요즘 새로나온 빅뱅 패치로 사양을 알아보기 위해 저사양PC와 듀얼코어 사양의 PC 즉, 투컴을 돌려서 사냥을 했다.
내 캐릭터들끼리 친구등록이 되어 있어서 접속하면 알림창이 뜬다.
저사양 PC로 자유시장을 돌다가 잠깐 게임을 종료한 상태였다.
30분쯤 지났을까. 메인 컴퓨터에는 게임을 종료하지 않고 메인 컴퓨터로만 웹서핑 중이었는데 갑자기 내 캐릭터가 접속했다는 메세지가 뜬다.
바로 해당 캐릭터를 찾기 했다. /찾기 캐릭터명 하면 어디에 접속되었는지 나온다.
이상하다, 렉이겠지... 생각하고 바로 저사양 컴퓨터로 게임을 접속했다. 로그인한 웹페이지는 그대로 있으니 메이플스토리 홈페이지에서 접속하기 버튼만 누르면 되었다. 접속이 수월하게 되는 것을 보니 해킹은 아닌듯 했다. 1차비번,2차비번을 치고 들어갔다. 캐릭터의 옷이 그대로인걸 보니 일단은 안심했는데 인벤이 휑하다. 털린 것이다.
인벤 안에는 각종 물약 및 주문서 가득, 기타템 가득, 빅뱅 패치로 사냥터에서 나온 상점행 일반 장비들이 가득 차 있었다.
해킹을 당한 원인은 다음과 같다.
해당 계정만 OTP를 등록하지 않았다.
최근 비밀번호를 바꾼 적이 없다. 비밀번호를 장기간 변경하지 않아 해킹을 당할 수도 있다.
그런데 문득 해킹이 아니다는 생각이 들었다.
첫번째, 게임환경은 이러하다.
1. 나는 게임을 할 때에는 다른 프로그램을 일절 설치하지 않는다. 포맷 후 해당 게임만 설치하고 다른 게임을 할때에는 다시 포맷한다. 따라서 비밀번호가 어디서 노출되었는지는 모른다. 또한 윈도우 보안 업데이트는 당연하다.
2. 게임방에서 넥슨 게임을 절대 하지 않는다. 게임방에서 노출될 가능성이 제로다.
3. 2차 비밀번호를 무조건 마우스로만 클릭했다. 그런데도 노출되었다면 넥슨의 잘못이다.
4. 백신의 실시간 감시는 항상 풀가동이다. 컴퓨터를 장시간 켜놓으면 자동으로 전체검사를 수행한다.
백신을 100% 신뢰할 수는 없지만 네이버,다음,알약 등의 무료백신도 효과가 탁월하므로 바이러스가 들어올 확률은 극히 적다.
두번째, 해킹 과정이 수상하다.
1. 접속을 확인한 직후 /찾기 캐릭터명으로 검색했으나 게임에는 접속되어 있지 않다고 나왔다. 접속하지도 않고 아이템을 가져갈 수 있는가?
2. 해당 캐릭터를 바로 접속하였다. 하지만 접속이 되었다. 접속확인 후 1분여의 짧은 시간이었다.
3. 그 짧은 시간에 자유시장이라는 공간 내에서 풀인벤의 아이템이 사라졌다. 떨구기도 안되는 자유시장에서 거래로(거래 1회당 최대 9개 가능) 수십 혹은 수백개의 아이템을 옮기기에는 부족한 시간이다. 떨구기가 되더라도 1초에 한개씩 떨구어도 몇분 이상 걸린다.
4. 오히려 아이템과 게임머니가 더 많은 다른 캐릭터는 털어가지 않았다. 창고 또한 무사했다. 양심이 있어서 그런건지 깜빡 잊었는지는 모르지만 착용한 장비는 가져가지 않았다.
5. 그동안 털어가지 않다가 왜 오늘에서야 털어갔는지 모르겠다.
정리하면 해커는 캐릭터를 접속하지도 않고 1분여의 짧은 시간 안에 자유시장 내에서 몇백개 이상의 아이템을 옮겼으며 해당 계정안의 최고렙 캐릭터만 털어갔다.
그럼 해킹해 갈 수 있는 대상을 추정해 보자.
1. 캐릭터를 접속하지 않고 아이템을 이동하려면 게임 클라이언트보다는 서버와 데이터만 주고 받을 수 있는 신종 프로그램이 있을 것이다.
2. 짧은 시간 안에 아이템을 이동시키기 위해서는 역시 해킹 프로그램이 있어야 할 것이다. 해커는 퀘템 등의 교환불가 아이템, 착용 아이템을 제외하고 몽땅 털어갔다. 무언가 일괄적으로 이동시키는 프로그램이 있을 것이다.
3. 이런 프로그램의 존재를 몰랐어도 넥슨 책임, 쉬쉬하며 감추어도 넥슨의 책임이다. 또한 알고 있다면 그들의 무능력을 알 수 있고 유저를 우롱하는 짓이다.
4. 게임을 한동안 하지 않다가 빅뱅 패치로 인해 접속하였다. 새로 포맷하고 보안패치를 모두 설치한 컴퓨터에서만 실행했던 계정이 해킹을 당했다면 XP의 취약점을 알고 있는 고급 해커일 가능성이 높다. 하지만 고급 해커가 돈 안되는 메이플스토리 정도를 해킹할 일은 없을듯 하다.
5. 다른 캐릭터는 접속하지 않고 최근 접속한 해당 캐릭터만 털어갔다는 것은 나의 비밀번호와 2차 비밀번호를 알지 않아도 되는 무언가에 의해서 아이템이 이동되었다. 즉, 캐릭터만 눈여겨 보았다가 해당 캐릭터만 타겟으로 삼아서 노려질 수도 있다는 뜻이다.
6. 만약 이런 프로그램이 있고 해커가 없다면 바로 넥슨이다. 캐시를 충전한 이력이 없어 유저 기여도가 낮으면서 비밀번호를 오랫동안 변경하지 않은 대상을 공략할 수 있는 것이다. 해킹당한 유저의 정황 상 복구를 위해 대부분 캐시부터 충전하기 때문이다.
넥슨이 불완전한 클라이언트를 배포 가능성
네이버에서 다음과 같은 검색어로 검색한다.
네이버백신 MapleExplorer.exe
최근에 결과가 많이 줄어든듯 한데 클라이언트 자체의 보안결함이 아닌가 싶다.
2010 7~8월 경 네이버 백신이 캐시샾만 들어가면 메이플스토리의 중요 파일을 바이러스로 의심하는 것이었다. 네이버백신은 공인된 카스퍼스키 엔진을 쓰는 바이러스 백신이다.
알약이나 V3에서는 해당 파일이 바이러스로 검진되지 않아서 오진이라고 여겨졌었지만 나중에 그런일을 당하고 보니 카스퍼스키 엔진에서 이 파일을 분명히 백도어 프로그램으로 검진한 기억이 났다.
진정 메이플스토리 클라이언트 자체가 해킹툴이 담겨져 나온단 말인가?
바이러스가 감염될 일이 없는 다음과 같은 절차를 거친 PC에서도 똑같은 현상이 벌어졌다.
포맷-XP 설치 및 보안업데이트-백신설치-클라이언트 다운로드,설치-캐시샾 들어간 직후 바이러스 발견
MapleExplorer.exe(캐시샾에서 캐시 충전 창이 뜨게 하는 프로그램)
Gr2D_DX9.dll(그래픽 2D 처리 관련 파일인듯 하다)