해킹 관련 뒷이야기

m16.me/Notice/36232316

해킹 관련 안내 - 공지사항 - M16 War3 Online

위 공지사항에 관한 뒷이야기입니다.

---

사실 예전에 사이트 기반 엔진의 보안 취약점으로 인해 실제로 보안이 뚫리는 사례가 있었습니다.

단지 악용되기 이전에 아마도 업계 종사자로 추정되는 분께서 알려주셔서 잘 조치했을 뿐입니다. 여담이지만 그분께는 별도로 사례했습니다. 근데 동방 프로젝트의 사쿠야 좋아하시던 것 같던데 아직 아이콘을 못 만들었네요. 앗...

오래돼서 기억은 잘 안 남습니다만, 저 때는 취약점으로 로그인 과정 자체를 패스하고 바로 관리자 계정을 탈취하여 사용할 수 있었습니다. 세상에.

실제로 위와 같은 보안 취약점으로 인해 계정이 탈취되는 경우에는 로그가 별로 남지 않습니다. 위 사례에서도 로그인 과정 자체를 패스하기 때문에 로그인 기록이 아예 남지 않았습니다.

시연해서 보여주시겠다며 제 계정으로 로그인을 패스하고 글을 작성하셨을 때는 좀 황당하기까지 했습니다.

---

그런데, 이번에는 좀 이상하더라고요.

우선, 시행 횟수가 너무 많았습니다. 관련 로그를 일부 공개하기는 했습니다만, 실제 로그인을 실패한 시행 횟수는 총 415회입니다.

그리고 공개된 로그인 기록에서 패턴을 보면 알 수 있지만, 대체로 로그인 간격이 최소 4초에서 최대 20분 가량입니다.

하나 더 보자면 시행 IP도 일치합니다.

게다가 막상 성공한 사례는 공지사항에 게시된 두 계정 외에는 없었습니다.

---

따라서,

① 시행 횟수를 보았을 때 따로 보안 취약점을 악용한 것은 아니며

② 시행 주기와 패턴을 보았을 때 봇을 사용한 것도 아니며,

③ 막상 성공한 횟수도 위 두 계정에 한정되어 너무나 적기에,

단순히 사람 손으로 본인이 홈페이지 혹은 특정 사이트에서 확인한 계정들에 대하여 쉬운 비밀번호를 대입했다고 결론지었습니다.

개인적으로는 지식욕이 많은 관계로, 이번에는 어떤 취약점일지 기대했는데 매우 크게 실망했습니다.

다만, 2020-09-14 15:07:42부터 2020-09-15 03:24:30까지 지속하여 로그인을 시행한 것으로 확인되는데, 실제 사람이 맨정신으로 12시간 동안 저럴 수 있는지는 잘 모르겠습니다. 끈기 하나는 인정하겠습니다. 별로 존경스럽지는 않습니다만.

---

여하튼, 1111 혹은 1234 혹은 asdf와 같은 비밀번호는 워크래프트 3 뿐만이 아니라 여느 온라인 게임 혹은 웹사이트에서 누군가 한 번쯤은 시도해볼 만한 비밀번호입니다. 실제로 타 게임에서도 이와 같이 비밀번호를 설정하였다가 계정을 해킹당하는 사례가 비일비재합니다.

당장 디시인사이드에서만 해도 비밀번호를 1234로 설정하여 게시글 혹은 댓글이 타 이용자에 의해 삭제당하는 경우가 종종 있습니다.

가급적이면, 비밀번호는 최소 8자리에 특수문자 정도는 섞어주는 편을 권장해 드리고 싶습니다. 비밀번호에서 웬만하면 알파벳 대소문자는 별도로 구분되니 대문자까지 섞어준다면 단순 시행으로는 거의 뚫릴 일이 없습니다.

정작 저번에 제 계정이 한 번 뚫린 것을 보아 네이버 같은 대형 사이트에도 보안 취약점은 있는 것 같지만요. 근데 네이버는 웹페이지 소스 보면 뚫려도 그런가보다 싶긴 한데...