Steam 계정 보안의 문제점
저번에도 한 번 그랬지만 오늘 또 스팀에서 이메일이 왔다. 로그인을 하려면 코드를 입력하라는 메일이다.
이게 무슨 뜻이냐면 어딘가에 있는 누군가가 내 스팀 계정에 로그인을 시도해서 패스워드를 맞추는 데에 성공했고 이메일로 받은 코드만 입력하면 내 계정을 사용할 수 있는 상태라는 것이다. 2FA라고 불리는 이 기능 덕분에 난 내 계정을 살린 것 같지만 큰 문제점이 몇 개 있었다. 너무 막장이라서 블로그에 글을 적을 수밖에 없었다.
로그인 알림의 부재
구글이든 트위터든 내가 다른 기기에서 로그인을 할 때마다 메일이 오는 것을 본 사람이 있을것이다. 이게 어차피 내가 로그인 했다는 사실은 내가 방금 직접 로그인을 했으니 알기 때문에 마냥 귀찮을 수는 있는데 이게 보안적으로 중요하다. 내가 로그인 시도를 하지 않았는데 이 메일이 왔다는 건 계정이 털렸다는 말이니까.
그런데 스팀은 로그인을 성공해도 아무런 메일이 오질 않는다. 이미 패스워드가 털려서 메일로 2차코드가 날아 온 상태고 해커가 내 이메일을 열람할 권한까지 있다면 로그인에 성공할텐데 나는 그게 성공을 했는지 실패를 했는지 모른다. 할 수 있는 조치가 없다는 뜻이다.
기기 관리의 부재
스팀에 로그인을 할 때마다 파이어폭스, 크롬의 싱크 계정을 연동 할 때처럼 기기 이름을 적으라고 한다. 이걸 적는 이유는 나중에 연동 된 기기 목록을 관리하기 위함인데 신기하게도 스팀은 연동 된 기기를 관리할 수 있는 기능이 없다. 정상적이라면 내 기기 목록을 확인할 수 있고 그 중 수상한 기기나 내가 분실한 기기는 보안을 위해 연동을 해제할 수 있어야 한다. 스팀에 딱 하나 있는 기능이라고는 현재 사용하고 있는 이 기기 하나를 제외한 모든 기기를 연동 해제시키는 기능인데 이럴거면 왜 기기 이름을 입력 받는 건지 알 수가 없다.
연동 된 기기 목록을 볼 수도 없으니 내 기기들만 로그인에 성공한 안전한 상태인지 아니면 해커도 내 계정에 빌붙어서 살고 있는 지 알 방법이 없다는 이야기다.
총평
2차인증이 있기는 한데 그 2차인증이 털렸는지 아닌지 알 방법이 전혀 없고 대책도 없는 것으로 드러났다. 딱 하나 알 수 있는 건 2차인증 코드가 날아올 때 패스워드를 맞춘 그 기기의 IP 뿐이다. 알아봐야 소용이 없다. 어차피 어딘가의 VPS나 VPN이니까. 실체는 지구 반대편이나 옆이나 지구 내핵에 숨어 있다.
난 이미 저번에도 2차인증 코드가 날아오길래 패스워드를 바꿨다. 또 이런 일이 일어났다는 건 누군가가 브루트포싱을 하면서 운이 좋았다는 건데 이게 실제로 로그인을 성공 했는지 아닌지 알 길이 없으니 이번엔 연동 된 이메일을 바꿨다. 내 PC 전체를 감시하고 있는 게 아닌 이상 2차코드가 날아오는 이메일 계정이 바뀌면 좀 안전할테니까. 물론 그래도 완전 찝찝하다. 넷플릭스 계정에 빌붙는 정도가 아니라 스팀은 내 카드 정보가 저장 되어 있고 구매 버튼을 누르면 주인인 나조차 “어??” 하는 사이에 결제가 되어버리는 시스템이다. 누가 내 계정으로 지 하고 싶은 게임을 산다고 생각해보자. 그것도 내 계정에 남으면 다행이지 선물하기로 구입했다면?