돌풍을 일으키고 있는 디아블로3가 계정 보안 강화를 위해 제공하고 있는 모바일 인증기의 보안성에 논란이 일고 있다. 스마트폰 보안 위협이 증가하면서 모바일 인증기 역시 결코 안전한 수단이 될 수 없다는 것이다. 스마트폰만 해킹하면 얼마든지 계정을 탈취할 수 있기 때문이다.
현재 블리자드엔터테인먼트는 계속되는 디아블로3 이용자들의 계정탈취 해킹 피해로 인해 인증기를 통한 로그인 서비스를 선택적으로 제공하고 있다. 사용자 편의에 따라 인증기를 사용할 수 있도록 무료로 제공하는 애플리케이션(이하 앱) 모바일 인증기와 스토어에서 구매할 수 있는 휴대용 인증기를 지원한다.
그러나 23일 관련업계에 따르면, 블리자드엔터테인먼트가 제공하는 배틀넷 모바일 인증기는 모바일 보안위협의 본격화로 안전한 인증 수단이 될 수 없다. 각종 보안위협이 등장하면서 더 이상 스마트폰도 보안 안전지대가 아니기 때문이다. 사용자들이 모바일 인증기를 다운로드받으면 일회용비밀번호(OTP)를 이용해 로그인 인증을 하는데 이 때 모바일이 해킹당하면 고스란히 정보가 노출될 수 있다는 것이다.
모바일 보안업체 한 관계자는 “최근 악성코드의 진화로 모바일의 등장하는 보안 위협 역시 지능화돼 스마트폰에서도 정보를 탈취하는 형태의 공격이 빈번하게 등장하고 있다”면서 “위장 악성 애플리케이션 등 여러 경로를 통해 악성코드에 감염되기만 하면 얼마든지 모니터링을 통해 정보탈취가 가능해 디아블로3 이용자들이 모바일 인증기를 사용하고 있더라도 무의미하다”고 지적했다.
최근 실제로 모바일 보안 위협은 기승을 부리고 있다. 구글 안드로이드의 경우는 앱에 대한 사전 검증절차를 거치지 않는 개방형 플랫폼을 지향하고 있다. 구글이 지속적으로 악성앱을 감시하기 위한 보안 강화책을 내놓고 있지만 공격의 진화를 따라가기는 역부족이다.
한 게임업체의 보안 담당자는 “국내 게임사들도 계정탈취 등의 보안 이슈로 골머리를 앓으면서 배틀넷 모바일 인증기 등 보안성 강화를 위한 다양한 방식을 생각하고 있지만 스마트폰의 보안위협이 증가하면서 모바일 인증 역시도 근본적인 해결방안이 되지 못하고 있다”고 말했다.
관련업계는 스마트폰이 악성앱에 노출되면 암호화 등 부가적인 보안 기능도 모두 무용지물이라고 설명한다. 키로깅이나 화면캡쳐 기능을 가진 악성코드의 경우는 공격자가 스마트폰 자체 정보를 모두 모니터링 가능하기 때문에 모바일 인증기에 표시된 모든 정보를 파악할 수 있다.
관련기사
- 디아3 패치 예정보다 먼저 오픈…블소 견제?2012.06.23
- 해커는 디아3를 좋아해?!…'보안공격 기승'2012.06.23
- 디아3 연이은 보안 악재...이번엔 '키젠'2012.06.23
- 디아3 계정해킹 극성...알아서 주의해라?2012.06.23
홍민표 쉬프트웍스 대표는 “게임 계정 인증절차 외에 별도 OTP를 사용하더라도 OTP인증서버 보안이 철저히 이뤄져야 하며 단말기가 악의적인 공격자로부터 제어권 탈취나 하이재킹 및 키로거들로부터 보호를 받아야 안전하게 사용할 수 있다”면서 “스마트폰 단말기 보호는 물론 앱위변조까지 신경을 써야할 것”이라고 말했다.
문종현 잉카인터넷 ISARC 대응팀 팀장은 “OTP를 사용하더라도 악성파일 제작자가 원격지에서 유효한 입력시간 동안 OTP키 값을 실시간으로 가로채기할 경우 얼마든지 악용될 소지가 있다”면서 “게임 이용자는 악성파일에 감염되지 않도록 스스로 신뢰할 수 있는 백신 등 보안 프로그램을 사용하는 등 적극적인 노력을 해야한다”고 당부했다.