2017년 5월 3일 수요일

NCOTP, 기억하고 있습니까?


국내 온라인게임회사는 2004-2007년 사이에 정말로 심각할 정도로 중국발 해킹에 시달렸습니다. 한때는 신규 악성코드 상위 top 20 의 절반 이상이 게임 계정도용을 하는 악성코드였던 적도 있으니까요.

저는 중국 해커들의 화력이 절정을 이루던 이때, 엔씨소프트에서 보안 책임자로 근무하고 있었습니다. 정말 1년만 근무해도 만랩을 찍게 되는 최전방 전쟁터였습니다. (정말로 말 그대로 battle front ㅜ_ㅜ)

어떻게든 소모전을 줄여보려고 웹서버들이 뚫리더라도 DB 서버가 근본적으로 뚫리지 않도록 VLAN 쪼개고 웹-미들웨어-DB로 변경하는 시도도 했었고요. (정말 운영실 분들이 늘어나는 ACL개수에 힘들어 하셨습니다. 에고고 돌이켜 보면 송구스러울 따름입니다. 그래도 협조해 주신 덕에 당시 보안성을 높일 수 있었습니다.)

하지만, 무엇보다도 엔씨소프트에서 선도적으로 (제가 아는 한 전세계에서 최초) 했던 고객 보호 방안 중 하나는 OTP 를 서비스 하기 시작한 것이었습니다.

물론 하드웨어 토큰 방식의 OTP 는 블리자드에서 최초로 했습니다만, 당시 엔씨는 리니지, 리니지2, ... 등 게임 유저 수가 타의 추종을 불허하던 때여서 하드웨어 토큰 방식 OTP 를 판매한다는 것은 현실적이지 못한 점이 많았습니다.

그래서 휴대폰에서 구동되는 어플 방식으로 OTP를 서비스 하게 되었습니다. SMS 방식으로 할 것인지 (보안상 취약한 점 + 문자 발송 비용 문제), 아예 어플 방식으로 할 것인지 (이통사 폰 테스트, 어플 검수 절차도 꽤 까다롭던 시절이니까요.) 고민도 많이 했었고요. 무엇보다도 고객에게 OTP 라는 것이 무엇인지 어떻게 이해시킬 것인가도 고민 거리 중 하나였었습니다. 그 당시만 해도 OTP (One Time Password) 라는 것을 써보거나 아니면 하다못해 접해보기라도 한 고객들은 소수에 불과했습니다.

여러 노력 끝에 나온 서비스는 최초로 리니지에 적용이 되었고, "린 OTP" 라는 이름으로 서비스 하게 되었습니다. 정말 많은 부서들 (10개 이상의 부서들 -- 이니텍, 웹개발, 시스템 개발, 시스템 운영, 보안, GM, CS, 게임 클라이언트 개발팀, 서버 개발팀, ...) 이 모여서 몇달간 협력을 해서 나오게 되었고요. 저는 당시 이 아이디어의 입안과 PM을 맡아서 추진을 하게 되었고, 정말 일을 많이 배울 수 있었습니다. 엔씨소프트의 GM, CS팀이 정말로 경쟁력이 강한 조직이라는 것도 새삼 깨닫고 많이 배울 수 있었고, 회사 업무 프로세스도 많이 알게 되었습니다.
정말 모든 부서 분들이 계정도용을 막아보자는 애사심에서 다른 업무 보다도 우선순위를 높여서 작업해 주신 덕분에 (오픈했을 때는 정말 감동했던 기억이...), 린OTP 런칭 이후로 계정 도용도 성공적으로 막아낼 수 있었습니다.

이후 휴대폰 어플 방식의 OTP 서비스는 포털 및 게임회사들에 널리 확산되면서 엔씨소프트의 보안은 벤치마킹의 대상이 되곤 했습니다.
더불어서 PC등록서비스 (요즘의 인터넷 뱅킹에서 이용할 PC나 스마트폰 등록하는 서비스), 전화인증 서비스 역시 금융권들보다 앞서서 적용해서 이용자 보호를 위한 다양한 서비스들을 선도적으로 갖추었었습니다. 정말로 이 시절의 엔씨 보안실 하면 업계에서 "우와! 앞서간다" 소리를 듣던 전성기였던 것 같습니다. 언제나 이 시절을 회상하면 가슴이 벅차 오르고 당시 전장터를 같이 누비던 분들이 새록새록 떠오릅니다.

당시 계정도용과 OTP 관련된 언론 기사들입니다. 제가 직접 인터뷰 했다기 보다는 주로 기사 내 멘션 된 경우.. 입니다. ;-) 우와 기사를 보면 제가 정말 엄청난 사람이었던 것 같아요 (퍼펑)

이후 리니지에 최초 적용되었던 린OTP 는 업그레이드를 거듭해 NCOTP 라는 이름으로 전사의 모든 게임 (리니지2, 아이온, ...)에 확대되어 적용되었고, 휴대폰 어플 방식 외에도 카드형 OTP (지갑에 신용카드 처럼 넣기 편하게)으로도 확장되었습니다.
2017년 2월 경부터 Google Authenticator 로 교체되어 과거의 서비스를 찾아볼 수는 없게 되었지만 (아무래도 simple is the best 이기 때문에, Google Authenticator 와 연동하는 것이 신뢰성이 훨씬 높으니까요.), 그래도 꽤나 멋진 서비스 였다고 생각됩니다.

추신) 최근에 ACM NetGames 2017 (올해는 ACM MMSYS 와 함께 열려요.) accept 된 저희 논문을 소개합니다.

Crime Scene Re-investigation: A Postmortem Analysis of Game Account Stealers’ Behaviors
무엇보다도 논문 제목을 잘 뽑았다고 생각합니다. ;-)
논문  다운로드는 아래 주소에서...
https://arxiv.org/pdf/1705.00242.pdf