저도 넥슨 계정 도용당했네요. by The xian

마비노기영웅전(이하 마영전) 해킹 사례 모집합니다.

자초지종이 어떻게 된지 모르는 상황에서 제 입장에서 보기엔 꼭 한정지어 마영전 계정도용이라기보다는 넥슨 계정 도용이나 크래킹 쪽으로 보는게 더 적당하지 않을까 생각합니다만... 일단 그건 접어두고, 어쨌거나, 위 포스팅을 보고 제 넥슨 계정을 들어갔습니다.


아니나다를까. 당했더군요. 2월 9일자로 제가 한 적도 없는 메이플스토리 아이템 결제가 있더군요. 캐쉬야 얼마 있지도 않았고 프리미어 팩 구입해서 마영전 했을 때 환불받았던 정도만 싹 털렸습니다. 그래서 저는 이렇게 생각합니다. OTP 안 쓴 마영전 계정의 정보가 유출된 게 아니라. 넥슨 계정 자체의 정보가 유출된 게 아닐까 생각합니다.
제가 알기로, 넥슨은 전체 계정에 대한 OTP는 없기 때문이죠. 넥슨의 U-OTP 시스템은, SP1, 허스키익스프레스, 마영전만 해당되고, 마비노기와 메이플스토리는 각 홈페이지에서 따로 가입해야 합니다.

참고로 메이플 스토리는 넥슨 계정이 있다고 해도 약관에 따로 동의해서 승인절차를 받아야 이용이 가능하고, 앞서 말한 것처럼 U-OTP도 메이플스토리 홈페이지에서 따로 가입해야 합니다. 그리고 메이플스토리에 로그인하려면 안랩의 보안프로그램을 다운받아야만 로그인이 가능합니다.

저는 메이플스토리에 가입승인을 한 적도 없었고 집에서 메이플 스토리를 한 적도 없었습니다. 그래서 제 넥슨계정으로 집에서 로그인하면 안랩 보안프로그램 설치가 처음부터 시작될 뿐더러, 메이플스토리에 로그인해 보니 이런 메시지가 뜹니다. 이용한 적이 없다는 이야기죠.
그리고 마영전에 들어가봤습니다. 마영전은 OTP를 사용해서 캐릭터 피해는 없었는데, 로그인하니 채팅창에 이런 메시지가 뜹니다.
다른 IP에서 접속하면 거래 및 우편함 10분간 이용불가라고 합니다. 2월 4일에 업데이트되었네요. 물론 이건 정상적인 업데이트라고 볼 수 있습니다.

그런데, 1주일이 지난 어제 업데이트 개발중 내용을 보겠습니다.
갑자기 2월 11일자로 OTP도 모자라 2차 비밀번호 개발중이라는 소리가 있네요? 글쎄올습니다. 과연 마영전이나 넥슨 계정에 아무 일도 없었는데도 넥슨이 마영전에서 2차 비밀번호 시스템을 개발할까요? 아무 일도 없는데 이렇게 보안에 난리법석을 떨 가능성은 극히 적다고 봅니다. 어디까지나 제 생각에는요.

상당한 규모의 크래킹사태 외에는 설명이 되지 않는다는 식의, 가능성에 대한 심증은 있으나, 애석하게도 물증이 없으니 더 이상 뭐라고 말할 수는 없겠습니다. 어쨌거나 마영전에서 봉인 정도가 아니라 완전히 빠이빠이하게 해 주셔서 대단히 감사합니다. 쓰레기 같으니.


- The xian -


P.S. PC방에서 쓴 적조차 없던 넥슨 계정까지 도용당하니 감기몸살이 더하는군요. 아이고 이런.-_-

P.S.II. 디스이즈게임 기사를 보니 최근 들어 저와 같은 피해를 입은 분들이 한둘이 아니라는 것은 확실하군요. 이런 식의 근거가 계속 나온다면 심증이 확신으로 굳어져 갈 수밖에요.

덧글

  • 컴터다운 2010/02/12 18:26 #

    넥슨 게임에 대한 대대적인 보이콧을 하지 않는 이상 별로 개선책도 안 내놓을 것이고 보상도 안해줄 것 같습니다.
    한국 게임시장의 질적 향상을 위해 넥슨이 그냥 이대로 고꾸라졌으면 하는 생각도 들지만.... -_)
  • The xian 2010/02/13 01:01 #

    그럴 가능성은 제로에 가깝죠.

    대한민국에서 좋은 게임을 만드는 회사는 쓰러질 수 있어도 돈을 손에 쥔 회사는 쓰러질 수 없다는 것은 님도 잘 알고 계시는 것이잖습니까.
  • 컴터다운 2010/02/13 04:25 #

    차마 반박할 수가...
  • draco21 2010/02/12 20:40 #

    저도 싹 털렸을것 같은 예감이 듭니다.. OTL
  • The xian 2010/02/13 00:58 #

    후...
  • 곰돌군 2010/02/12 21:10 #

    일정 이상 크래킹 사태가 일어났다는 정황이 보이는데
    이렇게 유야 무야 하고 넘어가는건지 참..
  • The xian 2010/02/13 00:58 #

    마영전의 프리미어 팩 환급 시점에 맞춰서 다수의 넥슨 계정 소지자에게 피해가 일어났다는 점도 상당히 미심쩍습니다.
  • JUNEI 2010/02/13 00:21 #

    글쎄요.
    넥슨 해킹이라기보다는 군소의 다른 사이트의 개인정보 db자체가 털린것이라고 생각됩니다.
    대부분의 네티즌은 모든 아이디를 똑같이 만들죠.
    보안이 취약한 군소 사이트가 털리면 그 db에서 주민번호, 아이디, 비번, 주소등의 개인정보가 털리게되고 그걸 바탕으로 네이버, 다음 같은 주요 포털이 털리기 시작합니다. 그리고 게임 사이트가 털리죠.

    네이버나 다음쪽의 로그인 기록 보는 서비스를 함 확인해보시겠습니까?
    로그인 ip를 자동으로 저장해두거든요. 평소에 쓰던 ip가 아닌 다른 ip로 로그인 시도 및 로그인 성공 기록까지도 확인할수 있습니다.
    포털 아이디가 털렸다면 이메일도 털린것이니 게임 사이트도 털릴 가능성이 충분하죠. 넥슨클럽은 넥슨 게임 하려면 반드시 선행으로 가입해야 하므로 대부분이 넥슨 클럽 가입 사실조차 잊어버리는경우가 많습니다.

    그리고 마영전의 2차 비밀번호 같은 경우는 요즘 이런식의 캐쉬 해킹 사태가 빈번하게 벌어지고 있어서 하는 행동으로 보입니다.

    일단 혹시 다른곳에서 아이디랑 비밀번호가 털렸는지 한번 확인해보시는게 좋을것 같습니다.
  • The xian 2010/02/13 01:00 #

    포털사이트에서 저는 넥슨 통합아이디와 전혀 다른 아이디를 쓰며, 아이디가 크래킹당한 일도 없습니다. 그래서 님이 말한, 군소 사이트가 털리면 포털이 털리고 게임사이트가 털린다는 식의 소리는 저에게는 전혀 해당사항이 없습니다.

    물론 같은 ID를 쓰는 사이트들도 있으니, 님 말대로 다른 사이트에서 유출당했을 가능성이 전혀 없는 것은 아니겠지요. 하지만 '왜 하필' 넥슨에 이런 크래킹 피해가, 한 명도 아니고 적잖은 사람들에게 발생했을까요? 그것도 마영전에서 프리미어팩으로 캐쉬환급을 한 지 1주일 이내에 말입니다. 넥슨 계정을 제가 PC방에서 계속 썼다면 모르나 회사와 집 외에는 쓴 적도 없습니다. 그게 크래킹당했고요.

    이런 상황이면, 넥슨의 피해를 의심하는게 상식이겠습니까. 아니면 어디 있는지도 모르는 듣보잡 사이트를 의심하는게 상식이겠습니까?

    지금 보면, 님은 넥슨측의 책임소재가 될 가능성이 있는 정황들을 상당 부분 유저 개인 책임이나 넥슨과 관계없는 것인 양 말하시는 것으로 여겨집니다. 물론, 넥슨의 책임과 무조건 관련이 있다고 단정짓는 것도 문제지만(그래서 저는 심증은 있으나 물증은 없다고 한 것입니다) 이런 식으로 넥슨과 무조건 관계없다고 끼워맞추는 시각은 더 문제가 많고 더 비논리적이고 더 곤란해 보입니다.
  • JUNEI 2010/02/13 01:33 #

    음..글쎄요.
    제 주변인들은 마비노기를 한지 꽤 오래되었습니다만, 이런식의 해킹은 당한적이 단 한번도 없습니다. 수십명에 달하는 지인 모두 아무런 이쪽 피해를 입지 않았다는것에서 넥슨 해킹은 아닐것이라고 추측하는것이구요.
    물론 마비노기이니만큼, 수많은 지인 역시 마영전도 합니다. 허스키도 하구요. 아무도 털리지 않았습니다.
    그래서 넥슨 쪽 해킹은 아닌것 같다고 생각하는것이죠.

    그리고 왜 넥슨에서 그러냐면, 넥슨이 캐쉬를 사용한 1회성 유료 아이템 판매에 대해서는 솔직히 독보적이라고 할수있습니다.
    게다가 취약점도 분명히 존재하죠. 게임도 매우 많아서 관리도 어렵구요.
    크레이지 아케이드나 카트라이더를 생각해보면 전국민이 넥슨클럽 아이디를 갖고 있지 않을까? 라는 추측도 가능할정도로 게임계에서의 넥슨이 차지하는 비중도 크지요.

    제가 해킹범이라도 누군가의 개인정보를 알아냈다면, 넥슨먼저 털어봤을것 같습니다. 왕년에 카트 한번 안해본 사람이 있을까요....

    다른 게임에서도 해킹은 되었을겁니다. 다만 넥슨처럼 1회성 캐쉬 아이템이라는게 활성화되지 않아서 빼갈수 없었을뿐입니다. 게임내 돈을 받고 거래 가능한 캐쉬 아이템을 게임내에서 판매한다는게 다른 게임에서는 솔직히 보기 어려운 일이니까요.
  • The xian 2010/02/13 02:30 #

    넥슨의 취약점은, 가장 근본적으로 보면 단 하나입니다. 개별 게임에 대한 보안장치는 마련되어 있지만 정작 넥슨 통합ID에 대한 OTP 등의 보안은 전혀 없습니다. 그래서 개별게임이 무사해도 통합계정 ID가 크래킹당하면 저나 트랙백당한 사람들처럼 엉뚱한 게임에서 캐쉬로 뭘 구매했다는 피해가 일어나는 겁니다.

    님은 님과 님 지인들이 마영전, 허스키, 마비노기 안 털렸다는 말을 하시는데, 그런 주관적이고 한정적인 계층을 가지고 다른 사람의 피해가 넥슨의 문제가 아닌 것처럼 단정짓는 것도 모자라 '제가 해킹범이라도' 같은 식의 말을 쓰면서 마치 이 문제가 우연에 의해 일어난 것인 양 끼워 맞추는 것은 비논리적입니다. 더불어 본문은 과연 읽으신 것인지 생각하니 맥빠집니다. 본문을 읽어보셨다면 저 역시 마영전의 캐릭터와 아이템에 피해가 없다는 것 정도는 아실 수 있을텐데요.

    한가지 더 말하자면, 마영전, 허스키 익스프레스, 마비노기는 제가 본문에서 쓴 것처럼 넥슨 U-OTP 또는 개별 OTP가 적용되는 게임입니다. 그것에 대한 게임 내 피해가 없다는 이유로 넥슨의 크래킹 피해가 발생하지 않았다고 단정할 수 없습니다. 또한 저도 넥슨 통합아이디를 크래킹당한 것은 이번이 처음입니다. 그 전까지는 이런 일을 당한 적이 없습니다.

    더불어 넥슨 게임 외에 게임내에서 거래가능한 캐쉬아이템을 파는 게임은 다른 데에서 보기 어렵다고 말씀하시는데, 솔직히 말해 님은 다른 종류의 게임을 별로 안 해보신 것 같습니다. 게임 내에서 거래 가능한 캐쉬아이템 파는 게임은 넥슨게임 말고도 한두 개가 아니고 부분유료화 게임에서는 비일비재한 일입니다.


    그리고 마지막으로 하나 더 말씀드리자면,
    저는 카트라이더 안 합니다.
  • JUNEI 2010/02/13 03:00 #

    제가 지인이 안 털렸다 라고 한건 계정이 아닌 캐쉬 이야기 였습니다.
    캐쉬 쌓아놓고 살아도 안 털린걸 보면 넥슨이 털린게 아닌거 같다라는거였지요. xian 님이 님의 해킹 경험을 바탕으로 추론하시는것처럼, 전 제 주변 상황으로 추론할뿐입니다. 제 주변이 그렇게 넥슨 겜을 해도 털리지 않았으니 넥슨은 아닌거 같다 라고 추측해보는거구요.

    그리고 넥슨 otp보다 캐쉬 사용시 otp 비번을 걸어 버리는게 더 나을것 같습니다. 그럼 다른 겜이 생성되더라고 캐쉬를 사용할수 없을테니까요.


    솔직한 심정으로는 제발 해킹 당한 사람들이 경찰에 단체로 넥슨을 고소하던지, 해킹범을 고소하던지 했으면 좋겠습니다.
    겜상에서 버젓이 카드 거래를 하는 타 유저들을 볼때마다 꼴보기 싫은건 사실이니까요. 수요가 있으니 공급이 있는것처럼, 유저들이 카드나 캐쉬 아이템을 겜머니로 사겠다고 할때부터 캐쉬 해킹은 충분히 예견된 일이었습니다.

    마영전의 이번 캐쉬 해킹 이전부터 마비노기에서는 수많은 넥슨 캐쉬 해킹에 대한 글들이 올라왔었습니다. 게시판에 잠깐만 봐도 알수있을정도였죠.
    겜상에서도 낵슨캐쉬 해킹해서 카드를 판매하는 전문 판매상이 최소 1년 넘게 활동중이구요.
    그 인간과 대화를 시도해봤더니 중국인이더군요. 마비노기 게시판에 캐쉬 해킹되었다고 글을 쓰는 대다수의 유저는 그 전문 판매상과 얽혀 있구요.

    그 전문 판매상이 꼴보기 싫어서라도 제발 좀 캐쉬 해킹 당한분들이 경찰에 신고를 하던지 고소를 하던지 해줬으면 좋겠습니다. 그래야 그 전문 판매상도 사라지게 되겠죠.

    제가 넥슨에 대해 옹호적인(?) 입장에서 글을 쓴다고 생각하실수도 있겠지만, 그저 다른 관점을 제시해보고 싶었을뿐입니다.
    내 잘못이 아니라고 생각했던 일도 알고보니 내 잘못이었다. 라는 일이 종종 일어나니까요. 넥슨에 대해 화를 내기 이전에 그들과 싸울때 내가 약점이 잡힐만한 일을 혹시 하지 않았을까?라는 관점에서 찬찬히 생각해보는것도 그들과의 싸움을 대비하는 일중에 하나일테니까요.

    하지만 제가 이렇게 말해봐야 xian님의 넥슨에 대한 분노는 사라지지 않겠죠.
    캐쉬를 해킹당한건 제가 아닌 xian님이니까요.
  • The xian 2010/02/13 10:07 #

    '넥슨에 대해 화를 내기 이전에 그들과 싸울때 내가 약점이 잡힐만한 일을 혹시 하지 않았을까?'라는 관점에서 지금까지의 이야기를 하셨다고요? 그렇게 보기엔 무언가 필연적이고 집단적인 부분으로 이어질 수 있는 정황들을 '대다수의 네티즌', '네이버나 다음은 확인해보셨습니까' '제가 해킹범이라도 넥슨 먼저 털어보겠습니다' 라는 용어를 사용하면서 넥슨의 책임이 아닌 것처럼 말하는 님의 용어 사용이 매우 고약하고, 당한 사람의 마음을 생각하기보다는 넥슨의 책임이 아닌 것처럼 포장하는 데에 급급한 것 같군요.

    설령 이번 일이 님의 주장대로 다른 사이트에서 크래킹이 일어나고 그 사이트의 계정정보와 넥슨의 계정정보가 같아서 일어난 것이라고 간주한다면 그것을 유저가 증명해야 할까요? 아닙니다. 그것은 넥슨이 근거를 대고 증명해야 할 부분입니다. 저도 회사의 이익을 대변해서 일하는 사람이지만 아무런 근거도 없는 상황에서 피해를 당한 게이머들에게 '우리는 뚫린 적 없고 다른 어느 사이트하고 비번과 ID가 같아서 그런 일이 생겼을 거다'라고 말하는 것은 회사로서 고객에게 할 수 있는 가장 질 나쁜 책임회피의 사례가 됩니다.

    님은 이 문제를 전문 판매상(?) 한 명을 고소하는 것으로 해결될 거라고 생각하시거나, 유저들이 카드나 캐쉬 아이템을 게임머니로 사겠다고 할때부터 캐쉬 해킹은 충분히 예견된 일이었다는 식으로 마치 불법을 자행하는 암거래상이나 부분유료화 시스템의 문제인 것처럼 빙빙 돌리시는데, 앞서 말했지만 넥슨의 계정 자체를 보호하는 보안시스템이 없다는 것이 넥슨 통합아이디에 대한 문제가 끊이지 않는 근본 원인입니다.(그게 원인이 아니라면 왜 이제서야 캐쉬 잠금 운운하면서 야단법석을 떨까요?) 괜히 다른 거창한 원인이 있는 것처럼 말하는 것은 눈 앞에 멀쩡히 있는 들보를 보고 다른 데에 붙어있는 잡티를 찾는 격입니다.

    위에 제가 링크해놓은 기사는 보셨는지 모르겠습니다만, 저의 사례와 비슷한 넥슨 계정의 캐쉬 피해는 다수의 사람들에게 일어나고 있습니다. 님과 님의 지인들의 운이 좋은 데에 감사하시길 바랍니다. 넥슨의 구조적 취약점으로 인해 피해를 받지 않으셨으니까요. 단, 어디 가서 제 이글루스에 지금껏 한 것처럼 '나와 내 지인은 피해 없었으니 넥슨이 뚫린 것은 아니다'는 식으로, 다른 사람의 마음을 헤아리지도 못하고, 제대로 된 근거도 없는 소리는 하지 마시기 바랍니다. 욕 먹는 것은 둘째치고, 넥슨 관계자로 오인받기 딱 좋기 때문입니다.
  • The xian 2010/02/13 10:12 #

    이 말만은 안 하려 했는데 도저히 안 할래야 안 할 수 없군요.

    지금 님은 저나 다른 크래킹피해를 당한 사람들이 문의했었던 넥슨 상담센터와 매우 흡사한 포맷과 논리로 답변을 하고 계십니다. 물론 님과 넥슨이 관계가 있다는 어떠한 증거도 무엇도 없으니, 저는 님에 대해 어떠한 의심이나 단정도 하지 않을 것입니다.

    하지만 '다른 가능성'을 생각한다는 이유로, 제가 계정관리를 못해서 그랬다거나, 회사의 책임과 허술함을 생각해 볼 수 있는 가능성을 일단 부정하고 보는 님의 태도는, 넥슨의 이번 일에 대한 대응과 비슷한 정도로 저를 불쾌하게 만들고 있습니다.

    다음에 이 글에 덧글을 쓰시려면 그런 점 정도는 감안하고 글을 써 주시기 바랍니다.
  • 웬디 2010/02/13 14:31 #

    왜 하필 넥슨에서 피해를 당하냐고 하셨는데, 그건 넥슨이 인기있는 게임회사이기 때문이죠. '~' 사용자도 많고, 쓸만한 아이디가 걸릴 가능성도 높으니까요.
    이미 변경하셨으리라 생각되지만, 게임회사 사이트의 비번은 앞으로도 항상 타 사이트에선 절대 사용하지 않는 것으로 사용하시는 것이 좋습니다.
  • The xian 2010/02/15 02:13 #

    글쎄요... 요 몇 년 새, 게임 사이트만 제가 가입한 게 한 100여개쯤 됩니다. 이미 잊어버린 녀석들도 있을 수 있고요. 보안에 있어서는 그렇게 신경써야 하는 게 맞지만, 모든 사이트의 비밀번호와 아이디를 그렇게 만드는 것이 현실적으로 가능하지는 않습니다.

    넥슨이 인기있는 게임을 만들고 서비스하는 것은 맞을지 모르겠지만, 사람들에게 인기있는 '게임회사'인지는 이번 사태를 계기로 재고해 봐야겠군요.
  • 쩌비 2010/02/16 12:49 #

    넥슨이 해킹예기를 여기서 또 보네요. 저도 넥슨 가입자인데 한번 확인해봐야 할듯(털어갈것도 없지만),..
    어째든, 넥슨에서 적절할 대응이 있어야 한다고 생각합니다.
※ 로그인 사용자만 덧글을 남길 수 있습니다.


통계 위젯 (블랙)

845
314
3065995

A타입 클린 캠페인 위젯

2011 이글루스 TOP 100