Arcaea_{(r6 문단 편집)}

=== 2020년 11월 4일 입장문 ===
2020년 11월 4일 lowiro 트위터에 [[https://twitter.com/lowiro_staff/status/1323692117986824196?s=19|유저 밴에 대한 장문의 입장문]]이 올라왔다. 본 성명문은 Arcaea Wiki에 유저 GKWS가 작성하고, 해당 위키 운영진이 [[https://arcaea.fandom.com/wiki/User_blog:GKWS/Exchange_with_Fandom|용인]]하였던 [[https://arcaea.fandom.com/wiki/User:GKWS|문제제기]]에 대한 입장 표명이라고 보아야 한다. 해당 입장문을 적절히 번역하는 한편, 사이사이에 유저 측의 입장을 끼워넣었다. 다만, GKWS의 글 및 행동에 일부 확대해석이나 거짓으로 볼 수도 있는 내용, 근거가 없는 내용 또한 일부 섞여 있어 주의가 필요하다. 물론, lowiro 역시도 본인들의 주장에 대해 아무 근거나 증거를 제시하지 않는 모습을 보였다. 결국 판단은 각자의 몫.

> '''보안, 루머, 고발, 비난에 관하여'''
>
> 우선, 패스워드 보안에 대해서 말씀드리고자 합니다. 저희는 플레이어 여러분과 저희 게임의 보안을 아주 진지하게 생각함을 분명하게 말씀드리고자 합니다. Arcaea 서버에 보관된 패스워드는 업계에서 표준적으로 사용되는 방법들에 따라 안전하게 보관되므로, (이 점에 대해서는) 안심해주시길 바랍니다.
2020년 9월 29일, 유저 GKWS는 아르케아 클라이언트로부터 서버로 로그인 정보가 보내질 때, 패스워드가 암호화되지 않은 채 평문으로 보내지고 있다는 의혹을 제기하였다. 다만 GKWS는 스태프에게 이를 알리기 전 다른 경로를 통해 이를 공론화해버린 것으로 보인다.[* 과거에 아르케아의 취약점을 발견 후 신고한 사람 두 명 이상이 어떤 교섭의 여지도 없이 밴을 당했으므로, lowiro에 직접 이야기해봤자 헛수고라고 판단한 것으로 보인다. 이에 대해서는 후술.] GKWS는 2020년 10월 1일에 [[https://arcaea.fandom.com/wiki/User_blog:GKWS/Raw_Password_Evidence|위 주장에 대한 근거를 제시하였다]].

물론 패킷은 모두 HTTPS 암호화된 채로 보내지지만, 그럼에도 불구하고 패스워드를 달리 클라이언트 측에서 암호화하지 않은 것은 사실이다 [* HTTPS 암호화된 패킷에 포함된 로그인 정보를 암호화해야하는지에 대해서는 논란의 여지가 있다.]. 안전장치가 두 겹이어야 하는데, 한 겹만 있다는 것. 만약 이 한 겹의 안전장치만으로도 패스워드가 100% 안전하게 보관 및 송신된다고 확신할 수 있는 근거가 있다면 lowiro가 개략적으로나마 이를 설명하고 지나갔을 수도 있었겠다는 아쉬움이 남는다. [* https 한 겹만 쓰는게 보통 당연하다. 이게 보안적으로 문제가 있으려면 https 인증서를 위조하거나 (현실적으로 불가능) 서버를 해킹해야 하는데, 서버를 해킹할 정도면 로그인 페이지 부터 변조할 수 있는 단계라 아무 보안도 의미가 없다. https 단독으로 쓰는건 문제가 없고, 서버 해킹을 염두에 둔다면 사이트마다 비밀번호를 다르게, 그리고 2단계 인증을 하는게 맞고요, 이건 아르케아 서버 뿐만 아니라 구글 네이버 등등에도 마찬가지로 적용되는 수칙이다. [[https://security.stackexchange.com/questions/110415/is-it-ok-to-send-plain-text-password-over-https|참고]] 밑에 보니까 서버 해킹이 지속적으로 있었던 것 같은데, 그러면 아르케아가 무슨 보안을 시도한다 하더라도 유저들의 비밀번호는 이미 다 유출되었다 보는게 맞다. Https의 문제가 아니라 서버 보안의 문제.]

사실, 2020년 당시에는 "업계에서 표준적으로 사용되는 방법론에 따라 안전하게 보관"한다는 lowiro측의 주장을 믿을 수 있는 근거가 부족했다. 이 시기에 아르케아는 계속된 리더보드 해킹 문제로 몸살을 앓고 있었으며, 그레이햇 해커들을 일체의 교섭 없이 바로 내치는 모습에서도 lowiro가 정보 보안 측면에서는 그리 뛰어난 기술을 가지고 있지는 않음을 쉽게 유추할 수 있었다. '''아르케아 로그인에 사용한 비밀번호를 다른 서비스에서는 사용하지 않는 것 또한 고려해봄직하다.'''

> 저희는 치팅 행위를 막기 위한 대책을 그간 강구해 왔으며, 준비되는 대로 무료 (Arcaea pack) 악곡의 온라인 리더보드를 복구할 것입니다. 저희는 이러한 개선작업을 계속해서 진행하고 있으나, 시간이 다소 걸릴 작업들 및 바로 가시적인 성과가 나타나기 힘든 개선점들이 있음에 대해 유저 여러분의 널른 양해를 부탁드립니다.
후술할 유저 G(GKWS)의 랭킹 반달 행위 이후 랭킹 기능이 한동안 제거되었다.

> 둘째로, 루머와 관련하여 특정 인물들에 대한 저희의 입장을 말씀드리고자 합니다.
>
> Y. (Y는) 유저 커뮤니티에서 자원해 주신 번역가로, Iowiro와 정식 계약 관계에 있지 않았습니다. lowiro에서 감사의 뜻을 담아 수 차례 보수를 지불하였음은 사실이나, Y측에서 정식으로 보수를 요구하신 적은 한 번도 없습니다. (Y는) 비밀유지서약[* "정식 계약 관계에 있지 않"았으므로, 정식적인 [[NDA]]를 체결한 것은 아닌 것으로 보인다.]을 위반하여 본 프로젝트에 더 이상 참여할 수 없게 되었습니다. 봉사의 성격을 띄었던[* "this voluntary work"라며 재차 강조함을 관찰할 수 있다.] 이 업무에 대해 하시고 싶으신 말씀이 있으신 경우, Y측께서는 lowiro로 직접 연락해 주시길 바랍니다.
Y는 중국인 유저 YamiNa로, lowiro를 도와 본 게임의 스토리 등을 일부 번역하였던 것으로 보인다. YamiNa는 자신의 어떤 행동이 비밀유지서약 위반이었는지 통보받지는 못한 것으로 보이며, 2022년 7월 현재까지도 자신은 서약을 위반한 적이 없다는 입장을 견지하고 있다.

YamiNa는 더 이상 기여할 수 없게 된 이후 2019년 8월에서 2020년 5월까지의 본인의 번역 기여에 대한 보수를 요구했으나 오랫동안 받아들여지지 않았다. 본 건은 추후 lowiro가 밀린 페이를 YamiNa에게 지급함으로써 해소된 것으로 보인다[* 이를 YamiNa의 문제 제기가 정당하였다는 표시로 받아들일 수 있는지 판단하기에는 근거가 부족하다. 그러나 YamiNa가 단순히 '번역을 하다가 물의를 일으킨 인물'일 뿐이라면 페이를 줄 이유가 없다.].

그러나, lowiro의 핵심 스태프 Guy가 과거 약속하였던 바와는 달리 4.0 업데이트 후 최종 크레딧에 YamiNa의 명의가 누락되었고, 이에 YamiNa는 재차 [[https://twitter.com/sugiharayoki/status/1545101383342235648/photo/1|문제를 제기하였다.]] 또한, YamiNa는 [[https://twitter.com/sugiharayoki/status/1545102061540323328|자신의 중문 번역 기여분(스토리 등의 문자열) 일체를 게임에서 제거하고 다른 번역으로 대체할 것을 요구했다.]].

> E. 부정한 수단을 사용하여 특정 악곡을 릴리즈 이전에 입수하였습니다. 해당 악곡의 유출 및 이용약관 위반으로 인해 이 유저를 밴 조치했습니다.[* 결국 E가 해당 악곡을 유출하였는지, 또는 E가 릴리즈 전에 악곡을 입수한 것 자체를 유출로 간주하는 것인지 알기 힘들다. 이러한 중의성을 적절히 살려 번역하였다. ][* 본 성명문이 "스태프 일동" 명의로 발표되었음에도 불구하고, 이 성명문에는 일반적인 기업이 성명문에 적을 만 한 공식적인 어휘나 어법 등이 사용되지 않았다. 애초에 게임 회사가 어뷰저 개인을 공식 성명문을 통해 저격하는 경우가 얼마나 흔하든가?]

E는 esterTion라는 이름의 유저이다. 상술된 바와 같이 2020년 1월에 API를 만지다가 [[SAIKYO STRONGER]]를 릴리즈 이전에 입수하였다. 위 성명이 발표되기 전 시점에 esterTion은 [[https://arcaea.fandom.com/wiki/User_blog:GKWS/esterTion%27s_Account|다음과 같이 주장하였다]]. 
- API를 써서 해당 악곡을 미리 입수한 것은 맞으나, 돈은 주고 샀다[* 어쨌든 이용약관 위반이므로, 밴의 이유와는 관계가 없다. 물론, esterTion의 주장이 작성된 시점은 위 lowiro의 성명문이 발표되기 이전으로, [[논점일탈의 오류]]를 범했다고 보기에는 어려움이 있다. 다만 GKWS의 주장대로 "esterTion은 보안상의 취약점을 찾아내어 리포팅했을 뿐이며 모든 과정에 있어서 프로다운 자세를 유지했다"고 해석하기에는 무리가 있다. [[https://arcaea.fandom.com/wiki/User_blog:GKWS/esterTion%27s_Account?file=EsterTion_account_1.png|이를테면, esterTion이 lowiro에 처음 메일을 쓴 시점은 명백히 자신의 계정이 밴을 먹고 난 이후다.]] ].
- lowiro로부터 "개조[* modified라는 표현을 사용하였는데, 이 표현은 이용약관에 명확히 정의되어있지 않다. 다만, API를 알고 있다면 앱을 어떻게든 디컴파일링하거나, 디스어셈블링하거나, 리버스 엔지니어링했다는 소리가 되므로, [[https://arcaea.lowiro.com/ko/terms_of_service|이용약관]]의 3.2.4항을 어긴 것만은 분명하다. ]된 Arcaea를 플레이하였으므로 당신의 계정에 락을 걸었으며, 밴을 당하기 전에 경고가 갔을 것"이라는 메일을 받았으나, API 조작시를 포함해 어느 시점에도 경고를 받은 바가 없다. [* 마찬가지로, "일단 경고를 준다"는 내용 역시 운영약관엔 없다. ]
GKWS는 위 내용을 두고 "스태프의 거짓말이 확인되었으므로, 스태프를 믿어서는 안 된다"고 주장했다.

> G. 부정한 수단을 사용하여 스코어보드에 위조된 고득점을 제출하였고, 이용약관 위반에 의해 밴 조치되었습니다.
유저 G는 위에서 계속해 언급된 GKWS다. GKWS의 주장에 따르면 그는 2019년부터 아케아 커뮤니티와 교류해왔으며, 그 동안 lowiro가 유저를 부당하게 취급해 온 사례들을 여럿 모아왔다고 말한다. 아르케아 커뮤니티 내에서 나름의 명성과 인맥을 얻은 그는 "때가 무르익었다"고 판단, 관심을 끌기 위해 2020년에 해커인 Thrafsma의 도움을 받아 랭킹을 조작한 것으로 보이며(후술할 유저 Schwarzer 등과 관계된 것으로 보임), 직후 비밀번호 이슈에 관한 공개 성명을 발표하였다.

> 이용약관에 따라 해킹이나 치팅 행위는 그 목적에 상관 없이 계정 밴의 근거가 됨을 주지해주시기 바랍니다. 혹시 치팅이나 해킹 행위를 목격하셨다면 관련된 정보와 함께 저희에게 연락을 부탁드립니다.

이 사건에 연루된 다른 중국인 유저 [[https://github.com/cnSchwarzer/ArcaeaParty|Schwarzer의 주장]]을 믿자면, 그는 스코어보드 조작이 가능하다는 사실을 실증하고 2019년에 lowiro에 이를 통보한 바 있으나, lowiro가 이를 비밀로 해 줄 것을 부탁했다고 한다. 그러나 한참 지난 뒤 시점에 이루어진 GKWS의 스코어보드 공격 행위가 성공하였음에서 유추할 수 있듯 2020년 들어서도 문제가 개선되지 않았고, 스코어보드 치팅 행위는 여전히 계속되고 있었기에, lowiro측에 압박을 주기 위해 치팅용 코드를 공개한 듯 하다. 이러한 식으로 어떤 보안 취약점을 찾아내어 회사에 통보하고, 일정 기간을 둔 뒤에 취약점을 대중에게 공개하는 행동 양식은 그레이햇 해커의 암묵적으로 용인되는 표준적 행동 양식이나, 어쨌든 아르케아 이용약관에는 반한다.

어쨌든, GKWS는 과거에 Schwarzer, esterTion, LM[* 과거 아케아 시뮬레이터였던 customania의 개발진이었으며, 이 인물 역시 lowiro에 취약점을 찾아 보고하고 밴을 당한 것으로 추정된다.] 등의 유저가 좋은 의도를 가지고 정보보안상의 취약점을 lowiro에게 보고하였음에도 불구하고 [* 단, 그중에 위 esterTion의 메일이 어떻게 하면 좋은 의도를 가진 선제적인 신고로 보일 수 있는지에 대해서는 설명이 없다.] lowiro에서 어떠한 협상도 없이 밴을 때려버렸다는 점에 큰 불만을 품었다. GKWS는 이렇듯 lowiro가 그동안 중국인 유저를 부당하게 취급해왔다고 주장한다.

또한, GKWS는 lowiro의 핵심 스태프인 Guy가 과거 [[T-Aiko!]][* 2011년에 출시된 [[osu!]]taiko의 비공식 모바일 이식판. 패턴은 osu!taiko와 호환된다. 다만 [[osu!/비판|osu!의 이미지가 리듬게임 유저들에게 나쁘다보니 ….]]]라는 이름의 안드로이드용 태고의 달인 시뮬레이터를 만든 전적이 있으며[* 2017년에 나온 2.4.1 업데이트 로그를 보면, Arcaea 출시 기념으로 본 시뮬레이터의 광고를 제거 했다고 아르케아를 홍보 했음을 알 수 있다. [[https://apkpure.com/t-aiko/guy.taiko|#]] (To thank everyone for the support over the years and to celebrate the release of our new game: Arcaea we are removing all ads from T-Aiko!)], Guy 등 lowiro 스태프 일동이 외부에 이중잣대를 들이밀고 있다고 은근히 암시하고 있다.

> 마지막으로, 스태프를 존중해 주시길 플레이어 여러분께 부탁드립니다. 특히, 잘못 해석되었거나 맥락 없는 발언들에 근거를 둔 정보, 챗 로그, 주장 등에 선동당하지 말아주시길 요청드립니다. (저희들) lowiro는 리듬 게임 제작에 열정을 가진 소규모 인디 팀이며, 위와 같은 비난이나 고발 행위는 관련있는 여러 스태프에게 큰 마음의 상처가 되었습니다.
GKWS는 lowiro가 만들어둔 시스템과 규정들이 명백한 증거를 기반으로 한 주장들을 "가짜 고발 혹은 루머"로 취급할 수 있게끔 한다고 주장하였다. 또한 이와 관련하여 작곡가 しーけー[* [[Lost Civilization]](합작), [[クロートーと星の観測者]], [[Kokytos]], [[星の詩]]를 작곡했으며, BPL 시즌2에선 [[GiGO/e스포츠/사운드 볼텍스|사볼 GiGO 팀의 어드바이저로 참여했다.]]]가 올린 본인 곡 [[Nirv lucE]]의 영상이 lowiro에 의해 내려가는 해프닝, 위의 YamiNa의 대금 체납 사건, 그리고 Kurorak이 맡아서 제작하였던 [[BADTEK]] 채보가 본인에게 통보 없이 거의 전부 갈아엎어졌던 해프닝[* [[BADTEK]]의 FTR 채보 제작자 명의는 BADTOAST ft.Kurorak이다.] 등이 있었음을 언급하였다.

여담으로, "스태프 존중"과 관련해서는 유저 측이 잘못한 해프닝 역시 여럿 있던 것으로 보인다. Kry.exe는 [[아르헨티나]] 출신의 리듬게임 작곡가이며 [[Cytus II]], [[Phigros]] 등에 악곡을 제공한 바 있다. Kry.exe는 다수의 아르케아 스태프(Guy, ak+q, nitro 등)에게 적어도 1번씩 DM으로 악곡을 보내 의견을 물었다. Guy는 Kry.exe에게 "이후 lowiro 스태프에게 다시는 악곡을 제출하지 말라", "악곡 제출 규칙을 이런 식으로 곡해하면 당선 확률만 낮아질 뿐"이라고 답하였고 Kry.exe는 [[https://arcaea.fandom.com/wiki/User_blog:GKWS/Timeline?file=GK_lowiro_message_2.png|추후 이런 일을 벌이지 않겠다고 약속하며 Guy에게 사과하였다]].
> 저희는 저희의 글로벌한, 그리고 계속해서 진화해 나가는 리듬 게임을 최선을 다해 만들고 서비스하고자 하며, 유저 여러분의 성원과 지지를 기반으로 이를 실현해 나갈 것입니다.
> 
> lowiro 스태프 일동
> 2020년 11월
정리하면, 위 일련의 사건 및 해프닝은 단 3년 사이에 "소규모 인디 팀"에서 "인기가 많은 모바일 리듬 게임 제작사"로 도약한 lowiro의 부족함을 만천하에 드러낸 사건이라 할 수 있다. 인디 제작사에게 기대되는 커뮤니케이션/업무 역량과, 조금 더 큰 규모의 게임 제작사에게 기대되는 역량은 다를 텐데, lowiro의 역량이 아르케아 릴리즈 후 3년 새 치솟은 인기를 따라오지 못한 것.

물론, GKWS가 제시한 사례나 근거 대부분이 조작된 것일 수도 있다지만, 영어권 아르케아 유저 커뮤니티가 이와 같은 의혹 제기를 용인하고, 아르케아 위키의 Front Page에 올랐으며, 지금까지도 관련된 일련의 글 및 사진들이 일방적으로 삭제당하지 않고 남아있다는 점은 시사하는 바가 크다.

요약

문서 편집을 저장하면 당신은 기여한 내용을 CC BY-NC-SA 2.0 KR 또는 기타 라이선스 (문서에 명시된 경우) 로 배포하고 기여한 문서에 대한 하이퍼링크나 URL을 이용하여 저작자 표시를 하는 것으로 충분하다는 데 동의하는 것입니다. 이 동의는 철회할 수 없습니다.

비로그인 상태로 편집합니다. 로그인하지 않은 상태로 문서 편집을 저장하면, 편집 역사에 본인이 사용하는 IP(216.73.216.107) 주소 전체가 영구히 기록됩니다.

Arcaea(r6 문단 편집)

Arcaea_{(r6 문단 편집)}