최근에 내가 하는 넥슨 게임에서 OTP 방식의 로그인 인증(U-OTP, 네이트, 네이트온, 11번가, 한게임, 넥슨등에서 사용하는 방식.)이 도입되어서, 내 아이디에 값비싼 아이템이 꽤 있기에 인증을 걸었다.

아이폰을 사용하고 있고 아이폰에서도 얼마전에 U-OTP 어플이 나온것 같았다.

예전부터 해킹이 심한 던전앤파이터나 메이플 스토리 등의 게임에 OTP 로그인 방식이 도입되고 있는데, 이 방식을 설명하자면 게임내에서 한번 로그인을 하고 OTP 인증번호를 묻는 창이 다시 한번 더 나온다.

그러면 휴대폰을 열어 OTP 인증 WAP 페이지나 OTP 어플을 연 뒤에 OTP 를 가입하면서 설정해둔 OTP 비밀번호를 입력하고, 30초마다 갱신되는 OTP 인증번호가 뜨면 게임내에 OTP 인증번호를 묻는창에 그 번호를 입력하면 로그인 되는 방식이다.

이렇게 보면 웬만해선 해킹을 못하는 방식이다. 물론, 인터넷을 이용하는 작업이기 때문에 통신사의 힘을 빌리지 않는한 중국 해커들을 차단할 방법은 없다. 하지만 현재 방식에 대해 내가 알아본 결과 엄청난 보안 허점이 발견되었다. 애초 작동 방식부터가 문제이다.

이 넥슨의 U-OTP 방식을 사용해보면서 뭔가 이상한 생각이 들었다. 30초 갱신이나, 암호를 입력하면 뜨는 OTP 인증번호가 뜰때 인터넷이 연결됐다는 표시도 안뜨고 반응속도도 장난아니게 빨랐다. 마치 그냥 공식을 갖다놓고 대입해서 생성하는 느낌.

아이폰은 스마트폰이다. 이런걸 쉽게 테스트 할 수 있다. 일단 탈옥된 폰이며 모든 인터넷을 차단한후 U-OTP어플을 실행해서 게임인증을 시도해봤다.

인터넷을 모두 차단했다.

U-OTP 어플

U-OTP 비밀번호 입력

인증번호가 생성됨!

분명 인터넷에도 연결되지 않았는데, 내가 애초에 생각하고 있던 U-OTP 서버에 접속하여 임시 비밀번호 세션을 생성하는 방식이 아닌, 자동으로 공식에 의해 생성되는 방식임이 증명되었다. 아마도 이 공식에는 서버에서 지정해준 비밀키, 그리고 사용자의 암호, 또 서버와의 시간 동기화 방식으로 시간을 동기화 한 후 동기화된 시간, 이정도의 정보를 갖고 공식적으로 생성해주는 거라고 생각된다. 이런 스마트폰의 경우 폰이 해킹당하면 비밀키는 당연히 얻을 수 있고, 스마트 폰이기 때문에 키스니핑이라든가 비밀번호 캐치하는 프로그램도 해킹을 하여 몰래 설치할 수 있을것이다. 이경우가 아니더라도, 보통 게임의 비밀번호나 사이트의 비밀번호나 동일하게 설정하는 사람들이 많다.

그래도 혹시나 이 비밀번호가 인터넷에 연결되지 않은 상태에서 생성된 번호이기 때문에 “가짜 번호”(Fake)를 일부러 생성 할수도 있다고 생각되어 게임에 직접 로그인 해봤다.

어라? 웬지 될삘임

헐 됐음

다른 은행에 적용됐거나 한 OTP 방식들도 이런식이다. OTP 키를 항상 새로 생성하는 조그만 기계라든가를 보면 같은 방식이다. 하지만 (안해봐서 잘은 모르겠지만) 이 기계를 누군가가 훔쳐가거나해서 기계를 해킹하거나 그대로 쓰면 뚫릴거 같다.

결국은 어차피 이것도 제대로된 방식이 아니라는거다. 애초에 관리를 잘하는 수 밖에 없다. 아무리 보안이 강하다고 광고해대도 무늬만 방어니까.