[HOW TO] 해킹을 당하는 방법 : 스팀잇 계정 탈취에서 스달 강탈까지

※ 따라하진 마세요.

Step 1.

에버노트에 가입되어 있지 않다면, 가입부터 합시다.
에버노트는 웹브라우저, 모바일, 데스크톱 애플리케이션 등 다양한 환경에서
글을 작성, 관리할 수 있는 강력한 기능의 서비스입니다.
동기화를 통해 어떤 환경에서든 자신이 작성했던 글에 신속하게 접근 할 수 있지요.

본 포스팅에서 에버노트가 자주 언급되지만, 에버노트는 잘못이 없습니다. 다 제 잘못이에요.



회원가입 시, 비밀번호 입력란 아래에는 다음과 같은 안내문구가 뜨게 됩니다.
'안전한 비밀번호는 8자 이상이어야 하고 대문자, 소문자, 숫자, 기호를 포함할 수 있습니다.'



이 안내문구는 가능한 무시해 보도록 하죠.
저는 숫자로만 이뤄진 6자리 비밀번호로 2012년에 가입을 했었습니다.
지난 6년간 비밀번호 변경은 없었구요. 그리고 상당히 많은 사이트에서 이 비밀번호를 사용해 왔죠.

Step 2.

에버노트 서비스에 성공적으로 로그인 하셨다면,
[설정->보안->보안 요약]화면에서 '2단계 인증' 설정이 가능합니다.

이를 '사용안함'으로 설정을 해둡시다.
해당 설정을 통해 우리는 보다 간편하게 본 서비스에 로그인을 할 수 있게 됩니다.

Step 3.

저의 경우 요즘은 에버노트를 잘 사용하진 않았습니다.
WorkFlowy, Dynalist, Notion 등의 서비스에 관심을 갖게 되면서 에버노트에는 소홀해지게 되더군요.
그럼에도, 제가 가입한 사이트들의 비밀번호들은 에버노트에서 꾸준히 관리해 왔습니다.

웹서비스들은 회원 가입 시 비밀번호를 정함에 있어 제각각 다른 형태의 제약을 둡니다.
저는 6자리 숫자의 비밀번호를 사용하고 싶지만, 8자리 이상을 요구하거나, 영문숫자를 혼용하거나,
심지어는 특수기호 사용까지 강제하는 곳도 있지요. 그런 경우 익숙하지 않은 비밀번호를 사용할 수 밖에 없게 됩니다.

이러한 비밀번호들을 제가 과연 다음에도 기억할 수 있을까요?
저는 저의 두뇌를 신뢰할 수 없습니다. 저의 두뇌는 수도 없이 많은 잘못된 판단들을 해왔고, 그 수많은 잘못들과 반성을 통해 얻은 교훈들까지도 쉽사리 잊어버리곤 했었죠. 두뇌보다는 메모가 신뢰 할 만합니다. 제 머리는 그저 액세서리에 불과해요.

에버노트에서 '새 노트' 버튼을 클릭하여 새로운 노트를 생성해고, 이 곳에 기억할 수 없을 모든 비밀번호들을 정리해두도록 합시다.

Step 4.

여기서 주의할 사항.
(비밀번호 정리 노트 화면이 열려있는) 저의 모니터를 저만 바라 볼 것이라는 보장은 그 어디에도 없습니다. 제 등 뒤에서 숨을 죽이고 제 모니터를 응시하는 이가 행여나 있을지도 모르는 일이지요.
때문에 저는 비밀번호에서 제가 기억할 수 있는 부분들은 *로 표현을 했었습니다.
가령 !Abc123456이라는 비밀번호에서 123456을 기억할 수 있다면, !Abc****** 와 같이 저장해두는거죠.

하지만, 스팀잇의 비밀번호는 그럴 필요가 없습니다.
임의로 생성된 52자리의 영대소문자, 숫자가 혼용된 비밀번호를 제 뒤에서 잠시 훔쳐보고 암기할 수 있는 사람이 어디에 있겠어요. (물론, 비밀번호에서 제가 기억할 수 있는 부분들도 없구요.)
스팀잇 비밀번호는 호기롭게 에버노트에 전문을 다 저장해봅시다.

저는 에버노트에 다음과 같이 스팀잇 접근정보를 저장해 두었습니다.

스팀잇
- magical-salt
-- [임의로 생성된 52자리의 영대소문자숫자가 혼용된 비밀번호] 

서비스명과 함께, 굳이 저장할 필요가 없는 아이디까지 같이 적어두면, 가독성이 훨씬 좋아지죠.
제가 할 수 있는 모든 준비가 끝났습니다. 이제 기다리면 돼요.

Step 5.

해커가 등장합니다. 저는 그에 대해 잘 몰라요.

그는 사람 좋은 미소와 따뜻한 목소리로 저에게 신뢰를 준 적이 없습니다.
때문에, 저는 그에게 저만이 알고 있는 이야기를 속삭여 준 적 또한 없어요.

그는 복잡하고 어려운 일을 손쉽게 해결할 방법을 저에게 제시하거나,
저에게 당장 놓쳐서는 안 되는 기회를 잡으라 권하지 않았습니다.
때문에, 저는 그를 구원으로 여기고 제 많은 부분들을 그에게 위탁할 생각조차 하질 못했어요.

그는 제가 제 컴퓨터에 수상쩍은 실행파일을 내려 받도록 권한 적이 없습니다.
그는 현재 steemit 사이트와 거의 동일한 화면구성을 가진 비슷한 URL의 사이트를 제작한 적도 없는 것으로 보여요.
때문에, 저는 낯선 파일을 실행하거나, 애먼 사이트에 제 스팀잇 접속정보를 입력할 일도 없었습니다.

그는 단지 저의 에버노트에 로그인을 해냈습니다.
그리고, 저의 비밀번호 정리 노트에 번역기를 돌려보았습니다.(한글부분이 모두 중문으로 바뀌어져있더군요.)
그는 감탄했을 거예요. 저는 정말 정리를 잘해놓았었거든요. 서비스명, 아이디, 비밀번호까지.

먼 곳에서 오셨습니다.

Step 6.

예전에는 스달이 모이면 파워업을 하곤 했는데,
작년 말부터는 호시절을 꿈꾸며 미련하게 스달을 쟁여두었습니다.
그는 제 스팀잇 계정에 로그인을 한 김에, 저의 모든 스달을 그의 계좌로 이동시켰습니다.
또한, 파워다운을 시작했습니다.
비밀번호 변경을 통해 저의 접근을 막는 것 또한 잊지 않았습니다.

잘가요 스달

---

맺는글

해킹 사실을 뒤늦게 알게 된 이후, 스팀잇의 '도난 계정 복구' 기능을 통해 다시 로그인을 할 수 있게 되기까지 4일이 걸렸습니다. 잃어버린 스달을 되찾을 길은 없어 보이고, 다만 다시 로그인 할 수 있게 되었음에 감사하네요. 해킹이 어떤 경로로 이뤄졌는지를 알게 된 것도 다행이라고 생각합니다. 이를 몰랐다면 앞으로 활동하는데 많이 불안했을 것 같아요.

부주의했던 제 이야기를 이렇게 길게 늘어뜨리는 것이 과연 제 이미지 관리에 좋을까 싶지만, 그래도 혹시나 누군가에게 도움이 될 수도 있지 않을까 싶어 글로 남겨봅니다. 저만큼이나 부주의한 사람이 세상 어딘가에 또 있을지도 모르잖아요... 아 아닌가요?;

그간 제 그림을 좋게 봐주시고, 보팅까지 해주셨던 모든 분들께 죄송한 마음이 큽니다.
기껏 챙겨 주셨는데 이렇게 날려먹고 오니 민망하네요.
그래도 전 뻔뻔하니깐, 마치 아무 일도 없었다는 듯이 조만간 그림으로 찾아뵙겠습니다.