기획&아이디어
![[레벨:3]](http://old.lameproof.com/modules/point/icons/default/3.gif "포인트:1096point (45%), 레벨:3/30"){kind=icon}
blue9954개인적으로 이런 기막힌 경우를 거의 처음 당해봐서 한동안 얼이 빠져 있었는데, 다시는 이런일이 생기지 않도록 게임 기획 단계에서 해킹을 줄이도록 노력할수 있지 않을까?에서 쓰는 글.
우선 문제점을 파악하면 해커들은 키로거나 다른곳에 얻은 id와 password DB를 이용해 온라인상으로 존재하는 재산을 빼돌리는데에 그 목적이 있다. 즉 핵심은 id,password, 그리고 온라인상에 존재하는 게임 머니다.
대책 1. 강제적으로 psssword를 주기적으로 바꾸도록 설계한다.
단점. 사용자가 귀찮아 한다.
대책 2. 대금 결제를 대부분 핸드폰으로 결제하는것에 착안. password를 핸드폰으로 보내준다.
단점. 같은 password를 쓰는 사이트가 없을테니 해킹율이 낮아지겠지만 키로거 같은 방법에는
대책없이 똑같이 당한다.
대책 3. 대량의 게임머니나 에픽 아이템의 매매, 또는 파기 때는 핸드폰으로 알려준다.
단점. 핸드폰 없는 사람은? 하지만 가지고 있을시에는 거의 완벽하게 방어할수 있지 않을까?
사후 대책 (접속해 보니 모든 상황이 종료 되었을 경우)
해킹은 한번 일어나면 줄줄이 그 피해가 일어나는게 그 특징이라 초기에 대응을 어떻게 하느냐가 관건이다.
대책1. 해킹을 당한 유저가 신고 했을 경우 그 즉시, 유저가 보낸 대량의 게임머니를 받은 계정을 동결.
(즉, 십중팔구 해커의 계정일테니 게임머니를 받을수 없게 시스템상에서 락을 걸어 버린다.
이렇게 하면 최소 2차 피해는 막는다.)
대책2. 개인 백업 기능.(업계옹어로 말하자면 개인 빽섭) 온라인 상에서 콘솔게임의 세이브 데이타를
로드하듯이 과거 시점으로 되돌아 가는것. 물론 돌아가는 것만큼 손해겠지만 완전히 제로로
돌아가는건 아니니 유저도 어느정도 수용할수 있지 않을까?
(물론 막대한 부작용이 예상되는 기능, 제한을 걸어두거나 세세하게 생각할 문제가 많다.)
우선 문제점을 파악하면 해커들은 키로거나 다른곳에 얻은 id와 password DB를 이용해 온라인상으로 존재하는 재산을 빼돌리는데에 그 목적이 있다. 즉 핵심은 id,password, 그리고 온라인상에 존재하는 게임 머니다.
대책 1. 강제적으로 psssword를 주기적으로 바꾸도록 설계한다.
단점. 사용자가 귀찮아 한다.
대책 2. 대금 결제를 대부분 핸드폰으로 결제하는것에 착안. password를 핸드폰으로 보내준다.
단점. 같은 password를 쓰는 사이트가 없을테니 해킹율이 낮아지겠지만 키로거 같은 방법에는
대책없이 똑같이 당한다.
대책 3. 대량의 게임머니나 에픽 아이템의 매매, 또는 파기 때는 핸드폰으로 알려준다.
단점. 핸드폰 없는 사람은? 하지만 가지고 있을시에는 거의 완벽하게 방어할수 있지 않을까?
사후 대책 (접속해 보니 모든 상황이 종료 되었을 경우)
해킹은 한번 일어나면 줄줄이 그 피해가 일어나는게 그 특징이라 초기에 대응을 어떻게 하느냐가 관건이다.
대책1. 해킹을 당한 유저가 신고 했을 경우 그 즉시, 유저가 보낸 대량의 게임머니를 받은 계정을 동결.
(즉, 십중팔구 해커의 계정일테니 게임머니를 받을수 없게 시스템상에서 락을 걸어 버린다.
이렇게 하면 최소 2차 피해는 막는다.)
대책2. 개인 백업 기능.(업계옹어로 말하자면 개인 빽섭) 온라인 상에서 콘솔게임의 세이브 데이타를
로드하듯이 과거 시점으로 되돌아 가는것. 물론 돌아가는 것만큼 손해겠지만 완전히 제로로
돌아가는건 아니니 유저도 어느정도 수용할수 있지 않을까?
(물론 막대한 부작용이 예상되는 기능, 제한을 걸어두거나 세세하게 생각할 문제가 많다.)
2008.04.27 16:35:05 (*.79.138.62)
무료한하루 해킹이 아니고 계정 도용이죠. 서버가 털렸다면 해킹이라고 하겠습니다만...
1차 피해는 타 사이트에서 풀린 정보를 토대로 이루어졌고, 2차 피해는 풀린 정보 중 계정만 가지고 암호 리스트를 만들어서 접속 하는 방식을 사용한 것 같습니다.
고로... 비밀 번호만 알기 어려운 걸로 만들어 두었다면 해킹 피해를 받지 않았을겁니다.
현재까지의 정보로는 이 정도로 파악 되네요. ~~
대책 1 > 좋긴 하나 암호 자체가 어려운 것이여야 합니다. 귀찮아 한다는 점도 문제고.. 8자 이상에 영문+숫자 조합
대책 2 > otp 가 그 종류인데... 생각 외로 가입률이 적습니다. 젊은 층은 대체로 잘 가입 하는데 나이가 많은(대략 30대 부터) 층은 귀찮아서 안 합니다.
대책 3 > 현재 이루어지는 계정 도용(해킹)은 돈이 크기가 적던 크던 상관 하지 않고 이루어지고 있죠. 큰 의미 없습니다. -_-
사후 대책 1 > 현금 거래가 이루어지기 되니 얼마나 빨리 막느냐가 중요한데, 털리는 속도가 워낙 빠르니(오토 계열 프로그램) 의미가 좀...
사후 대책 2 > 롤백 하면 아이템과 게임 머니가 두배가 됩니다. 이건 대체....
1차 피해는 타 사이트에서 풀린 정보를 토대로 이루어졌고, 2차 피해는 풀린 정보 중 계정만 가지고 암호 리스트를 만들어서 접속 하는 방식을 사용한 것 같습니다.
고로... 비밀 번호만 알기 어려운 걸로 만들어 두었다면 해킹 피해를 받지 않았을겁니다.
현재까지의 정보로는 이 정도로 파악 되네요. ~~
대책 1 > 좋긴 하나 암호 자체가 어려운 것이여야 합니다. 귀찮아 한다는 점도 문제고.. 8자 이상에 영문+숫자 조합
대책 2 > otp 가 그 종류인데... 생각 외로 가입률이 적습니다. 젊은 층은 대체로 잘 가입 하는데 나이가 많은(대략 30대 부터) 층은 귀찮아서 안 합니다.
대책 3 > 현재 이루어지는 계정 도용(해킹)은 돈이 크기가 적던 크던 상관 하지 않고 이루어지고 있죠. 큰 의미 없습니다. -_-
사후 대책 1 > 현금 거래가 이루어지기 되니 얼마나 빨리 막느냐가 중요한데, 털리는 속도가 워낙 빠르니(오토 계열 프로그램) 의미가 좀...
사후 대책 2 > 롤백 하면 아이템과 게임 머니가 두배가 됩니다. 이건 대체....
2008.04.28 00:55:12 (*.229.140.2)
blue9954 BubbleGum님// 5인이상의 신고가 들어오는 계정으로 제한을 하는 방식으로 고치면 되지 않을까요?
무료한 하루님// 개인적으로 계정 도용도 해킹의 범주로 넣어서 생각하고 있었기 때문에 해킹이라는 표현을 썼습니다. 보다 정확하게 말하면 계정 도용이죠.
지적해주신 대책1,2에 대한 답변은 잘 이해했습니다. 하지만 대책3의 경우 게임머니의 양이 적어지면 저절로 계정 도용이 적어지리라 생각합니다. 그리고 사후대책 1의 답변은 제가 잘 이해를 잘 못하겠군요. 좀 더 자세히 설명 해주셨스면 좋겠습니다. 그리고 사후대책 2의 경우 게임 세이브를 로드 하는것으로 이해하시면 됩니다. 자신의 캐릭터의 경험치 게임머니, 아이템들이 3일전으로 돌아간다는 거죠. 따라서 돈이 2배가 되지 않습니다.
무료한 하루님// 개인적으로 계정 도용도 해킹의 범주로 넣어서 생각하고 있었기 때문에 해킹이라는 표현을 썼습니다. 보다 정확하게 말하면 계정 도용이죠.
지적해주신 대책1,2에 대한 답변은 잘 이해했습니다. 하지만 대책3의 경우 게임머니의 양이 적어지면 저절로 계정 도용이 적어지리라 생각합니다. 그리고 사후대책 1의 답변은 제가 잘 이해를 잘 못하겠군요. 좀 더 자세히 설명 해주셨스면 좋겠습니다. 그리고 사후대책 2의 경우 게임 세이브를 로드 하는것으로 이해하시면 됩니다. 자신의 캐릭터의 경험치 게임머니, 아이템들이 3일전으로 돌아간다는 거죠. 따라서 돈이 2배가 되지 않습니다.
2008.04.28 03:04:08 (*.37.125.136)
![[레벨:4]](http://old.lameproof.com/modules/point/icons/default/4.gif "포인트:1482point (5%), 레벨:4/30"){kind=icon}
BubbleGum 일정인원 신고 + 일정금액 이상 신고일때로 하면 적당할것 같아요.
아니면 일정금액 이상을 누군가에게서 받았을 경우에는 몇일간 묶어둔다거나 할수도 있구요.
100만 = 24시간 그 게임머니는 사람들과 거래불가
1000만 = 1주
1억 = 2주
동일한 사람한테 100만씩 여러번 받으면 시간이 누적되게 하고요.
물론 게임에서의 돈의가치에 따라 금액하고 시간은 바뀌어야 겠죠.
아니면 일정금액 이상을 누군가에게서 받았을 경우에는 몇일간 묶어둔다거나 할수도 있구요.
100만 = 24시간 그 게임머니는 사람들과 거래불가
1000만 = 1주
1억 = 2주
동일한 사람한테 100만씩 여러번 받으면 시간이 누적되게 하고요.
물론 게임에서의 돈의가치에 따라 금액하고 시간은 바뀌어야 겠죠.
2008.04.28 07:36:23 (*.37.169.35)
지나가는 이 아뇨 아뇨
블코 공지를 통해서 나온 결론은 개인이라 할지라도 기업에서 쓰는 값비싼 보안 프로그램을 사용해야 합니다.
이런 준비도 안됐으면 다 본인 책임이니 업체에서 더이상 책임 질 일은 없습니다.
(물론 전 접었습니다.)
현거래 중개 사이트만 사라져도 이정도의 대규모 해킹은 사라질걸요.
해킹의 규모가 줄어들면 게임 머니 추적이 더 빨라질테고, 구입한 사람들은 피해를 입을테니 일단 현거래도 줄어들고....
그리고 업체에선 해킹 문제를 파악하고 본인에게 있다면 비밀리에 대책을 세우기라고 하겠죠.
덧붙여 국방부 청화대도 털려서 기밀 빠져나가고 털린지 한참이 되서야 그 사실을 안 대한민국 안에서 개인 책임이니 기업 책임이니 이런 말 하는 건 더이상 의미 없다고 보입니다.
블코 공지를 통해서 나온 결론은 개인이라 할지라도 기업에서 쓰는 값비싼 보안 프로그램을 사용해야 합니다.
이런 준비도 안됐으면 다 본인 책임이니 업체에서 더이상 책임 질 일은 없습니다.
(물론 전 접었습니다.)
현거래 중개 사이트만 사라져도 이정도의 대규모 해킹은 사라질걸요.
해킹의 규모가 줄어들면 게임 머니 추적이 더 빨라질테고, 구입한 사람들은 피해를 입을테니 일단 현거래도 줄어들고....
그리고 업체에선 해킹 문제를 파악하고 본인에게 있다면 비밀리에 대책을 세우기라고 하겠죠.
덧붙여 국방부 청화대도 털려서 기밀 빠져나가고 털린지 한참이 되서야 그 사실을 안 대한민국 안에서 개인 책임이니 기업 책임이니 이런 말 하는 건 더이상 의미 없다고 보입니다.
2008.04.30 19:36:58 (*.90.31.75)
시온 사후대책2의 경우 바로 모든 거래가 있었던 계정을 막아버리지않으면 롤백후 다시 받으면 2배가 되죠.
무료한 하루님의 경우 이걸 지적하시는거 같습니다.
무료한 하루님의 경우 이걸 지적하시는거 같습니다.
2008.08.05 18:00:07 (*.234.76.254)
![[레벨:0]](http://old.lameproof.com/modules/point/icons/default/0.gif "포인트:12point (13%), 레벨:0/30"){kind=icon}
담덕 저희 회사도 이런 해킹문제로 곤란을 겪었었는데요...
제가 여러 아이디어를 제안했지만 그닥 받아들이지 않더군요.
제가 생각할 때 그중 한가지는 간단하면서도 획기적인 아이디어인데 그걸 이해하는 사람이 없더라는 ㅎㅎㅎ
획기적인 아이디어 그거는 일단 비밀이구요^^ 다른 제안책 몇 가지는 얘기해드리죠. 가정은 대규모 계정해킹에 대한 내용입니다.
1. 5회 비밀번호 틀리면 블록(요건 기본인데도 그 당시 적용이 안되어 있었다는...)
2. 한 개의 아이피 대역에서 5회 비밀번호 틀리는 경우가 빈번해지면 아이피블락 및 자동알람 기능 추가(비밀번호 매크로 해킹이 시도되고 있으면 빠른 시간 내로 감지하자는 취지)
3. 대규모 해킹일 경우 보통 a****부터 해킹이 시작되므로 부비트랩을 설치하자. a****, b**** 각각의 알파벳 대역별로 계정은 있지만 절대로 접속하지 않는 계정을 만들어두자.
해당 부비트랩의 계정로그인이 시도되면 그것은 100% 해킹인 것이죠.
4. 요 내용이 정말 해킹을 미연에 방지할 수 있는 핵심 아이디어인데... 아무도 이해를 못하더라는 ㅎㅎㅎ 나중에 언젠가는 써먹고 특허도 낼 겁니다.
유감스럽게도 1번 내용에 대해서만 처리가 이루어 졌으며 언젠가는 또 해킹을 당할 겁니다... 참고로 1번은 기본적인거라 제 의견은 아닙니다. 2번부터 4번까지가 제 의견이었죠.
제가 여러 아이디어를 제안했지만 그닥 받아들이지 않더군요.
제가 생각할 때 그중 한가지는 간단하면서도 획기적인 아이디어인데 그걸 이해하는 사람이 없더라는 ㅎㅎㅎ
획기적인 아이디어 그거는 일단 비밀이구요^^ 다른 제안책 몇 가지는 얘기해드리죠. 가정은 대규모 계정해킹에 대한 내용입니다.
1. 5회 비밀번호 틀리면 블록(요건 기본인데도 그 당시 적용이 안되어 있었다는...)
2. 한 개의 아이피 대역에서 5회 비밀번호 틀리는 경우가 빈번해지면 아이피블락 및 자동알람 기능 추가(비밀번호 매크로 해킹이 시도되고 있으면 빠른 시간 내로 감지하자는 취지)
3. 대규모 해킹일 경우 보통 a****부터 해킹이 시작되므로 부비트랩을 설치하자. a****, b**** 각각의 알파벳 대역별로 계정은 있지만 절대로 접속하지 않는 계정을 만들어두자.
해당 부비트랩의 계정로그인이 시도되면 그것은 100% 해킹인 것이죠.
4. 요 내용이 정말 해킹을 미연에 방지할 수 있는 핵심 아이디어인데... 아무도 이해를 못하더라는 ㅎㅎㅎ 나중에 언젠가는 써먹고 특허도 낼 겁니다.
유감스럽게도 1번 내용에 대해서만 처리가 이루어 졌으며 언젠가는 또 해킹을 당할 겁니다... 참고로 1번은 기본적인거라 제 의견은 아닙니다. 2번부터 4번까지가 제 의견이었죠.