PGR21.com
- 경험기, 프리뷰, 리뷰, 기록 분석, 패치 노트 등을 올리실 수 있습니다.
Date 2012/07/04 23:58:01
Name Leeka
Subject 블리자드 OTP 이야기 - 관련 기사 공유
- 9:40분에 넥슨게임 대상으로 테스트 한 부분 본문 하단에 추가했습니다.(유효시간)

지난번에 블리자드의 OTP 관련해서 글을 올렸었는데

몇분의 댓글로 인해 추가 테스트 결과.. 본문하고 정확하게 일치하진 않아서 글을 수정했던 적이 있습니다.


관련해서 This is Game 웹진에서도.. 해당 부분을 테스트 했고.. 관련 결과가 기사로도 나왔습니다.

관련 기사 - http://www.thisisgame.com/board/view.php?id=1234355&category=16501

기사를 바탕으로 핵심적인 부분만 요약하면
OTP가 특정 상황에서 폐기되지 않는 부분이 있습니다.

- TIG 기자들이 직접 실험해본 결과, A 자리에서 로그인에 사용한 계정 정보를 OTP 유효시간이 종료된 뒤에 B 자리에서 그대로 사용했더니 로그인에 성공했으며, 그 즉시 A 자리의 클라이언트가 종료되는 것을 확인했다.

- '123456' 라는 OTP 번호를 부여받은 뒤 두 번 패스워드가 갱신된 뒤에 '123456'을 그대로 사용해도 로그인할 수 있었다.


저 2가지가 종합되서

OTP 번호만 가져가면.. 바로 해킹이 가능하다고 기사에는 적혀있네요.



제 테스트 방법에서 동일 PC가 아니라. 다른 PC로 바꿔야 하는 부분이 중요했던것 같네요.(기사가 맞다면)

웹진들에서도 직접적으로 확인한 만큼.

블리자드에서 확인 후에 정상적인 One Time Password로 수정을 해줬으면 합니다.


덧붙여서.. 동기화 부분의 경우.. 조금 전 넥슨게임 중 마비노기로 테스트 해본 결과
지금 블리자드처럼 2탐이 아닌.. 길어야 10초?.. 이내에 폐기되어 사용이 안됩니다.
(6회정도 해봤으나, 5초뒤 입력시엔 성공, 10초뒤 입력시엔 실패했습니다.)

타 국내 게임들처럼..   번호 변경후 자동 폐기, 한번 입력한 번호 즉시 폐기.. 가 꼭 적용되길 바라며..

* 제가 지금 PC가 1대라서.. 다른 PC 로그인 확인을 직접 해보진 못했습니다만..
일단 웹진기사로도 나온만큼.. 신뢰성이 있다고 생각되어 가져와봅니다.. (번호 2탐 유지는 확인했지만).
혹시 지금 2대이신 PGR분이 확인해주시면 더 좋을듯 하네요~.

** 재발급시 폐기의 경우, 넥슨의 마비노기 기준으로 테스트 해보았더니..
5초뒤엔 입력시 로그인 성공했으나, 10초뒤 입력시엔 실패했습니다.
(넥슨은 모든게임이 동일한 OTP를 사용하는만큼, 넥슨겜 기준으론 유효시간이 10초 이내로 보면 될듯합니다.)

통합규정 1.3 이용안내 인용

"Pgr은 '명문화된 삭제규정'이 반드시 필요하지 않은 분을 환영합니다.
법 없이도 사는 사람, 남에게 상처를 주지 않으면서 같이 이야기 나눌 수 있는 분이면 좋겠습니다."
물여우
12/07/05 00:35
수정 아이콘
본문 기사에서도 쓰여져 있지만 결국 개인이 조심하는 수 밖에 없겠군요.

요즘 개인 보안 챙기기도 어려운 세상인데 대다수의 사용자는 해킹에 노출되어 있다라는 말과 다를게 없습니다.
일례로 요즘 디아블로를 비롯한 온라인 게임 계정 탈취용 악성코드 유포에 사용되는 xml 제로데이 취약점은 아직 패치도 안 나왔으며, MS에서 제공하는 임시 조치 패치를 이용해야만 차단이 가능합니다. 안티 바이러스만 가지고는 이런 부분을 완벽하게 차단하기 어려운데 이런 부분을 알고 있으며 대처할수 있는 사용자가 얼마나 있을까요??

블리자드의 서비스가 이런 수준이라니... 참...
12/07/05 00:38
수정 아이콘
일단 컴퓨터 1대로 실험해봤습니다.
1.디아 켜고 OTP입력하고 로그인 성공한다음에 접속끊고 -> 로그아웃-> OTP가 두번 바뀐뒤에 아까 로그인했던 OTP입력 -> Error3뜨면서 실패
2.OTP입력하고 로그인 성공 -> 바로 로그아웃 -> 로그인성공한 OTP가 새로운 OTP로 바뀌자마자 전에OTP입력 ->Error3뜨면서 실패.
곧 두대로 실험해보겠습니다.
12/07/05 00:49
수정 아이콘
다른 게임에 비해 해킹에 너무 취약하죠. 그냥 근본 해결책을 간구하지 않는 태도가 보여 많은 유저가 실망하고 있죠.;
뭐 하긴 해킹만 그런건 아니라..
12/07/05 00:50
수정 아이콘
일단 대충 실험해 봤는데요. 에러뜹니다.
데탑으로 OTP입력하고 접속(접속유지중)->OTP바뀌는거 보자마자 노트북으로 전에 OTP입력시도->Error3발생...
OTP바뀌자마자 입력해서 에러뜬건데 2번바뀌는거 하는것은 무의미할것 같아서 안해봤습니다.
그리고 OTP로 로그인하고 OTP가 유효한동안 다른컴퓨터에서 같은 OTP로 접속시도해도 에러뜹니다..
즉, 한번쓴 OTP는 폐기된다는 소리인데,,,웹진실험이 뚫리는걸 봐서는 뭐가 뭔지 모르겠군요.
너구리만두
12/07/05 01:02
수정 아이콘
주말에 친구랑 피시방에서 디아 하면서 전 otp사용자고 친구는 사용안하는데 친구가 opt같은 번호로 뚤린다는 글을 인벤에서 보고 친구랑 직접 실험 해봤는데 에러3뜨면서 안됩니다.
저기사를 보면 모니터에 선위치를 보니 2개에 컴퓨터로 실험했는지 의심이 들고....저스샷만 보면 그냥 처음 받은 번호가 새로운 번호받고도
되는지 실험한거 같은데요. 저건 1분 30초 유지가 되기 때문에 가능 한걸로 아는데...기사가 좀...
하얀눈사람
12/07/05 01:28
수정 아이콘
지금까지 어떤 의심이나 음모론같은 것들을 크게 생각해본적이 없는데요, 이 문제와 관련해서 블리자드가 잠수함 패치했을 가능성에 대한 생각이 제 마음 깊숙한 곳에 조금 있습니다.
직접 게임을 해보면 하루가 멀다하고 바뀌는게 많습니다. 1.03패치후에 썩숲에서 비석이벤트 찾기 어렵다가 갑자기 자주 등장한다던지 몹들 난이도가 상승하고 버그로 안나오던 던전이나 일지가 갑자기 나오게되고 이런 모든 패치들이 공홈에 올라와있지 않습니다. 직접 체감을 하거나 혹은 인터넷 커뮤니티에서 찾아봐야하는 현실에서 지금까지 수없이 증언되었던 otp 해킹사건들이 모조리 100% 거짓말이었을 가능성보다는 블리자드가 잠수함패치했을 가능성에 저로써는 그쪽에 더 마음이 쓰입니다.
12/07/05 01:30
수정 아이콘
연막 1.5초, 2.2초 혼용될때 생각해보면 진짜... 실험하는사람들마다 값이 다르게 나와서 정말 난리도 아니었죠. 제가 블리자드에 대한 미련을 완전히 버린게 이 썩을놈의 잠수함패치때문입니다. 그냥 지들 원하는대로 안된다고 지멋대로 바꿔놓고 유저들이 실험해서 다 찾아놓으면 한참 뒤에야 슬그머니 공지해놓고 어쩌고저쩌고...
정형돈
12/07/05 02:01
수정 아이콘
잠수함패치 하지 않았을까요?
이거 패치했다고 공지하는 순간
저런 상황이 있었다고 인정하는거니..
예전 북미서버우회에 대한건 얘기나왔나요? [m]
포포리
12/07/05 07:06
수정 아이콘
기사를 믿을수가 없네요.
기사가 올라온 날짜가 Leeka님이 이전글을 작성하신 날짜와 동일하네요.
정확히 제가 실험하기 전까진 까고 싶지 않네요.
마이너리티
12/07/05 08:07
수정 아이콘
Otp 쓰고도 피시방에서 와우 실시간 해킹 당한 경험이 있어서..
블리자드의 해킹 방지책은 믿지 않습니다..

더 웃긴건 와우에 otp 쓰고도 해킹을 당하는 사례가 빈번하자
내놓은 해결책이 자체 보안 시스템 보완이 아니라 외부 백신 사용 권유라는거..
외부 백신으로 해킹 막으라고 할거면 otp는 뭐하러 도입한건지...

집은 제가 꼼꼼히 관리하는데 피시방에 가면 와우 할때마다 백신 새로 깔고 업뎃하고 게임을 해야하고
그거 안하면 해킹은 유저탓이라고 하는게 좀 어이가 없더군요

블리자드보다 훨씬 영세한 게임 업체들도 나름 여러 해킹 방지책이 있는데
왜 블리자드 정도 되는 업체가 이리도 해킹 예방에 돈을 아끼는지..
12/07/05 08:22
수정 아이콘
저거 해본적이 있는데 실제로 됐었습니다.
기존에 동기화한 다음 번호 적어놓고 나중에 다시 로그인할때 그 번호 그대로 치니 들어가지더군요.

어제 다른 분 말로는 잠수함 패치된 것 같다고 하셨었습니다.
김연우
12/07/05 08:35
수정 아이콘
이건 잠수함 패치가 아니라 서버만 수정해도 고칠 수 있지요.
네오크로우
12/07/05 08:37
수정 아이콘
가게가 한가한 오전 8시부터 30분간..중간 중간 뭐 화장실도 다녀오고 그랬긴한데.. 5대 정도 켜놓고 쭉 해봤습니다.
갱신되자마자 하나 접속하고 접속끊고 옆자리 접속, 접속한 상태로 옆자리 접속, 동시 접속(?????, 복사 의도 없었습니다. 한가해서..ㅠ.ㅠ)
다 실패했습니다.
12/07/05 09:33
수정 아이콘
2pc라..
저도 2pc로는 해본적이 없었는데요.
그럼 여태까지 1pc는 안됐는데, 2pc로는 가능한 문제가 있었고
그걸 중간에 수정했을 가능성이 높다
라는게 가능성이 높겠군요?
포포리
12/07/05 09:41
수정 아이콘
가능성이 높은것도 아닙니다
'예전엔 그랬다' 라고 하는말보면 증거는 하나도 없고 '내기억엔 그랬어' 밖에 없거든요.
지금 안되니까 '몰래 잠수함패치했네!' 라고 하는거죠.
예전에 그랬다면 그때 의혹이 안나왔을리도 없는데말이죠.
제 생각엔 그냥 음모론 수준의 가능성 밖에 안된다고 봅니다.
호리호리
12/07/05 10:18
수정 아이콘
마이너리티 님// 그러면 피시방 보안상태까지 블리자드가 관리해야할까요 ;;
와우 해킹대란당시 해결책으로 그게 당연한 것이었지요 게임 보안 문제가 아니라 유저들의 pc상태와 편법 이용들이 문제였으니까요.
서버가 뚫린것도 아니고 개인 피시가 키로깅 당한걸 어떻게 해준 답니까;;;
호리호리
12/07/05 10:38
수정 아이콘
포포리 님// 그건 당연히 런처가 변조되어있으니까요.
otp가 유지되는 짧은 시간 안에 게임에 접속하여 털어야하니 접속 되게 하면 안되죠.
실제로 와우나 디아 커뮤니티에서 그런 의견을 주장한 사람들도 있었지만 (실제 제 옆에서 여자사람님이 해킹당하는 것도 보았고요)
단순한 키로깅 입니다.
호리호리
12/07/05 10:43
수정 아이콘
첨언 하자면
와우나 디아 해킹 당한 피시에서 발견되는 주된 바이러스가
Win-Trojan/Patched.64000.B
Win-Trojan/Patcher.135680
Win-Trojan/Patcher.133632
요 3가지이고 3가지가 키로깅 기능을 하는 바이러스입니다.
주된 전파경로는 엑티브x.... 광고 많은 사이트or 웹하드 조심하세요..(ie 6~8)
12/07/05 10:53
수정 아이콘
아침에 잠시 접속해보는데
OTP 평소처럼 1분 30초니까 지나고 하지 뭐 하고 입력했는데, 10초정도 지나고 입력했어도 접속오류 내놓는 상황이네요.


보안관련 이슈가 대충 떠도니까 갑자기 변경한 느낌이 솔솔...
호리호리
12/07/05 11:04
수정 아이콘
티니 님// 여전히 30초 유지입니다 화면 표시 30초 /이후 유지 30초 지금 접속해서 초시계들고 확인 해봤습니다.
작년 부터 이건 변한적이없는데 저만 다른 게임을 하고있었던 듯 합니다.
12/07/05 11:17
수정 아이콘
그냥 일상이랑 똑같이 했어요
A키 생성(30초) -> B키 생성(30초)

A키 생성 끝나고 B키로 넘어가고 10초정도 되었을때 해당코드 넣었는데, 접속오류(Error 3) 나오더라구요.

이전에는 B키, C키까지 살아있고, D키 생성되는 시점에서 폐기됐습니다. 혹시 모르니 재확인은 해보겠습니다.


재확인 결과 : B키생성유지타임(A키 생성후 1분) 내에 재접속 시도결과 넘어가네요, 키값이 잘못 입력되었거나 순간적인 이상이었거나 둘중 하나인것 같습니다.
하얀눈사람
12/07/05 11:16
수정 아이콘
지금 해봤는데 에러가 뜨네요. 그런데 일정시간(2타임-otp 2번 바뀌는 시간)이 지나면 자동으로 로그인화면으로 팅기는데 그때에는 처음 봤던 otp번호로 접속이 가능합니다. 새로 번호가 리셋되서 그런게 아닌가해서 그 번호로 여러번 로그인해봤는데 다시 안되는걸 보니 그건 아닌거 같네요.
물여우
12/07/05 11:32
수정 아이콘
현재 otp 사용시 해킹은 악성코드에 의한 클라이언트 후킹으로 일어나는 문제인 것 같은데, otp 관련해서 이러한 테스트가 있더군요. 특정한 상황에서는 otp 2회 입력이 가능하긴 한가 봅니다.

http://www.playwares.com/xe/index.php?mid=diablo3&search_keyword=otp&search_target=title_content&document_srl=23484935
12/07/05 11:33
수정 아이콘
이전에는 분명 사용한 번호도 폐기가 안됐었는데 이건 증명할 방법이 없네요.

제가 거짓말을 하는건지 아니면 블리자드가 입닦고 있는건지는 모르겠지만, 만약 사실이래도 밝히지는 않을겁니다.
이걸 인정한 순간 기존 해킹사건까지 전부 인정하는 모양새가 되니까요. [m]
12/07/05 15:19
수정 아이콘
하여튼 해킹기술 만드는 사람들 머리 참 좋네요
목록 삭게로! 맨위로
번호 제목 이름 날짜 조회 추천
47683 NLB Summer 2012 16강 4일차, D조 [177] 키토4880 12/07/05 4880 0
47682 2012 무슈제이 GSL 시즌3 코드S 16강 D조 [229] Lainworks5372 12/07/05 5372 0
47681 [디아3] DPS 계산기 [13] 마남6783 12/07/05 6783 1
47680 곰TV, 스타2 레디액션: 크로스 매치 개최 - KeSPA-e스포츠연맹 최초 맞대결 [69] kimbilly8896 12/07/05 8896 1
47679 블리자드 OTP 이야기 - 관련 기사 공유 [55] Leeka6148 12/07/04 6148 0
47678 AZUBU LOL The Champions Summer, 개막전 #5 [221] 키토6664 12/07/04 6664 1
47677 AZUBU LOL The Champions Summer, 개막전 #4 [327] 키토5478 12/07/04 5478 0
47676 AZUBU LOL The Champions Summer, 개막전 #3 [330] 키토5019 12/07/04 5019 0
47675 AZUBU LOL The Champions Summer, 개막전 #2 [329] 키토4967 12/07/04 4967 0
47674 AZUBU LOL The Champions Summer, 개막전 #1 [326] 키토6340 12/07/04 6340 1
47673 2012 무슈제이 GSL 시즌3 코드S 16강 C조 [316] 삼성전자홧팅4666 12/07/04 4666 0
47672 [디아3] 매찬셋 스왑에 대한 블리자드와 유저들간에 의견교환 [42] 모노크롬8274 12/07/04 8274 0
47671 2012년 7월 첫째주 WP 랭킹 & GWP 랭킹 (2012.7.1 기준) [4] Davi4ever5479 12/07/04 5479 0
47670 tving 2012 스타리그 4강 맵순서 [30] SKY926820 12/07/04 6820 0
47669 국내 철권리그 우승-준우승팀.txt [16] 리콜한방6163 12/07/04 6163 0
47668 NVIDIA Tournament - League Of Legends 오프라인 결선 [14] Fix_me4775 12/07/04 4775 0
47667 스타리그. 최후의 4강. 4명의 선수의 꿈의 이야기. [39] Leeka7392 12/07/04 7392 0
47666 마지막 스타크래프트1 리그. 꿈의 4강이 확정되었습니다. [85] Leeka9659 12/07/03 9659 0
47665 tving 2012 스타리그 8강 D조 정명훈vs어윤수(6) [216] SKY925505 12/07/03 5505 0
47664 tving 2012 스타리그 8강 D조 정명훈vs어윤수(5) [246] SKY924964 12/07/03 4964 0
47663 tving 2012 스타리그 8강 D조 정명훈vs어윤수(4) [286] SKY925632 12/07/03 5632 1
47662 tving 2012 스타리그 8강 D조 정명훈vs어윤수(+레전드 매치 이윤열vs오영종)(3) [288] SKY927132 12/07/03 7132 0
47661 tving 2012 스타리그 8강 D조 정명훈vs어윤수(+레전드 매치 이윤열vs오영종)(2) [311] SKY926020 12/07/03 6020 0
목록 이전 다음
댓글

+ : 최근 6시간내에 달린 댓글
+ : 최근 12시간내에 달린 댓글
맨 위로