에픽게임즈 계정 보안

2019. 4. 16.
전 세계 2억 5천만 명이 넘는 분들께서 에픽 계정을 보유하고 계십니다. 저희 에픽게임즈는 계정 보안을 최우선으로 생각하며, 플레이어 분들의 계정을 안전하게 보호하기 위하여 현재와 앞으로 채택할 보안 기능 및 보안 취약에 대한 대응 방안에 관한 최신 소식을 전해드리고자 합니다. 자세한 내용은 아래를 확인해 주시기 바랍니다.

에픽 계정에 대한 공격 행위
에픽 계정 시스템을 통해서 포트나이트, 에픽게임즈 스토어, 언리얼 엔진의 사용 권한이 부여됩니다. 이 계정 시스템은 한 번도 위험에 노출된 적이 없습니다. 그러나, 다른 사이트에서 유출된 이메일 주소와 비밀번호를 이용한 해킹으로 인하여 개인의 에픽 계정이 위험에 노출된 적이 있었습니다. 

다른 사이트에서 유출된 이메일 주소와 비밀번호를 에픽 계정에서 똑같이 사용할 경우, 해당 에픽 계정은 공격에 취약해질 수 밖에 없습니다. 에픽 계정을 더욱 안전하게 보호하기 위해서는 다른 사이트의 비밀번호와 다른, 에픽 계정만이 사용하는 고유의 비밀번호를 사용해 주시기 바랍니다. 또한 및 다단계 인증을 활성화하시면 더욱 안전하게 계정을 보호하실 수 있는 점 참고해 주시기 바랍니다.

다른 사이트에서 유출된 이메일 주소를 사용하지만 비밀번호를 다르게 사용할 경우, 해당 에픽 계정은 공격에 취약하지는 않습니다. 단, 이 경우에는 다른 사람이 로그인을 시도할 때 보안 관련 이메일을 받으실 수 있습니다.

마지막으로, 일부 신규 사용자의 경우, 계정 생성 중, 자신의 이메일 주소가 이미 다른 에픽 계정에 연결되었다는 메시지를 받았을 것입니다. 이는 최근에 발생한 공격 때문에 일어난 일입니다. 한 봇네트가 외부에 알려진 이메일 주소를 사용하여 수백만 개의 비활성화된 에픽 계정을 생성하기 위해 시도했습니다. 저희는 이 문제를 파악하고, 이를 해결하기 위하여 잘못 생성된 계정을 삭제하는 작업을 진행하고 있습니다. 새로운 에픽 계정을 생성할 때 여러분의 이메일 주소가 이미 다른 계정에 연결되어 있다면, 여러분의 이메일 주소를 사용하여 해당 에픽 계정의 비밀번호를 재설정하고 계정을 되찾을 수 있다는 점 참고해 주시기 바랍니다.

다단계 인증 활성화
다단계 인증(MFA)은 무단 액세스로부터 계정을 보호하기 위한 기본적인 도구입니다. 저희는 현재 두 가지 방법의 다단계 인증을 지원합니다. 이메일 인증앱 기반 인증입니다. 다단계 인증 시, 새 장치에서 로그인하거나 일정 기간 동안 접속하지 않은 후 다시 로그인을 시도할 경우 로그인 단계에서 고유 코드를 반드시 입력하셔야 로그인을 할 수 있습니다.

Authy, Google Authenticator 또는 기타 서비스에서 제공하는 스마트폰 인증 앱을 사용해서 다단계 인증 코드를 저장 및 관리하는 것을 권장합니다.

그 외에도 저희는 이메일 인증 시스템을 지원하고 있습니다. 이메일 다단계 인증을 사용할 경우, 에픽 계정의 보안은 이메일 계정의 보안에 달려 있으므로 이메일 계정을 안전하게 보호해야 한다는 점 기억해 주시기 바랍니다.

또한, 저희는 앞으로 SMG(텍스트 메시지) 기반의 인증도 지원할 예정입니다.

포트나이트 계정에서 다단계 인증을 설정하면, 포트나이트에서 사용할 수 있는 부기다운 이모트를 무료로 드립니다! 이 가이드를 읽고 지금 에픽게임즈 계정에 다단계 인증을 설정해보세요!

비밀번호 보안
에픽게임즈를 포함하는 모든 플랫폼에서 온라인 계정을 생성할 때는 항상 강력한 비밀번호를 선택하셔야 합니다. 또한, 계정마다 서로 다른 비밀번호를 사용하는 것이 좋습니다. 짧고 간단한 비밀번호를 사용하는 대신, 비밀번호 생성기나 비밀번호 관리자를 사용하여 비밀번호를 관리하세요.

추가적인 계정 보호 조치로써, 저희는 다른 출처에서 공개적으로 유출된 이메일 주소와 비밀번호의 조합을 지속적으로 모니터링하고 있으며, 이렇게 유출된 계정은 다음 로그인 시 비밀번호를 재설정하도록 계정을 자동으로 잠그고 있습니다.니다. 이 보안 시스템은 해시된 비밀번호를 사용하여 에픽 내에서 실행되므로 데이터가 에픽 외부로 유출되지 않습니다.

또한, 사용자가 해커에게 이미 알려진 비밀번호를 사용하지 않도록 새 비밀번호를 적용하기 전에 Have I Been Pwned의 Pwned Passwords 목록(v4)과 비교하여 사용자의 에픽 계정을 안전하게 지키고 있습니다.

외부 계정 보안
유출된 외부 계정을 사용해서 에픽 계정에 로그인할 수 있습니다. 따라서, 에픽 계정의 안전성은 해당 계정에 연결된 외부 계정의 안정성에 따릅니다. 외부 계정도 에픽 계정과 같은 수준의 보안 예방 조치를 취하는 것이 매우 중요합니다. (Playstation Network, Xbox Live, Nintendo, Facebook, Google) 외부 계정마다 각각의 고유한 비밀번호를 사용하고 다단계 인증을 활성화하는 것이 보안을 유지하는 가장 좋은 방법입니다.

이메일 인증
저희는 곧 새로 생성되는 모든 계정에 이메일 인증을 요구할 예정입니다. 그전까지는 여기에 나온 지침을 따라 수동으로 이메일을 인증할 수 있습니다.

유출된 계정 감지
에픽의 계정 시스템은 다양한 방식의 계정 유출을 감지하고 있으며, 새로운 방식의 감지 기능을 추가하기 위해 노력하고 있습니다. 이메일 주소가 인증되었고 계정이 유출된 것으로 감지된 경우, 추가 액세스를 방지하기 위해 해당 계정을 잠근 후 즉시 이메일 비밀번호 재설정 프로세스를 시작하도록 조치할 것입니다.

2019년 한 해 동안, 계정 공격을 식별하고 방어할 수 있는 감지 방법이 지속적으로 추가될 예정인 점 참고해 주시기 바랍니다.

에픽 시스템에 대한 사전 공격
지금까지 에픽은 에픽게임즈 계정 시스템에 연결되지 않은 별도의 온라인 서비스를 운영해 왔습니다. 2016년에는 에픽의 vBulletin 포럼이 손상되어 포럼 로그인 자격 증명이 유출되었으며, 이를 초기화하기도 했습니다. 그 이후로 저희는 에픽게임즈 계정 시스템을 활용할 수 있도록 모든 포럼을 업그레이드했습니다.