다음, 아이디만 알면 누군가의 아이디를 못쓰게 만들 수 있다?

아는 사람이 다음 한메일을 이용중 당한 일이라고 한다.

누군가 자신의 아이디에 반복적인 로그인 시도를 해서 아이디가 정지되었단다. 즉, 상대방이 아이디는 알고 비밀번호를 모른채로 이것저것 넣어본 것.

그럴 경우 다음이 할일은 해당 불법 접근자만 차단하거나 반복적인 로그인 시도를 지연시켜야 할것이다. 하지만 다음이 처리한 것은 아이디 사용 영구 차단. -_- 고객이 아이디를 못쓰는 피해를 막기 위해서 못쓰게 하는 방법이라니!

게다가 아이디를 다시 사용하려면 주민등록증이나 등초본이라도 떼어서 제출해야 한다. 요즘 시대에 이게 무슨 뻘짓인가?

screenshot-mail google com 2014-05-26 10-10-55

이런 알고리즘을 이용하면, 내가 미워하는 사람의 다음 ID를 알면, 그 사람의 ID를 못쓰게 만들어 버릴 수 있다. 본인 증명이 처리 될 때까지.

다음, 시대에 맞게 좀 바꿔라. 불법적인 접근이 늘어나면 그 패턴만 차단하면 된다. 본인 확인도 핸드폰 확인이나 보조 이메일등 다른 방법은 많다.

블로그 서버가 공격당하고 있습니다. 하하하.

이 블로그는 제 집의 구석에 박아둔 아톰 홈서버입니다. 냉각팬 하나 없이 더운 날을 버티는 당찬 꼬마지요.

그런데 오늘 상태가 메롱해서 보니, 공격을 당하고 있네요.
워드프레스 로그인 파일인 wp-login.php를 타겟으로 초당 10~100회 이상의 쿼리를 날려오고 있었습니다. IP는 이탈리아, 인도네시아, 일본, 캄보디아 등등…다국적 군. ㅋ

간단하게 .htaccess에 허용 ip를 제외하고는 차단해버려서 해결했습니다.

개인 홈 서버에 공격을 당한다는 건 처음 겪어 보는 일이라, 신기하고 재미있군요. 이 볼거 없는 블로그에 뭐하러 그런 수고를 하는 걸까요. ㅋ

 

ps. 역시 그정도 쿼리도 버티지 못하고 뻗어버리는 아톰 군. 듀얼코어도 소용없군.

아이러브스쿨 망해버렷

사용자 삽입 이미지
나 참나…망한줄 알고 탈퇴 안했더니, 안망해서 도둑질이나 당하고, 어이가 없군요.

설마 유출된게 아니라 팔아먹은건 아니겠지.

어째튼 제대로 관리 안한 놈들, 이 기회에 망해버렷.

ps.
주민번호야 널린거고, 비밀번호야 사이트마다 다 다르니 상관없겠지…라며 자기 위안 중.

ps.
아는 사람은 아는 이야기지만, 거의…2004년? 그 이전의 웹사이트중에 주민번호등 개인정보를 암호화 한 사이트는 거의 없을겁니다. 주민번호 가지고 몇명 회원 가졌다고 하는게 그 사이트의 경쟁력으로 취급하던 시대였고, 그런 개인정보를 팔아서 먹고 사는 회사들도 꽤 많았던게 현실.

DDoS 공격의 근본적인 해결 방법

DDoS 공격때문에 청와대를 비롯해 많은 사이트들이 멈추었고, 수사한다고 온 정부기관이 난리고, 국정원은 얼씨구나 기회다라며 친북세력들이 한거라고 오바질중이고…난장판이다. 트위터에서는 “정부가 이번 기회에 인터넷 규제를 더 강화하는거 아니냐”라는 왠지 그럴듯한 걱정도 앞서고 있다.

뭐…사건이야 언젠가는 해결될테고, 이런 문제가 반복되는것을 막을 근본적인 해결방법은 무엇일까? 가장 중요한건 국내에 좀비PC가 몇일만에 몇만대가 되는것을 막아야 한다.

이를 막기 위해서는

  1. 국내 웹사이트에서 ActiveX 사용을 멈추어야 한다.
  2. IE6등 구형웹브라우저를 퇴출시키도록 캠페인하고, 파이어폭스등 기반이 다른 웹브라우저도 어느정도 점유율을 확보해야 한다
  3. 사람들에게 보안업데이트와 백신의 사용을 적극 홍보하고 권해야 한다

우리나라 사람들은 뭔가 노란 경고창이 뜨면 조건 ‘설치’를 누른다. ActiveX의 설치를 허가하지 않으면 웹사이트 이용 자체가 불가능한것이 학습화 되었기 때문에, 세밀한 내용을 확인도 하지 않고 확인해주는 것이다. 보안 경고 시스템이 국민들의 버릇에 의해 무력화 된것이다.

우리나라 사람들은 IE의 점유율이 98%이고, 그중 50%이상이 오래되고 보안이 취약한 IE6이다. 한가지 플랫폼에 단일화 되어 있으면 한가지 침입방법에 모든 국민이 당한다. 다양성은 보안에 매우 효과적인 요소이다. 따라서 파이어폭스등의 제2,3브라우저가 외국처럼 어느정도 점유율을 차지해야 극적인 감염이 확산을 막을 수 있다.

우리나라 사람들은 윈도가 문제생기거나 느려진다면서 보안업데이트도 안한다. 서비스팩도 안깐다. 백신도 거의 안깐다. 은행사이트에 들어갔다 나와서 보안 플러그인을 실행시킨다든지 하는 말도 안되는 보안상식이 팽배해 있다.

덕분에 각종 커뮤니티에 ‘해킹’이라고 검색해봐라 정말 하루에도 게임이나 웹서비스 계정을 해킹당했다는
사람들 수두룩하다. 대부분 자신의 비밀번호 관리를 잘못했거나, PC에 보안이 뚫려서 비밀번호가 노출된것이다.

이런 문제가 빨리 해결되지 않으면, 우리나라는 좀비 PC가 1,2만은 우습게 발생하는 나라가 될것이다. 해킹 사고만 터지면 해외 서비스들이 중국과 함께 IP차단해버리는 나라가 되고 싶지 않다면, 서둘러야 한다.

관련뉴스 : 미국, 공격 경유지 한국 지목, 트래픽 차단 조치

게이머님들, 은행 보안프로그램을 믿지 마세요.

어쩌다 알게 된 온라인 게임 머저리 어린 놈친구A가 갑자기 쪽지를 보내왔습니다.

A : “드라코님, 저 계정 해킹당했어요. + (‘팬티만 입은 캐릭터로 징징거림’으로 요약가능한 약 2KB의 메시지)

Draco : “저런, 안되셨네요. 넥X은 복구 안해주던데”

A : “그러게요. 어떻게 해킹당했는지 모르겠어요. 정말 많이 조심했는데”

Draco : “PC방에서 바이러스 걸린 컴퓨터를 쓴거 아니에요?”

A : “그건 아니에요. 게임 들어가기 전에 XX은행 사이트에 먼저 접속해본다구요”

Draco : “……”

정말 할말을 잃었습니다.

은행의 보안용 프로그램은, 은행 사이트에 접속했을때만, 은행 웹페이지만 보호해줍니다. 운영체제에 게임을 타겟으로 하는 바이러스가 걸려 있는지는 그 보안 프로그램의 관심사항이 아닙니다.

누가 게임 계정의 안전을 위해 은행사이트에 들어가보라는 말도 안되는 팁을 처음 퍼트린겁니까? 잘난척 하려고 퍼트린 추측성 팁이 얼마나 많은 사람들에게 피해를 줬을까요.

게임은 믿을수 있는 백신이 설치된 컴퓨터에서만 하고, 그렇지 않을때는 OTP등 확실한 인증 시스템과 스크린 키보드등을 사용하세요.

온라인 게임, 해킹 예방 십계명

온라인 게임은 키로그 방식으로 해킹되어 피해가 자주 발생한다. 기본적인 예방법을 정리해보았다.

  1. 항상 윈도 보안 업데이트 – 이것만 제대로 해도 95%이상 예방가능. 복제판 윈도의 경우 따로 조작을 하지 않으면 자동 업데이트가 중지되었으니 확인하시길. 구형 윈도우는 보안이 약해 비추이다.
  2. 백신 사용 – 백신은 보안에 필수이다. 그러나 개인적으로 V3는 여러가지로 실망스러운 일을 겪어 비추. 카스퍼스키등 해외유명백신 추천. 백신은 항상 시스템 감시 기능을 켜놓을것.
  3. 구형 웹브라우저 사용 금지
    IE같은 구형 웹브라우저는 보안의 최대 구멍이다. 크롬이나 파이어폭스를 사용해라. 그리고 항상 최신버전으로 업데이트 한다. 액티브X등의 설치 프로그램은 믿을 수 있는 사이트에서만 최소한으로 사용하고, 사용한 뒤 지운다.
  4. 모바일 인증, OTP 사용 – 요즘은 게임마다 모바일 인증등의 비밀번호 이상의 고급 인증 시스템을 두고 있다. 이것만으로도 거의 상당한 신뢰성으로 예방이 가능하다. 하지만 핸드폰과 게임계정의 주민등록번호가 일치해야 한다. 사용법을 잘 읽고 맞는것 사용할것.
  5. PC방이나 공용PC 이용 자제 – 여러 사람이 사용하는 PC는 그야말로 지뢰밭이다.
    스파이웨어 검색과 프로세스 검색을 해야 하지만 그러느니 나같으면 귀찮아서 게임 안한다;; PC방 사용 후 꼭 바로 집에 가서
    비밀번호를 바꾸도록. 공용 컴퓨터에서는 비밀번호 입력은 키보드를 직접 사용하기 보다 ‘스크린 키보드’를 이용하는 것이 좋다.
  6. 계정은 혼자만 사용 – 누군가에게 아이디와 비밀번호를 알려주는 것, 사실 이게 바이러스보다 더 큰 구멍이다. 전체 계정도용중 지인인 경우가 절반이 넘는다고 한다.
  7. 비밀번호 변경 – 비밀번호를 최대한 자주 바꿔주는것이 좋다. PC보안이 철저하면 빠져나갈 구멍은 아는 사람이나 게임회사이다. 일반적인 사이트 이용이라면 비밀번호 변경이 큰 도움이 안될 수도 있지만 게임처럼 많이 노려지는 계정은 유용할 수 있다.
  8. 유니크한 비밀번호 – 비밀번호는 다른 사이트나 다른 게임, 핸드폰, 은행 비밀번호등과 다른 비밀번호를 쓰는게 좋다. 많은 해킹이 어설픈 웹서비스에서 비밀을 알아내서 게임계정에 아이디와 비번을 그대로 넣어보는 방법으로 이루어진다.
  9. 계정 거래 자제 – 이 경우에 일어나는 경우도 꽤 많다고 들었다. 본주가 비번 바꾼다거나, 기타등등
  10. P2P나 크랙툴 사용에 주의를 – P2P를 통해 파일을 다운로드 받았을 경우 백신으로 꼭 검사하고, 프로그램 크랙툴등 사용은 자제한다. 주요한 바이러스나 게임 해킹툴의 감염 경로이다.

해킹은 얍삽한 ‘비밀번호’ 알아내기 과정을 통해 이루어진다. 아무것도 모르는데 키보드 빨리 두들겨 통과해버릴 수 있는 영화 속
천재 해커는 없다. 자신이 똑똑하게 방어를 한다면 해킹은 예방할 수 있다. 평소에 보안정보나 이슈에 관심을 가지고 여러가지로
주의를 하자.

옥션….왜 해킹되가지고 사람을 귀찮게 하나…

옥션이 해킹되었다고 합니다. 관련뉴스
회원정보와 환불정보가 노출된거 같고, 비밀번호는 암호화 되어 있어 괜찮다고 하는 군요.

문제는…제가 본인 확인 질문란에, 너무나 뻔하게…아이큐가 80만되도 비밀번호를 유추할수 있는 단어를 써놨어요 -_-;
거기다 더해서, 그 옥션 아이디/비밀번호가 그 당시 가입했던 사이트나 메신저들의 아이디/비밀번호와 동일해요…;;;
지금은 11개의 아이디와 비밀번호를 규칙에 따라 조합해가며 쓰고 있지만, 그 당시엔 쉽게하려고 일부러 통일해서 썼었죠.

그 비밀번호들을 다 바꿔야 하는건가!!!
아니면 이미 늦었나..

넥슨- 해킹처리 과정에서 무고한 계정 블럭

최근 넥슨의 온라인 게임 마비노기에 대한 해킹이 극성이다. 개발팀은 데브캣에서는 비쥬얼 키보드와 보안 로그인기능을 도입했고, 유명한 엔프로텍터도 도입할 예정이지만, 게시판에서 “해킹을 당했다”라고 올려지는 글은 하루에도 몇십건씩 계속 되고 있다.

그런데 최근 또 다른 종류의 글들이 게시판에 올라오고 있다. 바로 “계정 블럭 당했어요”라는 글이다. 넥슨이 무고한 사용자를 해커로 오인해서 계정 블럭을 했다는 것이다. 사연은 이렇다. 해킹범이 아이템을 저가에 팔거나 아이템을 뿌리면 사람들은 무심코 물건을 사거나, 원래 주인에게 돌려주기 위해 사재기를 해둔다. 넥슨은 해킹신고를 받으면 아이템의 이동경로를 추적해서 아이템이 옮겨진 계정들을 기계적으로 블럭하는 것이다. 더 큰 문제는 ‘억울하게 당한 사람들’이 하소연을 해도 소용이 없다는 것이다. GM에게 들려오는 답변은 ‘자신들은 객관적인 데이터를 바탕으로 했다’는 답변뿐이다.

넥슨의 해킹 대응은 너무 기계적이고 융통성이 없다. 눈앞에서 아는 사람이 해킹을 당하고 있어서 신고를 해도 넥슨의 답변은 ‘본인만이 신고접수가 가능하다’이다. 신고가 접수되지 못하는 사이에 이른바 ‘장물’들은 에린의 경제시스템속에서 돌고 돌며 무고한 피해자를 양산한다. 만약 그 장면이 안타까워서 해커가 버린 옷을 주워들거나 해킹당한 물품을 돌려주려고 사두면 기계적인 해킹처리로 해커 일당으로 오인될 가능성이 있다.

온라인 게임은 하나의 작은 사회로서, 게임의 내용적인 면만큼이나 운영적인 면이 사용자에게 중요하게 작용한다. 운영이 어설퍼서 사용자의 신뢰를 잃은 온라인 게임은 여럿된다. 마비노기도 그렇게 되지 않기를 바랄뿐이다.

온라인 게임 해킹 예방 십계명

최근 몇일간 각종 온라인 게임이 웜에 의한 감염방식으로 해킹되어 피해가 발생했다. 기본적인 예방법을 정리해보았다.

  1. 항상 윈도 보안 업데이트 – 이것만 제대로 해도 신형 웜을 제외하고는 95%이상 예방가능. 복제판 윈도의 경우 따로 조작을 하지 않으면 자동 업데이트가 중지되었으니 확인하시길. 윈도XP의 경우 최소한 XP 서비스팩 2이상은 깔아줘야 반타작은 한다. 윈도98, ME등 비NT계열 OS는 타겟이 되는 경우는 낮으나 기본적인 보안 성능은 형편없으므로 사용 자제.

  2. 백신 사용 – 백신은 보안에 필수이다. 그러나 개인적으로 V3는 여러가지로 실망스러운 일을 겪어 비추이다. 카스퍼스키등 해외유명백신 추천. 백신은 항상 시스템 감시 기능을 켜놓을것.
  3. IE6사용 자제 – 웹브라우저로 IE7이나 이미 발표된 파이어폭스등을 사용하면 보안이 강화되어 웹을 통한 공격을 예방할 수 있다. 굳이 불편해서 IE6을 써야 한다면 최신 보안 업데이트를 꼭 신경써야 한다. 액티브X 설치메시지는 항상 내용을 확인해서 설치하는 버릇을 가진다.
  4. 모바일 인증 사용 – 요즘은 게임마다 모바일 인증등의 비밀번호 이상의 고급 인증 시스템을 두고 있다. 이것만으로도 거의 상당한 신뢰성으로 예방이 가능하다. 하지만 핸드폰과 게임계정의 주민등록번호가 일치해야 한다. 사용법을 잘 읽고 맞는것 사용할것.
  5. 게임방 이용 자제 – 게임방 PC는 그야말로 지뢰밭이다. 스파이웨어 검색과 프로세스 검색을 해야 하지만 그러느니 나같으면 귀찮아서 게임 안한다;; 게임방 사용후 꼭 바로 집에 가서 비밀번호를 바꾸도록. 공개된 컴퓨터에서는 비밀번호 입력은 키보드를 직접 사용하기 보다 ‘스크린 키보드’를 이용하는 것이 좋다.
  6. 계정은 혼자만 사용 – 누군가에게 아이디와 비밀번호를 알려주는 것, 사실 이게 바이러스보다 더 큰 구멍이다. 전체 계정도용중 지인인 경우가 절반이 넘는다고 한다.
  7. 비밀번호 변경 – 비밀번호를 최대한 자주 바꿔주는것이 좋다. PC보안이 철저하면 빠져나갈 구멍은 아는 사람이나 게임회사이다. 잦은 비밀번호 변경은 그걸 막는데 가장 유용할수 있다.
  8. 유니크한 비밀번호 – 비밀번호는 다른 사이트나 다른 게임, 핸드폰, 은행 비밀번호등과 다른 비밀번호를 쓰는게 좋다. 많은 해킹이 어설픈 웹서비스에서 비밀을 알아내서 게임계정에 아이디와 비번을 그대로 넣어보는 방법으로 이루어진다.
  9. 계정 거래 자제 – 이 경우에 일어나는 경우도 꽤 많다고 들었다. 본주가 비번 바꾼다거나, 기타등등
  10. P2P나 크랙툴 사용에 주의를 – P2P를 통해 파일을 다운로드 받았을 경우 백신으로 꼭 검사하고, 프로그램 크랙툴등 사용은 자제한다. 주요한 바이러스나 게임 해킹툴의 감염 경로이다.

해킹은 얍삽한 ‘비밀번호’ 알아내기 과정을 통해 이루어진다. 아무것도 모르는데 키보드 빨리 두들겨 통과해버릴 수 있는 영화 속 천재 해커는 없다. 자신이 똑똑하게 방어를 한다면 해킹은 예방할 수 있다. 평소에 보안정보나 이슈에 관심을 가지고 여러가지로 주의를 하자.