배틀넷 인증기의 잠재적 보안 취약점과 그 해결책

지난 가을 블리자드의 어느 게임(오버워치)을 하는데 PC방 환경에서 로그아웃 후 로그인을 시도하는데 모바일 인증기 요청을 할 것을 예상했는데 인증 없이 자동으로 로그인되어 보안 취약점이라고 생각하고 블리자드에 리포트를 했던 기억이 난다. 블리자드 직원과의 전화통화에서 ‘잘 모르겠어서 알아봤는데 취약점은 아니고 기능’이라는 답을 받았던 적이 있다.

이 문제점에 대한 우회 방법을 발견해서 글을 써 놓고 세 달 쯤 안 올렸는데, 그 사이에 정공법이 발견되어서 정공법을 공유하고자 한다. (우회 방법은 원터치 로그인을 쓰지 않고 인증숫자를 수동으로 입력하게 한 다음 ‘다음부터 이 컴퓨터에서 인증을 생략’하는 체크박스를 해제하는 것이다. 기본 설정을 유지하면서 한번만 이 컴퓨터에서 안전하게 로그인하고 싶다면 이 방법을 사용해도 된다.)

간단히 말해서, 문제는 기본 인증의 편의성 강조 때문이다. 기본적으로 ‘다음부터 이 컴퓨터에서 인증 생략’ 옵션이 설정되어 있기 때문에 로그아웃하거나 한 후에 재로그인 할 때 인증을 스킵할 수 있는 것이다. 이런 힙한 글을 찾아읽고 있다면 이러한 기능이 불러올 문제점 쯤은 알고 있으리라 믿는다.

그래서 해법이 무엇인가? 간단하다. 매 로그인마다 인증기를 사용하도록 설정하면 된다.

untitled

계정 관리> 보안 설정 > 인증기 에서 “Battle.net 앱 및 게임 클라이언트에서 로그인을 시도할 때마다 인증번호를 입력하겠습니다”에 체크하면 자동으로 모든 로그인에서 인증키를 입력하도록 강제된다.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s