2008년 9월 4일 목요일

기사 스크랩 - 온라인게임 계정도용, 나부터 조심해야 (thisisgame, 2006-10-19)

회사 대외협력 부서 요청을 받아 나가서 발표한 강연. AOGC. 나름 큰 행사였던 것으로 기억된다. 이 당시 나는 팀장으로 불리우고 있었을 뿐, 우리 회사에는 '최고 보안책임자' 라는 호칭이 정식으로 있지는 않지만 대외협력 부서의 권장사항으로 아래와 같은 타이틀이 잠시 호칭인플레가 되어 붙었었다.

 

http://www.thisisgame.com/board/view.php?id=64483&category=8011

온라인게임 계정도용, 나부터 조심해야

엔씨소프트 최고 보안책임자 김휘강 AOGC 2006 강연

엔씨소프트 최고 보안책임자 김휘강 팀장

“최근 모음악사이트와 쇼핑몰이 트로이목마에 감염되어 게임계정을 도용당했습니다. 이들은 스스로를 피해자라고 주장하지만, 피해자인 동시에 다른 게임회사 유저들의 보안을 위협한 가해자이기도 합니다.”

아시아온라인게임컨퍼런스 2006에서 ‘최근 악성코드와 온라인게임서비스회사의 고객보안 대처’라는 주제로 강연한 엔씨소프트 최고 보안책임자 김휘강 팀장의 말이다.

그는 계정도용 같은 피해를 막기 위해서는 게임사 뿐만 아니라 모든 인터넷사이트, 각 유저가 함께 노력해야 한다고 주장했다. 최근 S쇼핑몰, C게임커뮤니티사이트, M음악사이트가 악성코드에 감염되어 게임 유저들의 계정을 도용하는 사건이 있었다. 이처럼 제 3의 웹사이트에 악성코드를 심어놓는 경우는 게임사가 아무리 보안에 투자를 해도 막을 수 없다는 것.

또 게임업체가 아무리 좋은 보안 솔루션을 채택하더라도 유저가 이를 선택하지 않으면 무용지물이기 때문에 각 유저들도 보안의식을 가지고 스스로 자신의 PC보안을 챙겨야 한다는 것이다.

하지만 그는 게임업체의 역할도 잊지 않았다.

“게임업체는 유저들이 다른 데 신경쓰지 않고 즐겁게 게임을 할 수 있는 환경을 제공해야 합니다. 클라이언트, 웹사이트는 물론 유저들의 PC보안까지도 함께 높여주는 서비스가 필요합니다.”

즉 PC보안 문제는 사용자의 과오인 경우가 많더라도, 서비스를 제공하는 회사의 입장에서 유저의 PC보안까지 높여줘야 한다는 것.

이를 위해 김휘강 팀장은 엔씨소프트가 제공하고 있는 PC 등록 서비스, NC OTP 서비스, mControl 서비스 등을 대안으로 제시했다.

1. PC 등록 서비스

유저가 사전에 등록한 PC(1계정당 5개 PC)에서만 로그인이 가능한 서비스

2. NC OTP 서비스

로그인시 기본적으로 입력하는 계정과 비밀번호에 더해, 본인의 휴대폰에 다운받은 프로그램에서 생성한 제3의 코드를 입력하는 방식. 해킹이 불가능한, 가장 높은 수준의 보안서비스.

3. mControl 서비스

게임에 로그인할 경우 휴대폰SMS를 통해 로그인내역을 통보해주는 서비스. 이때 자신이 로그인하지 않았으면 휴대폰 버튼을 누르는 것만으로 강제 로그아웃시킬 수 있기 때문에 매우 편리하다. 하지만 SMS는 건당 최소 10원의 비용이 붙기 때문에 게임사 입장에서는 부담이 큰 방식.