- 경험기, 프리뷰, 리뷰, 기록 분석, 패치 노트 등을 올리실 수 있습니다.
- 기사, 정보, 대진표 및 결과 등은 [게임 뉴스 게시판]을 이용바랍니다.
Date 2012/07/03 09:40:55
Name Leeka
Subject 블리자드 OTP의 문제(본문 상단 정정사항 추가)
*** 본문에 틀린 사항이 있어서 추가합니다.(테스트 방법 관련 문제 및 폐기 관련)

> OTP 재발급 후에도, 기존 값이 일정시간 동안 유효한 사항.(입력직후엔 정상폐기)
(원칙적으론 재발급 직후 바로 폐기되어야 하는데 - 보통은 길어도 3~5초 이내 폐기
현재 베틀넷 OTP는 기존값 유효시간이 길어서.. 가로챈 후 접속하는데 필요한 시간이 넉넉합니다.)

>> 주말 OTP 테스트에서는 위 테스트 방법으로 연속 입력시 성공했어서 관련 글을 작성해서 올렸는데,  
조금전 다시 테스트에서는 에러 코드가 뜨네요... 어떤 차이인건지.. 제가 착각한건지..
지금 테스트에선 에러코드가 뜨는 만큼.. , 내용 수정해서 적어둡니다.
본의아니게 잘못된 사항을 전달한것 같아 죄송스럽네요..

코멘트로 확인된 부분 테스트 후 확인한 만큼 본문 상단에 추가해둿습니다.


기존 글
----------------------------------------------------------------------


* 원칙적으로 정상적인 OTP(One Time Password)의 경우
사용시 해킹을 당할 수 없습니다.

현재 디아블로3 해킹 중, OTP를 했는데도 해킹을 당한다는 글들이 있는데요.

해당 부분은 블리자드 OTP가.. 타 OTP와 다른 문제점을 하나 가지고 있기에

현재 발생하고 있습니다.


순서를 살펴보면

보안이 잘 된 OTP
-> One Time Password 발급 (11111111)
-> 해당 번호 입력 시, '입력한 번호는 즉시 폐기됨'
-> 즉, 11111111이 남은 시간이 30초라고 하더라도.. 한번 입력해서 들어가면, 해당 OTP 번호로는 다시 접속이 불가능
(로그아웃 시, 30초를 더 기다린 뒤에 다른 번호를 발급받아서 접속해야 함)

여기서 한단계 더 들어간 OTP는..  OTP Passcode가 별도로 있어서
OTP Passcode 입력 + OTP 번호 입력. 으로 접속을 한 뒤에, 아이디랑 비번을 물어보는 역 방식도 사용합니다.


문제는 현재 블리자드 OTP는 저 절차 중,  '입력한 번호는 즉시 폐기됨' 절차가 없습니다.

순서를 따지면

-> One Time Password 발급
-> 해당 번호를 입력해도, OTP번호 폐기(재발급) 전까진.. 발급된 번호를 계속 사용 가능
-> 해커가 키로거, 크래킹 툴, 바이러스등.. 다양한 방법으로  아이디 + 비번 + OTP 번호를 가져가서 바로 사용함
-> OTP번호가 폐기되지 않아, 기존 접속된 유저를 밀어내버리고.. 접속해서 해킹에 성공.

정상적인 OTP라면, 해당 번호가 폐기되기 때문에..  
크래킹 툴을 통해서 아이디+비번+OTP 번호를 가져가더라도, 해킹을 할 수 없습니다.
(OTP 번호가 폐기되서.. 가져간 OTP 번호로는 접속을 할 수 없기 때문에)
(단.. OTP를 해지할 수 있는 개인정보까지 알아냈다면, OTP를 강제 해지후 해킹할순 있습니다.)

근데 현재 디아의 OTP는.. 접속에 사용한 번호를 즉시 폐기하지 않아서.. 해킹이 가능합니다.(해킹툴이 깔린다면)


블리자드에서 무슨 생각으로 폐기를 안하는 OTP를 쓰는지 모르겠네요...
(저희 팀원분이 이번에 OTP를 쓰다가 해킹을 당해서.. 확인해 봤더니
당연히 즉시 폐기일거라 생각한 OTP가.. 즉시 폐기가 아니더군요.......... )


** 테스트 방법은 OTP 입력시간이 넉넉할 때.  해당 OTP번호로 로그인 -> 로그아웃 -> 다시 로그인.. 해보시면 로그인이 됩니다.
이 방법으로 로그인이 안되는 게임은 OTP를 즉시 폐기하는 게임,   되는 게임은 즉시 폐기를 안하는 게임입니다.


통합규정 1.3 이용안내 인용

"Pgr에는 "명문화된 삭제규정"이 반드시 필요한 사람은 안왔으면 좋겠습니다.
법 없이도 사는 사람, 남에게 상처 안주면서 같이 이야기 나눌수 있는 분이면 좋겠습니다."
12/07/03 09:41
수정 아이콘
이건 좀 상식밖의 처사군요.
Lainworks
12/07/03 09:52
수정 아이콘
그거 OTP 로그인할때 옵션 있지 않나요? 다른PC 에서 접속하기 전까지는 OTP 입력 안해도 되는 옵션.
그거 끄면 로그인할때마다 OTP 입력하라 하던데요.
12/07/03 09:54
수정 아이콘
디아는 otp써도 해킹을 너무잘당해서....
12/07/03 09:55
수정 아이콘
고걸 말하는게 아니라. 만약 "38576345"라는 번호가 떠서 그번호를 인증에 넣으면 타 게임들은
즉시 그번호가 폐기처분되지만 디아는 계속 인증기에 떠있다는걸 말하는것 같습니다.
맘먹고 해커가 그 사이에 이 번호를 따가서 다른컴퓨터에서 접속할수 있다는거죠.
12/07/03 09:55
수정 아이콘
겜방가서 하면.. 다른 PC기 때문에 OTP를 입력하고 -> 입력하는 순간 다른 PC에서 또 입력하겠지요.
그 옵션은 겜방 문화가 있는 한국에선.. 겜방 유저를 지켜주지 않는 옵션입니다.

덧붙이자면.. 체크하더라도 '일주일에 한번' 은 OTP 번호를 입력해야 하고(같은 PC라도)
그 때 해킹 프로그램이 깔려있으면 결과는 같습니다.
12/07/03 09:57
수정 아이콘
OTP 1코드 생성이 30초간 유지되고, 다음 2코드 생성까지 유지됩니다.
A코드(30초) -> B코드(30초) -> C코드(30초) -> D코드(30초) -> ....

의 순서로 OTP코드 생성시 A코드는 생성된 시간을 기준으로 D코드가 만들어지는 타임까지 유효하죠. 이 자체가 말이 안됩니다.

키로거를 통한 아이디, 패스워드 가로채기, OTP까지 가로챈 다음 해당 컴퓨터를 마비시키면 다시 접속하는 시간(통상 재부팅을 한다거나 할때 1분 이상 걸리니) 빠르게는 그시간에 이미 해킹으로 골드나 아이템을 빼내는건 충분하죠...
정지연
12/07/03 09:59
수정 아이콘
그거랑은 다른 얘깁니다.. 그 옵션은 같은 ip에서 접속할 경우 일주일간 otp 입력을 보류하는 옵션이고 여기서 말씀하신 경우는 같은 otp 패스워드로 유효시간동안 접속이 가능하단 얘기죠..
otp 프로그램을 보면 패스워드가 뜨고 아래에 사용가능한 시간이 뜹니다(대략 20초 정도?)초기화된 직후에 접속하고 바로 로그아웃한다음에 같은 otp 패스워드를 입력하면 또 접속이 된다는거고,
해킹툴이 깔린 컴퓨터에서 이런식으로 로그인하면 해커가 otp 패스워드를 캐치해서 유효시간내에 바로 접속해서 해킹을 한다는거죠..
누군가가 해당 otp 번호를 쓰면 폐기되는 구조라면 해커가 캐치해도 의미가 없는데 그렇지 않다는게 문제인거죠..
워3팬..
12/07/03 10:00
수정 아이콘
진짜 디아블로3 3일천하로 끝나네요.

엔씨 블소의 의외의 재미와 디아3의 의외의 악평들

인기도가 이렇게 금방 식을 줄 몰랐는데 정말 당혹스럽네요.
정지연
12/07/03 10:01
수정 아이콘
그런 문제 때문에 패스워드의 유효시간이 끝나기 직전에 로그인하라는 얘기도 있더군요.
해킹을 막기 위해 otp까지 쓰는데 사용자가 그런거까지 계산해가면서 로그인해야 하는지 모르겠습니다..
이건 진짜 정책을 바꿔야 한다고 봅니다.. 자기네들이 잘못한건 인정을 해야죠..
12/07/03 10:03
수정 아이콘
유효시간이 30초가 아니고, 1분 30초입니다. 코드 두개 더 바뀌는거 끝날쯤 넣어야 됩니다. 크크
12/07/03 10:06
수정 아이콘
rpg는 컨텐츠가 한정적이어서 당연한거죠.

2달 다되가는 rpg가 피씨방 점유율 15%인것도 높은겁니다.

6주동안에 30%이상이 너무 높았던것뿐이죠.
피로는가라
12/07/03 10:09
수정 아이콘
적어도 한달은 잘 갔고.. 지금 거품이 좀 빠지긴 했지만(첫 한달은 정말 이해불가 수준의 광풍이었죠)

재밌게 즐기는 유저들은 많지는 않아도 또한 적지도 않습니다. 인기도가 식었다는 표현은 옳지 않는 듯 합니다. 광풍이 사그러든거죠.

다른 게임과는 다르게(한번 사면 무료니깐) 언제든지 돌아올 수 있는 유저들이 있으니 향후 1.1 패치와 함께 확장팩 발매 등으로 유저들이 돌아올 가능성은 얼마든지 있다고 봅니다.
12/07/03 10:11
수정 아이콘
테라, 아이온이 그렇게 잘나갈때도 점유율 20%를 넘긴적이 거의 없습니다...
디아는 아직도 15%대고, 현재 전체 점유율 2위입니다.

열풍이나 거품이 싹 빠졌어도.. 여전히 강자죠.. 이게 식었다고 하시면.. 한국에 인기 있는겜 없습니다..
12/07/03 10:11
수정 아이콘
2코드까지 유지였나요?.. 그럼 더 막장이네요..

사실 OTP중에 즉시 폐기를 안하는거라도, 최소한 재발급시 폐기정도는 보통 하지 않나요... 재발급 폐기도 아니군요..
12/07/03 10:17
수정 아이콘
실험해봤었고, 최소 1코드는 기본유지고, 2코드까지 유지되는거로 결론 내렸습니다.

생성기준(30초)에 +5초정도까지는 이러저러한 이유로 그럴 수 있다고 보는데, 1분 30초 유지면 이미 게임 끝이죠... 크크
12/07/03 10:18
수정 아이콘
소문들어보니 다른게임 otp도 그렇다고 하던데 블리자드 otp만 그런게 확실한가요?
김연우
12/07/03 10:19
수정 아이콘
뭔가 잘못 테스트한거 아닌가, 하는 생각이 드네요.

OTP는 말 그대로 한번 쓰고 폐기하는 패스워드인데 설마 유지할리가. 그러면 OTP를 쓰는 의미가 없죠.
하얀눈사람
12/07/03 10:19
수정 아이콘
만약 리니지1이 그래서 해킹 당했으면 난리났겠죠. 진작부터 otp사용하던데
12/07/03 10:21
수정 아이콘
NC, NEXON의 경우엔.. 타 OTP 회사와 제휴해서 사용하기 때문에.. 즉시 폐기됩니다.
(실험해보시면 바로 아실수 있으실듯.
실험 방법은 본문 하단에 써둔 방법 참고하시면, 즉시 폐기인지 아닌지 바로 알수 있습니다.)
세르니안
12/07/03 10:23
수정 아이콘
제가해봐도맞네요 로그인후 바로로그아웃하고 똑같이치니까 들가지네요
12/07/03 10:23
수정 아이콘
실제로 실험해보시면 아실꺼에요.
같은 OTP번호로 겜방에서 바로 옆에서 해보니 제 계정이 튕기고 들어가지더군요.
실루엣게임
12/07/03 10:29
수정 아이콘
폐기되지 않습니다. 몇 분 정도는 똑같은 OTP써도 계속 로그인이 됩니다.
12/07/03 10:30
수정 아이콘
실험 이미 다 해본 겁니다.

최소 OTP코드 시작점 기준 1분은 살아있습니다.
Lainworks
12/07/03 10:30
수정 아이콘
아 이제 이해했네요. 이건 진짜 문제네요
12/07/03 10:35
수정 아이콘
One Time Password 자체가 맹점이 많습니다.

- 생성 자체가 고유한 시드값을 가지고 하는데, 이 시드값이 알려지게 되는(복제)가 되면 이미 거기서 게임 끝.
- 보통의 경우(은행권도 그러하죠) 해당 시간을 기준으로 변화하는 기준시간은 동일한 OTP코드를 가지고 있게 됩니다.
- 이렇기 때문에 크래킹을 당할경우 OTP코드가 유지되는 시간에 키가 알려진다면 피해를 입을 수도 있습니다.
- 1회성 OTP코드를 만들려면 비용이 문제가 됩니다. 그래서 잘 안합니다. 이용자가 인지를 못하고 방심해서 컴퓨터에 크래킹 관련 프로그램이 있다면 뚫립니다.
- 게다가 1회성 OTP코드의 조건부가 어렵습니다. 유지시간을 얼마동안 할것이며 폐기는 어떻게 할 것인지, 폐기하고 다시 OTP생성을 하는 것은 어떻게 할것인가.

결론은 OTP생성을 해주는 기계가 네트워크를 사용할 수 있어야 한다는 이야기인데(최소한 문자를 받는 한이 있더라도) 애매하죠.

...... 에휴...
김연우
12/07/03 10:37
수정 아이콘
헐... 정말 어처구니 없군요. OTP를 왜 쓰는데...
PizaNiko
12/07/03 10:38
수정 아이콘
게다가 사실 이미 해킹툴이 깔려있다고 전제하면,
키 로그를 후킹하고 무조건 한번 로그인 에러를 내는 방식으로,
그때그때 폐기하는 OTP를 쓴다고 해도 무력화 시킬 수 있긴 합니다.

해킹툴이 깔려있다는 전제하에 '절대적인 보안'이라는 건 사실 성립할 수가 없지요.
PizaNiko
12/07/03 10:40
수정 아이콘
그런데 다른 게임들은 어떤지 궁금해지는 군요.
와우야 같은걸 쓸테고, 다른 게임이나 은행권 OTP는 어떨지...

그쪽은 한번 쓰면 바로 폐기하고 재발송하는 거 맞나요?
비용문제때문에 그렇게 하기가 쉽지 않을텐데...
12/07/03 10:44
수정 아이콘
금융은 즉시 폐기(엄청난 규모의 돈이 걸려있다보니.. 진짜 1회용 OTP도 발급합니다.)

게임은 즉시 폐기 또는, 재발급시 폐기 사용합니다.

최근엔 즉시 폐기를 많이 쓰고 있긴 합니다. (OTP 전문 회사와 제휴 또는 계약을 통해)
정지연
12/07/03 10:45
수정 아이콘
결국은 또 돈이군요...
기기가 서버랑 통신을 하지 않는다면 이 번호가 사용된건지 아닌지 알 방법이 없으니 폐기를 정할수 없는게 제일 큰 문제네요..
김연우
12/07/03 10:45
수정 아이콘
Man in the middle attack 식을 말씀하시는 건가요?
뭐 말 그대로 절대적인 보안은 성립할 수 없지만, 어차피 보안이란 것이 '해킹하는데 드는 비용이 해킹해서 얻는 가치보다 비싸도록'하는 것이 핵심이기 때문에, 상대적인 수준의 보안만 하면 된다고 봅니다.

그런데 OTP를 받은 후 폐기하지 않는 것은 너무 낮은 수준의 보안이라고 생각되네요.
12/07/03 10:46
수정 아이콘
즉시 폐기의 경우엔

OTP를 입력하면 '맞는 값인지 아닌지, 확인을 하는데'

확인 후에.. '같은 값이 또 넘어오면 Return' 시킨다. 라는 방법등.. 여러 방법으로 즉시폐기를 적용합니다.

(OTP 상에선 번호가 유지되더라도.. 같은 값이 두번 넘어오면.. 두번째꺼부턴 무조건 Return 시켜버린다면.. 즉시폐기와 효과가 같지요.
다른 값은 OTP 번호가 다르니 당연히 접속이 안되고요)
김연우
12/07/03 10:47
수정 아이콘
그리고 일반적인 Man in the middle attack이라면 공개키 알고리즘 이용해서 임의의 값으로 hashing하면 되구요.
12/07/03 10:47
수정 아이콘
그건 좀 틀린말입니다..

그냥 단순하게

'같은 OTP 번호를 일정 시간내에 또 입력하면' 무조건 접속에 실패한다 만 걸어도
폐기를 하건 안하건.. 즉시 폐기와 같은 효과를 줄 수 있습니다.. (맞는 값이 오면 실패, 틀린 값은 OTP값과 다르니 그냥 실패)
현재 대부분의 게임이 사용하는 즉시폐기 방식이 위와 같은 방식이고.
이런 방식은 OTP는 N단위로 폐기 (새로운걸 생성하는 순간, 기존 번호를 폐기하는 거지요) 하지만
한번 인증된 번호는.. 재인증시 실패하게 만들어서.. 게임 서버 자체는 즉시폐기 효과를 가질 수 있습니다.
김연우
12/07/03 10:48
수정 아이콘
최근 OTP는 무조건 N초 지날때마다 키가 하나씩 폐기되는 방식 아닌가요? ( N은 보통 30초)
그렇게 해서 특정한 키로 인증이 되면, '그 키는 사용 안함'으로 선언해버리면 되는데, '그 키는 사용 안함'이라고 저장해놓는 것을 비용이라고 생각하는거 같네요.
허저비
12/07/03 10:48
수정 아이콘
3일도 아니었고 아직 식지도 않았어요
프리템포
12/07/03 10:49
수정 아이콘
음..이건 좀 아니네요
저도 쪼렙때 꼴랑 10만 골드지만 해킹당한 적이 있어서 otp 사용 중인데 불안하네요
저 같은 서민도 불안한데 아이템이나 골드 빠방하신 분들은 진짜 걱정이겠네요
정지연
12/07/03 10:49
수정 아이콘
아.. 그렇군요.. 그건 서버에만 로직을 걸면 되는거니까 생각해 보면 그렇게 어렵지 않겠네요..
12/07/03 10:50
수정 아이콘
사용자가 생성 직후에 입력하다 실수를 했을때, 다시 입력하면 틀린 값으로 처리를 하는데 이때 새로운 키를 만들어내는 시간의 딜레이도 영향을 미미하지만 미친다는 뜻에서 적었습니다.

30초짜리 재생성 타임을 가졌는데 5초에서 입력하다 실수하면 20초 로그인 멍때리고 있어야 되니까요, 나름 애매한 문제죠 사용자 입장에서는요, 컴퓨터 켤때 윈도우즈 로딩화면도 기다리기 짜증나는 마당이라.. 크크..
12/07/03 10:52
수정 아이콘
관리를 잘 하는 수밖에 없습니다.
그리고 디아3 털 정도의 크래킹프로그램이 이미 들어와있으면

Program Files\NPKI에 있는 인증서는 이미 털린거구요...... (......)

개인컴퓨터에서 해킹 당하셨으면 진지하게 나머지 부분들 패스워드 변경도 감수하셔야 합니다.
12/07/03 10:52
수정 아이콘
뭐.. 사실 그래서 그나마 절충안이 30초 생성이니까요..

사용자 입장에서 가끔 불편할떄는 있지만..

사실 OTP가 한번 입력한 번호를 또 받으면.. 그건 이미 OTP의 의미가 없는.. 무늬만 OTP인지라...
12/07/03 10:52
수정 아이콘
회사입장에선 고객의 데이터 보호를 위해 최소한의 투자는 해야 하는데, 뭔가 요즘의 추세를 버리고 있으니 갑갑하죠.. 크크..
12/07/03 10:53
수정 아이콘
그렇죠.. 근데 그것도 안하고 있다는게 사실 황당...... 할 뿐이네요..

무슨 영세기업도 아니고.. 블리자드가..
PizaNiko
12/07/03 10:53
수정 아이콘
하긴 특수한쪽을 제외하면 '최대한 귀찮게 한다'가 보안의 목표인 듯 싶더군요.
12/07/03 10:54
수정 아이콘
사실.. OTP 번호 또 입력하면 강제 리턴 시키는건..

블리자드 수준의 기술력이면 투자라고 보기도 민망한 수준인데.... 이런거 하나 안하니.. 참 예전의 블리자드가 맞나 싶네요..
스타1 시절 베틀넷도 아니고.. 현금경매장까지 만들어놓고 이렇게 보안을 대충할줄은..
김연우
12/07/03 10:54
수정 아이콘
보안과 관련된 모든 문제는 비용 문제죠.
보안에 투자를 하면 할수록 보안 수준은 올라갑니다. 마찬가지로
해킹에 투자를 하면 할수록, 수준 높아도 뚫립니다.

그래서 완벽한 것은 없지만, 실질적으로 완벽한 것은 있지요. 즉 해킹하는데 드는 비용을 비싸게 만들어서 '해킹해서 얻을 수 있는 이득'보다 크게 만들면 되는거죠.


그래서 적정 수준의 보안이란 것이 있는데, 'OTP에 중복 로그인 허용'은 그 적정 수준의 보안에서 너무 한참 내려간 쳐사로 보입니다.
12/07/03 10:55
수정 아이콘
디아3처럼 패키지 정액제의 경우는 애매하죠, 와우는 월단위 들어오는 수익이 있으니 mOTP방식으로 문자를 이용해 코드를 전송하고 입력하게 해도 그만이고(이때는 1회입력 후 폐기 한다는 조건으로)

패키지 정액이라, 몇번을 로그인 할 지 감도 못잡고 어찌되었든 비용은 시간에 따른 이용량만큼 나갈테니 mOTP를 도입하기가 애매했을거라고 봐요.
바다밑
12/07/03 11:13
수정 아이콘
왜 자기 이름값에 걸맞는일을 하지 않는걸까요?

기대한사람들 씁쓸해지게....
PizaNiko
12/07/03 11:23
수정 아이콘
씁쓸하네요.
12/07/03 11:24
수정 아이콘
디아야 잼있게하고 있지만.....

블쟈의 운영은 정말문제 많은거 같아요.;;;
12/07/03 11:30
수정 아이콘
PC방에서 하다가 해킹 당했다는것에는 할말 없고, 블리자드 OTP가 좋다는것은 아니지만
집에서만 게임하는데 해킹 당했다고 블리자드 욕하지 않기를 바랍니다.
그건 OTP가 잘못됬다는게 아니라 집에 해킹툴이 깔려 있는 거니까요.
자기집 컴퓨터 보안만 잘하면 OTP도 필요 없어요
그대가있던계절
12/07/03 11:37
수정 아이콘
당연히 이런생각 하다가 쪼랩때 한번 털리고 OTP 했지요.

디아3 해킹 알고리즘은 당하고 나서 빡치는게 아니라 그냥 신기하더군요.

컴퓨터 아무리 깨끗하고 집에서만 해도 OTP 없으면 해킹대상입니다.

집에서만 하고 컴퓨터 관리 잘하시는 분도 OTP 하는게 좋을 껍니다.
하얀눈사람
12/07/03 11:41
수정 아이콘
지금까지 중학생때 리니지1부터 쭈~욱 온라인게임을 했지만 otp 해야겠다고 [걱정이 드는 게임]은 처음입니다. 디아2하면서도 해킹걱정 안하면서 게임했는데 디아3는 처음으로 otp를 신청해서 정말 귀찮게 게임하고 있습니다. 이건 서비스업체쪽이 욕을 먹어야 하는게 당연한거죠.
summerlight
12/07/03 11:45
수정 아이콘
좀 어이가 없네요. 이러면 실시간 키로거 가지고 가볍게 털어먹을 수 있는데 ;; 제대로 문제 제기해서 수정하게 해야 할 듯
포포리
12/07/03 11:51
수정 아이콘
음, 이상하네요.

몇달전에 제가 테스트해봤을땐 분명 사용후 바로 폐기가 됐었습니다.

3월경쯤이였던거 같습니다. 한때 와우에도 해킹바람이 불었거든요
그때 그냥 재미삼아 테스트해봤던 적이 있는데요.
배틀넷홈페이지와 wow클라이언트에서 동일 otp 번호를 가지고 동시에
로그인 시도를 했었고 사용된 otp는 바로 폐기되는것 확인했었는데 말이죠.

예전엔 분명 폐기됐었는데 지금은 안된다라..
이해할수가 없네요.

저야 지금은 otp 사용하지 않고 몇달째 사용중인데 해킹은 한번도 당하지 않았네요
게임사에게 기대는것보다 개인보안에 철저하는게 더욱 나을것 같다는 생각이 듭니다.
내 골드 내가 지켜야죠.
세르니안
12/07/03 11:55
수정 아이콘
이거보면 롤은해킹당할우려가없어서좋은거같아요
비번알아봐야...할께없음...
피시방에서 배치계정을켜놓고갔더니 금장이되어있다던 우롤각시이야기도있고...
포포리
12/07/03 11:56
수정 아이콘
아 그리고 첫줄에 쓰신

* 원칙적으로 정상적인 OTP(One Time Password)의 경우
사용시 해킹을 당할 수 없습니다.

이 말씀은 틀리신겁니다.
화이트푸
12/07/03 12:29
수정 아이콘
뜬금없네요.
가시눈
12/07/03 12:32
수정 아이콘
아직 해킹 당하진 않았습니다. 5월부터 주욱 해오고 있지만요. 오티피 안 쓰고 집에서만 하긴 하는데 조금 불안하긴 합니다.
가져갈 템도 없지만 나름 한맺힌 앵벌로 맞춘 템들이라 크크.
Daybreak
12/07/03 12:43
수정 아이콘
제 친구가 pc방 옆자리에서 두 눈 뻔히 뜨고 해킹을 당했는데요.
해킹프로그램이 깔려있는 경우에 otp를 입력하는순간 컴퓨터가 다운됩니다.
그리고는 재부팅하는 짧은시간사이에 싹다 털어가버리더군요.
예방법은 의외로 간단한데요. 낮선곳에서 접속을할시에 otp를 임의로 아무거나 한번 입력하는겁니다.
로그인정보가 정확하지않다며 로그인창으로 다시 이동되면 적어도 위에 예시한 해킹프로그램은 없는곳입니다.
만약 컴퓨터가 다운된다면 해킹프로그램이 설치된 자리구요.
물론 다른해킹프로그램도 있겠으나 컴퓨터를 다운시키지 않는다면 털어가기가 무척이나 힘들기땜에
왠만하면 다 그런식 인 것 같더라구요. 혹여나 모르시는분들 참고하세요~
12/07/03 12:57
수정 아이콘
안없어지면 OTP가 아니네요
One Time << 인데 이게 유지되면;; 멍미

OMP인가? One Minute Password
블자야 이름 바꿔라
포포리
12/07/03 12:59
수정 아이콘
time이 횟수가 아니라 시간이라면?크크크
12/07/03 13:07
수정 아이콘
아니 지금 토론이 되고 있는 상태라면 OTP 가 아니죠.. OTP는 one time password 말그대로 한번사용가능한 비밀번호라는 것인데, 시간내에는 여러번 사용할수 있다는 뜻이되지 않나요?

참 블리자드 가지가지하네요.. 정이 떨어져도 이정도 레벨이면 이제 다시 블리자드게임은 안해야겠어요.. 이렇게 수준이하의 시스템을 갖춰두고 패키지게임도 온라인화를 할 자신감은 도대체 어디서 나오는걸까요?
무지개곰
12/07/03 13:16
수정 아이콘
크크크 저도 이 생각 했는데

원타임이 원타임이 아닌 유머 크크
12/07/03 13:36
수정 아이콘
자기 pc 관리를 왠만큼 한다 해도 털리기 마련입니다.
OTP가 뚫리는 이유가 그냥 게임자체에서 로긴 하는 방식이라 그런지 알았더니 이런 이유가 있었네요.
글구 1분 30초 유지는 진짜 어이없긴 합니다 .... 여태까지 최소 반이상 지나가야 otp를 넣었는데 의미 없단 얘기군요 ;;
스치파이
12/07/03 13:46
수정 아이콘
게임하려면 컴퓨터 보안부터 공부해야 겠군요.
초록나무그늘
12/07/03 13:51
수정 아이콘
뜬금없네요

OTP만 제대로 해주면 문제 없는 일인데요.
12/07/03 14:02
수정 아이콘
그 OTP가 OTP의 역할을 수행해주지 못하니까 문제죠. OTP가 진짜 1회입력시 사용불가가 되어있기만 했어도 해킹사례가 확 줄었을텐데 기본도 안지킨거죠.
그나저나 OTP안쓰고 해킹당하면 OTP안쓴탓 OTP쓰고 해킹당하면 컴퓨터 관리소흘이라.. 거기에 OTP자체의 허점도 나와있는데 이런반응이면 답도없네요.
무지개곰
12/07/03 14:10
수정 아이콘
가끔 룬을 비벼버리는 분이 계십니다. 크크
Cazellnu
12/07/03 15:19
수정 아이콘
블리자드 만세네요

아 까는거 맞습니다.
12/07/03 15:39
수정 아이콘
어느정도 컴퓨터 아는 수준의 유저들도 꽤 털렸습니다.
자기 PC OS를 밀정도 수준의 유저면 왠만하면 안털려야 된다고 보는데 꽤 털렸습니다.
12/07/03 15:48
수정 아이콘
개드립이 많이 생각나네요

MTP - Multi Time Password
UQP - UnbiQuitous Password
SBP - SoriBada Password
OTP - Oh! Torrent Password...
그래도살어
12/07/03 15:52
수정 아이콘
집에서 컴퓨터 보안도 평소에 잘챙기면서 OTP 까지 같이 했음에도 털리는 분들 있는걸요...
게다가 지금 문제는 그 OTP 자체에 문제가 있어서 털리는걸 말하는데 무슨 집에서 보안 어쩌구 하나요..
신용불량자
12/07/03 16:19
수정 아이콘
이게 사실이라면 블리자드는 폭풍까임을 당해도 할 말이 없고 해킹 책임을 오로지 유저들의 PC관리 소흘로만 돌려서는 안된다고 생각합니다.

그런데 한 번 입력된 OTP가 바로 폐기되지 않는게 맞나요?
방금 배틀넷 웹사이트에서 수차례 실험해봤는데 재로그인 할 때는 '보안카드의 정확한 숫자를 입력해 주세요.'라고 뜨고 로그인이 되지 않는걸로 봐선 블쟈 OTP도 입력후에 바로 폐기되는게 아닌가 싶은데요.

게임은 오직 PC방에서만 하고 집 컴퓨터가 저사양이라 디아3,와우,스타2같은 게임 클라이언트를 설치할 수 없어서 웹에서만 실험해봤고 게임상에서 그러한지 여부는 지금 확인할 수가 없는데 실험해보신분 없으신가요?
무지개곰
12/07/03 16:29
수정 아이콘
여러번 해본건 아닌데 한 컴퓨터에서 로그인하면 일주일에 한번 otp 입력 패치 전에

otp 키면 시간 얼마 안남았을때 외워놓고 다른 번호 나오고 시간 반정도 갔을때 입력해도 로그인이 되기는 했습니다.
포포리
12/07/03 16:29
수정 아이콘
음. 이게 사실이라면 이글은 정말 뻘글이 되겠네요..
포포리
12/07/03 16:30
수정 아이콘
그건 원래 그렇습니다.
무지개곰
12/07/03 16:35
수정 아이콘
음 입력 한 다음 또 입력하는게 문제가 되는거군요
포포리
12/07/03 16:36
수정 아이콘
방금 인증기 등록하고 확인해본결과
한번등록된 패스워드는 정상적으로 폐기되고 있는것 같은데요?

WOW클라이언트, 배틀넷 홈페이지, 디아블로3 클라이언트
3가지 로그인 각각 다 해봤는데 정상적으로 폐기되네요.
본문은 정확한 사실이 아닌것 같습니다.

위에 실험해보셨다는분들 어떻게 실험해보셨는지 궁금하네요.
12/07/03 16:36
수정 아이콘
전 이해가 안되네요.
예전에도 그랬고, 지금 테스트 해봐도 그랬고
한번 사용하면 안되는데 말이죠.
방금 와우,디아3,배틀넷 홈페이지
3가지 모두 테스트 해봤습니다.
저는 아이폰으로 OTP 사용하고 있습니다.

저랑 뭐가 다른걸까요?
(개인적으로 이 글 내용이 완.전.히 틀렸다는데 500원 겁니다)
12/07/03 16:47
수정 아이콘
착오가 있는것 같아서, 다시 한번 확인해봤습니다.

현시간 다시 재확인해본 결과

1. OTP를 통해 생성된 코드의 유효시간은 여전히 1분 30초
2. OTP를 통해 생성된 코드를 입력후 접속 성공, 그 후 재접속 시도시 같은 코드를 입력시 에러코드 3을 내보내며 접속 거부

예전에 실험할 적에, 코드를 한번 넣고 다시 넣는 실험을 하질 않았어서 글에 나온 내용들 중 일부에서 혼란을 일으키게 된 것 같습니다. 이점 사죄드립니다.

Fact만 정리하면 1과 2인데, 제가 착각을 해서 1의 상황이 접속 성공 후에도 계속 유지되는것으로 잘못 댓글을 달았던 부분이 있어 정정댓글 올립니다.
호리호리
12/07/03 16:48
수정 아이콘
지금 테스트하고왔습니다.
폐기 잘됩니다.. 깔때는 확인하고 까자고요.

otp의 할아버지가와도 키로거가 설치될정도로 보안에 무관심한 컴퓨터는 다뚫립니다.
그대가있던계절
12/07/03 16:51
수정 아이콘
아래 댓들들 보고 응??? 싶어서 테스트 해봤는데

1회용 맞네요.. 시간은 제법 여유있고요. 제대로 테스트 하고 글 씁시다. !!!
12/07/03 16:51
수정 아이콘
그리고 코드 유효시간은 블리자드 OTP 처음부터 있었습니다.
이게 문제가 됐던 경우는
OTP 입력 과정에서 가로채는류의 해킹인데 (사실 이 정도로 털린거면 OTP는 무의미합니다)
OTP를 입력하면 바로 접속이 안되고 튕기거나 재부팅 되는 종류의 해킹이었죠.
12/07/03 16:56
수정 아이콘
초기에 인벤에서 해킹당했다고 나온 경우가 이런 경우였죠

아이디/패스워드 입력 / OTP 입력. 접속중 메시지였나 뜨고 대기하게 만들다가 디아블로 창 꺼짐
-> 실제 로그인서버로 정보전달 안되는 상태
-> 해킹을 한 쪽에서 가로챈 정보로 접속 아이템 및 골드 처분

이거 나름 막는 방법 팁 올라왔던데 고의로 틀린 OTP넣어보고 접속 되면 해킹컴이니 피하라는 거였던거 같습니다.

OTP유효시간은 조금 더 짧게 만들 필요도 있지 않나 싶습니다.
12/07/03 16:58
수정 아이콘
네 맞습니다. '피씨방에서 할때는 OTP를 한번쯤 아무렇게나 입력해봐라' 이게 대처법이었죠.
와우 해킹대란때 나온 말입니다.
OTP 유지시간을 재생성시간과 맞물리게 하지 않는건 저도 이해가 안갑니다만..
호리호리
12/07/03 16:59
수정 아이콘
와우라던가 디아 메이플 등등 해킹당한 분들의 특징이

1. 알약 혹은 V3Lite 를 사용하면서

2. IE6~8을 사용하며

3. 윈도우 업데이트를 최소 1달에 1회이상 하지않고

4. 광고가 많은 사이트에 자주 접속하며

5. 집에서는 이러지않으나 PC방이 안전하다고 생각하는

분들이더군요 피시방들가시면 백신 실시간 감시기능이 켜져있는지 그전에 백신이 깔려있는지 확인하세요
감지기능이 꺼져있다면 95% 이미 감염되어있는 피시입니다. 나머지 5%를위해 본인이 실시간감시를 작동시켜보시고 감시기능이 켜지지않을경우 100% 입니다 자리를 이동하시고 그사이 입력한비번이있다면 바꾸세요!.
12/07/03 17:01
수정 아이콘
글쓴이 입니다.

위에분들 코멘트 보고.. 다시 테스트 했는데

유효시간이 과도하게 긴 부분은 확인이 됫는데.. 폐기는 정상적으로 되네요..
(주말 테스트때 재접속이 가능해서.. 해당 글을 작성했는데.. 제가 먼갈 잘못한건지.. 어떤건지.. 지금은 안되네요)

일단 관련 부분 본문 수정해서 올려둿습니다.
(본의 아니게 일부 낚시가 된 부분은 사과드립니다...)

덧붙여서 틀린 부분 확인해주신분들 감사드립니다.. (__);
12/07/03 17:03
수정 아이콘
아마 Leeka님 지인분이 당하신게 이 경우 같은데 정확하게 상황추정은 안되네요
OTP정상값 넣고 라고 하면 이 패턴이 맞는것 같습니다.

생성시간을 30초단위로 잡으면 약간의 핑지연 포함해서 Max 35초정도로 해주는게 맞지 않나 (코드 유효시간) 생각해봅니다.
12/07/03 17:03
수정 아이콘
결론적으로 이 글의 원래 주제는 완전히 틀렸군요.
OTP유지시간이 1분 30초라는건 원래 그랬던거구요.
위원장
12/07/03 17:40
수정 아이콘
무언가 씁쓸하네요.
사실이 아닌 사실로 까이고
알고보니 아니었다.... 흠
꿀호떡a
12/07/03 18:15
수정 아이콘
OTP Window가 전후 n개(1분 30초) 유지되는 것은 정상적인 부분입니다. OTP 알고리즘으로 생성한 패스워드가 일치하려면 기본적으로 시간의 동기화가 철저하다는 전제가 있어야 하는데, OTP 전용 장비를 사용하는 것이 아니라면 종종 서버와 클라이언트간의 시간이 다른 경우가 있기 때문에 이런 경우 보통 적정한 사이즈의 Window를 잡고 이 안에 들어오는 Password를 통과시키는 것으로 알고 있습니다.
아침바람
12/07/03 18:30
수정 아이콘
최근에 바꾼거로 압니다. 저도 지난 금요일에 접속후 바로 경매장 확인 접속종료 그러다가 다시 재실행해서
다시 켤때 여전히 같은 otp 번호 인데 실행이 됬었거든요. 지난 몇일전부터 이 사실이 사이트에서 돌기시작하고
알아서 내부에서 조정했다고 전 생각하고 있습니다. 확실한건 지난주에 같은 번호로 두번 실행이 됐었습니다.
12/07/03 18:31
수정 아이콘
글쎄요 저는 2년전에도 확인했었는데요.
저번주에 오류가 있었을순 있겠지만, 확실한건 2년전엔 1번호 1회 사용이었습니다.
아침바람
12/07/03 18:37
수정 아이콘
저도 부정확한 내용은 수정할께요. 최근에 바꿨다는 말은 모 싸이트 댓글을 읽다가 이상해서보니 그런 리플이 하나 달려 있어서 그런가보다 했네요. 확실한건 제가 otp 리셋하지 않은 상태로 두번 접속했었어요. 지난주 금요일 입니다.
12/07/03 23:28
수정 아이콘
대체 위 증언들과 까는것은 무엇이었을까요..
제가 아는 지식에선 저런 문제는 발생하는거 자체가 불가능한데..(otp값 다중 사용)
베체서
12/07/18 00:02
수정 아이콘
읽을 분도 없으실 것 같지만. 저도 같은 오티피로 두번 접속했던 기억이 있는데 말이죠.
무료이용자 버전 10만도 훔쳐가길래 결제했을땐느 바로 오티피걸었음.
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
48067 [LOL] 8월 3일자 패치노트 [44] 뚫훓쀓꿿삟낅3945 12/08/03 3945 1
48066 안 올것 같았던 날이 하루 남았네요 [35] SKY924050 12/08/03 4050 0
48065 스타2에 약간 아쉬운 점 적어봅니다. [29] GoThree6071 12/08/02 6071 0
48064 롤드컵 국내 및 해외 현황 [23] Leeka5859 12/08/02 5859 0
48063 NLB Summer 2012 8강 B조 승자전, Psw Ares vs PPs #1 [170] 키토2922 12/08/02 2922 0
48062 ASUS ROG Summer 2012 1일차 [30] 어강됴리3052 12/08/02 3052 0
48060 야구 시뮬레이션 게임 OOTP 를 소개합니다. [15] 땅콩만두12089 12/08/02 12089 0
48058 AZUBU, 스타크래프트2 viOLet 김동환 선수 영입 발표 [24] kimbilly4825 12/08/02 4825 0
48057 혼자.. 게임하세요? [24] 렌즈5763 12/08/02 5763 0
48053 Azubu The Champions Summer 8강, StarTale vs NaJin e-mFire Sword #2 [536] 키토5321 12/08/01 5321 0
48052 Azubu The Champions Summer 8강, StarTale vs NaJin e-mFire Sword #1 [416] 키토4027 12/08/01 4027 0
48051 월드 챔피언십 시리즈 한국대표 선발전 대진표가 떴네요. [6] 캡틴리드3176 12/08/01 3176 1
48050 [LOL] 정글러의 렙3 탑 갱킹이란.. [47] Maboo4931 12/08/01 4931 0
48049 ASUS ROG Summer 2012 [3] 어강됴리2963 12/08/01 2963 0
48048 [LOL] 7월 24일자 패치 전후 챔피언 승률 변화 [22] 루시드폴4528 12/08/01 4528 0
48047 WCG 2012 한국 대표 선발전 - 예선 4일차 (방송 없음) [42] the hive3362 12/08/01 3362 1
48046 LOL The Champions 16강 킬/데스/어시 TOP 10 통계 [8] Leeka4027 12/08/01 4027 0
48045 스타테일과 나진소드의 대결이 내일이네요. [40] Leeka4956 12/07/31 4956 0
48044 온게임넷 스타리그 듀얼 2012 시즌2 - E조 #1 [276] SKY924387 12/07/31 4387 0
48043 당신의 첫 온라인 게임은 무엇인가요? [85] 은하관제3770 12/07/31 3770 0
48042 NLB Summer 2012 8강 B조 2경기, Psw Ares vs Hope #1 [195] 키토3156 12/07/31 3156 0
48041 [LOL] 그냥 끄적여보는 배치고사 후기. [25] Leon3870 12/07/31 3870 0
48034 SK planet StarCraft II Proleague Season 2 - 3R 2주차, 삼성전자 vs SKT [185] SKY923348 12/07/31 3348 0
목록 이전 다음
댓글

+ : 최근 6시간내에 달린 댓글
+ : 최근 12시간내에 달린 댓글
맨 위로