WoW, 암호화 미비로 해킹 방조 ‘논란’

블리자드 엔터테인먼트 코리아가 <월드 오브 워크래프트>(이하 WoW) 한국 홈페이지의 개인정보 암호화를 제대로 해놓지 않아 개인정보를 가로채는 ‘스니핑’에 취약점을 드러냈다는 지적을 받고 있다.

최근 <WoW> 한국 공식 홈페이지 게시판에는 비밀번호를 변경할 때 주민등록번호화 이전 비밀번호, 새로운 비밀번호 등 계정정보가 암호화되지 않고 그대로 노출됐다는 유저들의 주장이 제기되고 있다. 

◆ 블코, 암호화 되지 않았던 부분 시인-최근 수정

<WoW> 한국 홈페이지의 아이디 ‘잠꿀탱이’를 사용하는 유저는 최근 “자신의 계정 정보가 암호화되지 않고 전송된다는 점에서 <WoW> 홈페이지는 ‘스니핑’에 무방비 상태다. 각별히 주의하고, 회사측의 공식적인 해명이나 조치가 있기 전까지는 비밀번호 변경은 삼가는 편이 좋을 것 같다”고 문제를 제기했다.

블리자드 코리아 측은 위의 유저가 제기한 문제를 시인하고 최근 수정했다고 발표했다. 지난 18일 공지사항에서 “블리자드는 최근에 비밀번호 변경 암호화 부분에 대해 수정 조치하였으며, 이는 일부 와우저 분들께서도 날카롭게 지적해주신 부분으로, 유감스럽게 생각한다”고 밝혔다.

블리자드 코리아는 이와 함께 대규모 로그인을 시도하는 특정 IP를 차단하고, 변형문자 입력방식(CAPTCHA)을 도입했다. 또한, 임시 계정 정지 치를 실시하고 비밀번호 이중화 작업도 검토하고 있다고 밝혔다.

블리자드 코리아는 계정도용이 의심되는 대규모 로그인 시도와 해당 IP의 정보를 취합해 사법당국과 접촉, 유저들에게 피해를 입힌 자들에 대한 사법처리도 강구하고 있다고 덧붙였다.

그러나 최근 옥션 해킹 사태 등으로 계정도용이 극심해진 상황에서 <WoW> 유저들은 암호화 미비에 대해 민감하게 반응하고 있다. 실제로 최근에 <WoW> 계정을 도용 당했다고 주장하는 유저들이 늘어나면서 블리자드 코리아의 확실한 대처를 촉구하는 목소리가 높아지고 있다.

◆ 스니핑으로 계정정보 충분히 파악 가능

스니핑(Sniffing)은 유저의 웹 브라우저에 있는 쿠키(문자열로 구성된 사용자의 정보)를 훔치거나 엿보는 해킹의 한 기법을 말한다. 일종의 도청과 같은 개념이며, <WoW> 한국 홈페이지의 경우 유저가 비밀번호를 변경할 때 암호화 되지 않은 상태의 계정정보를 그대로 훔쳐볼 수도 있었다.

현재 블리자드 코리아는 암호화가 되지 않았던 정보를 스니핑으로 봤다고 해도 쿠키에 개인정보가 분산되어 전송되기 때문에 조합해서 계정정보를 알아내는 것은 힘들다는 입장이다.

블리자드 코리아의 한 관계자는 “유저가 직접 자신의 PC를 스니핑 했을 때나 계정 정보가 그대로 보이지, 외부에서 패킷을 가로챘다고 해도 모두 분산되어 전송되기 때문에 사실상 계정정보를 알아내는 것은 불가능에 가깝다”고 말했다.

하지만 인터넷 보안 전문업체에 문의를 한 결과 스니핑으로 계정정보를 조합해서 알아내는 것은 시간과 노력, 실력에 따라서 얼마든지 가능한 것으로 확인됐다.

한 인터넷 보안 전문가는 “스니핑을 통해 얻은 패킷 조각들을 조합해서 완성된 계정정보를 알아내는 것은 시간과 노력만 들이면 가능한 일이다. 계정정보가 암호화되어 있지 않을 경우 훨씬 쉬워진다. 암호 패턴을 파악해서 깰 필요가 없기 때문”이라고 말했다.

이어서 그는 “해커는 도둑과 같다. 수단과 방법을 가리지 않고 허점을 노려 소중한 물건을 노리는데 처음부터 허점을 보인다면 좀도둑들도 뚫을 수 있다. ‘스니핑’으로 알아낸 아이디와 패스워드들을 프로그램으로 일괄적으로 돌려 자신들이 원하는 골드를 보유한 계정만을 노렸을 가능성이 높다”고 말했다.

블리자드 코리아의 관계자는 “지금 고객지원팀과 보안 관련 직원들이 주말을 반납하고 24시간 복구 작업에 최선을 다하는 만큼 믿고 기다려 주었으면 좋겠다”고 말했다.

블리자드 코리아가 18일 올린 공지의 일부분. 암호화 수정에 대한 언급이 있다.