할 예정이다. 만약 다른 사람이 자신의 아이디로 게임에 접속할 경우 원래 사용자는 휴대폰으로 확인하고 타인의 접속을 종료시킬 수 있는 서비스다.
한게임은 아이디 접속 알림 서비스를 통해 계정도용의 피해를 최소화할 수 있을 것으로 기대하고 있다. 대부분의 경우 사용자가 아이디를 도용 당해도 직접 피해를 확인하기 전까지 사실을 확인할 수 없었기 때문이다. 알림 서비스가 시작되면 타인의 접속을 확인하고 즉시 종료시킬 수 있어 도용사고의 피해도 줄어들 전망이다.
한게임은 올해 상반기 안으로 아이디 접속 알림 서비스의 테스트를 진행할 예정이며, 점검 이후 정식 오픈 시기를 정할 계획이다.
■ MMORPG 한정 최강 보안 [플레이엔씨]
엔씨소프트의 게임포털 플레이엔씨는 주력 게임 <리니지> <리니지 2> <아이온>에 모든 보안의 초점을 맞추고 있다. 적어도 이 3개의 게임만큼은 최고의 보안성을 자랑한다. 반면, 3개의 게임을 제외하고 일반 캐주얼 게임에는 보안 서비스가 거의 지원되지 않는다.
플레이엔씨의 MMORPG는 먼저 여러 포털이 사용하는 외주 제작 OTP가 아닌, 자사 게임만을 위한 NCOTP 서비스를 제공한다. NCOTP는 <리니지> <리니지 2> <아이온>만 지원한다.
플레이엔씨는 NCOTP와 함께 지정 PC 서비스도 제공한다. OTP 서비스를 신청한 후 자신이 지정한 PC에서는 OTP 비밀번호가 필요없이 게임에 로그인할 수 있게 해 주는 서비스다. PC방 같이 타인과 함께 쓰는 PC에서는 보안을 강조하고, 집에서 자신만 쓰는 PC에서는 편리함을 추구한 서비스인 셈이다.
또한, 플레이엔씨에는 엠컨트롤과 전화인증 보안 서비스도 있다.
엠컨트롤은 자신의 계정으로 게임에 로그인하는 순간 휴대폰으로 접속정보가 전송되는 서비스다. 만약 자신이 로그인하지 않았는데 접속됐다는 정보가 문자로 온다면 그 즉시 계정을 강제종료시킬 수 있다. 강제종료를 시키면 추가적인 해킹의 피해를 막기 위해 암호가 자동으로 바뀐다. 휴대폰만 있으면 실시간으로 직접 계정을 지킬 수 있다.
휴대폰으로 계정을 통제할 수 있는 ‘엠컨트롤’ 서비스.
유료 서비스인 전화인증은 ARS 인증전화가 걸려오면 요구하는 번호를 전화기에 입력해야 게임에 접속할 수 있다. 휴대폰을 통해 걸려오는 질문에 대답해야 하기 때문에 일반적인 방법으로는 뚫기가 힘들다. 특히 전화인증은 복잡한 과정이 필요한 OTP 서비스에 비해 전화 한 통화로 끝나는 간단한 사용법이 장점이다.
하지만 이 모든 서비스는 <리니지> <리니지 2> <아이온>에 국한된 이야기다. 세 게임을 제외한 플레이엔씨의 다른 게임들은 OTP 서비스도 지원하고 있지 않다. 주력 게임에 한해서는 최고의 보안성을 갖추고 있지만, 그 외의 게임은 크게 신경 쓰지 않는 모습이다.
엔씨소프트 관계자는 “MMORPG는 다른 게임에 비해 게임머니와 아이템의 가치가 높고 위험도 크다. 그래서 1차적으로 MMORPG에만 보안 서비스를 적용한 상태다. 캐주얼까지 도입하는 것 자체는 어렵지 않기 때문에 상황을 봐서 캐주얼 게임까지 보안 서비스를 확대해서 적용할지 고려하고 있다”고 밝혔다.
실시간 ARS를 이용해 보안을 한층 끌어 올린 ‘전화인증 서비스’.
■ 캐시 잠금으로 문단속에 나선 [넥슨]
넥슨은 다른 게임포털과 달리 계정보다 캐시에 초점을 맞추고 있다. 그래서 게임포털에서 지원하는 서비스도 계정을 막는 OTP보다 캐시를 막는 넥슨캐시 보안설정 서비스에 중점을 두고 있는 모습이다. 여기에 게임마다 계정을 막기 위한 보안 서비스를 따로 제공하고 있다.
게임별 보안 서비스는 곧 보안이 잘 된 게임과 그렇지 못 한 게임의 차이로 이어진다. 이로 인한 허점도 노출됐다. 예를 들어 누군가 자신이 플레이하지 않는, 보안이 약한 게임으로 접속한 다음 포털에서 공유되는 넥슨캐시를 도용해서 아이템을 엉뚱한 계정에 선물하는 일이 일어나곤 했다.
넥슨은 3월 25일 넥슨캐시 보안설정이라는 서비스를 통해 이런 일에 대한 대비책을 세웠다. 이 서비스를 사용하면 자신이 원하는 게임에서만 캐시를 쓸 수 있다. 즉 자신이 즐기는 게임에서만 캐시가 사용되기 때문에 보안이 약한 다른 게임에서 캐시를 빼 갈 수 없게 됐다.
이외에도 넥슨은 게임마다 OTP를 포함한 다양한 보안 서비스를 제공하고 있다. <던전앤파이터>는 전용 OTP 뿐만 아니라, 고블린 패드, 포털 내 게임과 캐시 분리 등 해킹을 당할 여지가 있는 요소를 대부분 막았다.
<드래곤네스트>도 OTP를 지원하면서 다름 게임들과 캐시를 분리했다. <메이플스토리>는 2차 비밀번호를 제공한다. 2차 비밀번호는 단순히 두 번째 비밀번호만 추가하는 것이 아니라 아예 계정명 자체를 바꿀 수도 있다.
■ 명의 도용 검색 지원 [넷마블]
CJ인터넷의 게임포털 넷마블은 자신의 개인정보가 웹상에서 도용되고 있는지 알려주는 ‘명의도용방지 서비스’를 제공하는 등 포털 내부 외에도 포괄적으로 개인정보를 관리할 수 있도록 도와준다.
명의도용방지는 웹상에 가입한 유저의 정보를 검색해 어디에서 도용되고 있는 지 알아낼 수 있을 뿐만 아니라 도용 기록이 발생하면 유저에게 알려주기도 한다. 그리고 유료회원이 되면 도용되고 있는 사이트의 주소까지 즉시 알아낼 수 있다.
넷마블은 대부분의 게임이 OTP를 지원하지만, 일부 지원하지 않는 게임을 통해 침입할 수 있다는 점이 문제다. 게다가 넷마블 안에서 캐시가 연동되고 타인에게 선물로 캐시 아이템을 사 줄 수 있기 때문에 보안에 주의가 요구된다.
넷마블은 OTP 외에도 안전키 서비스를 지원한다. 안전키 서비스는 홈페이지에 접속한 후 게임을 시작할 때 2차 비밀번호를 물어보는 방식이다. 모든 게임에 지원된다면 보안성이 많이 높아졌겠지만, <프리우스 온라인>과 <대항해시대 온라인>만 안전키를 지원하고 있다.
앞으로 넷마블은 OTP가 적용되지 않는 게임들도 차후 모두 OTP를 적용할 예정이다. 또한 물리적인 보안 서비스만으로는 계정을 지키기 어렵다고 판단, 그린 캠페인 등을 진행하여 유저 스스로 계정에 대한 보안의식을 지닐 수 있도록 인식 자체를 바꾸는 데 초점을 맞추고 있다.
넷마블은 자신의 주민번호가 도용당하고 있는지 검색하는 서비스를 제공한다.
■ 편의성과 보안을 한번에 [엠게임]
엠게임은 꼼꼼한 보안과 함께 편의성을 강조한 서비스가 돋보인다. OTP를 사용해 계정을 통째로 묶어서 빈틈이 생기지 않도록 조치했을 뿐만 아니라 인증을 위해선 항상 휴대폰을 갖고 다녀야 한다는 불편함을 없애고자 웹에서 인증하는 G-OTP 서비스도 준비하고 있다.
앞으로 엠게임은 휴대폰을 이용한 ‘U-OTP’ 외에도 웹에서 서비스하는 방식인 ‘G-OTP’를 도입할 예정이다. G-OTP는 자신이 미리 입력한 4개의 그림을 이용해 간단한 퍼즐을 푸는 방식의 보안 시스템이다.
G-OTP는 웹에서 이뤄지기 때문에 휴대폰이나 기타 단말기가 필요 없고 액티브X 같은 프로그램을 설치할 필요도 없다. 단지 자신이 미리 입력한 그림만 머릿속에 외우고 있으면 된다. 또한 단순히 그림을 선택하는 것이 아니라 지나간 경로를 이용하기 때문에 보안성도 탁월하다. 다만, 자신이 선택한 그림을 계속 기억하고 있어야 한다는 것이 부담이 될 수 있다.
엠게임에는 OTP와 유사하지만 유료로 서비스되는 ‘SMS 로그인 인증 서비스’가 있다. 아이디와 비밀번호로 포털에 로그인할 때 휴대폰으로 전송되는 SMS 인증번호를 입력하는 방식이다. 따로 휴대폰에 프로그램을 설치할 필요 없이 문자로 전송되기 때문에 OTP 프로그램을 지원하지 않는 휴대폰으로도 보안을 강화할 수 있다.
■ 고포류 게임 보안 중심의 [피망]
플레이엔씨가 MMORPG 보안에 중점을 두고 있다면, 피망은 고포류(고스톱, 포커 등 웹보드게임)의 보안에 초점을 맞추고 있다. 그 외의 게임들은 자체적으로 보안 서비스를 지원하거나 아이디와 비밀번호 외에는 보안 서비스가 제공되지 않는다.
피망은 넥슨과 같이 보안의 안정성이 게임마다 다르고 캐시는 연동되는 데다 캐시 자체를 선물로 줄 수 있다. 이는 곧 계정이 도용될 경우 실질적인 캐시 유출로 이어질 위험성이 높다는 것을 의미한다.
피망은 보안 서비스로 2차 비밀번호인 ‘개인암호’를 제공한다. 또한, 고포류 게임의 유료회원 제도인 ‘퍼스트클럽’에 가입하면 SMS 인증번호 서비스를 이용할 수 있다. 다만, 개인암호와 퍼스트클럽 서비스는 고포류 게임에만 적용된다.
고포류 이외의 게임들은 대부분 아이디와 비밀번호 외에 따로 보안 서비스가 지원되지 않는다. 게다가 캐시로 아이템을 구입하거나 선물할 때 패스워드나 주민등록번호 등을 묻지 않기 때문에 지금으로서는 개인이 아이디와 비밀번호를 철저하게 관리하는 수밖에 없다.
피망 측은 고포류가 사행성이나 환전 등의 이슈가 많아 추가적으로 보안 SMS를 도입한 것이라고 설명했다. 그 외의 게임들은 네오위즈의 통합 보안 시스템으로도 충분히 계정도용을 막을 수 있다고 판단하여 OTP를 지원하지 않는다는 입장이다.
네오위즈게임즈 관계자는 “지금은 <피파 온라인 2> 같은 일부 게임만 자체적으로 2차 비밀번호와 안전 경매 등의 보안시스템을 추가로 제공하지만, 앞으로 새로운 보안 서비스를 제공할 예정”이라고 전했다.
실제로 피망은 지난 3월 23일 ‘로그인 기록’ 서비스를 시작했다. 이 서비스를 이용하면 최근 1개월 동안 자신의 계정으로 피망에 로그인을 시도한 일시와 IP 주소, 로그인 위치와 결과를 살펴볼 수 있다. 로그인 기록을 보면 확실하게 타인이 자신의 계정을 도용하는지 확인할 수 있다.
고포류 위주로 보안 서비스를 제공하고 있는 피망.
최근 1개월 동안 피망 로그인 기록을 살펴볼 수 있게 됐다.
디스이즈게임 댓글 ()
디스이즈게임
