제목만 보면 “버디 가챠 해킹”처럼 보이지만, 이 영상에서 더 가치 있는 부분은 따로 있다. 핵심은 버디 결과가 완전 랜덤 추첨이 아니라, 사용자 정보와 salt를 섞은 결정값처럼 동작한다는 설명, 그리고 거기서 이어지는 해시·솔트·브루트포스·비밀번호 저장 구조 교육이다.
그래서 이 글은 “조작법”보다 왜 그런 일이 가능해 보이는지를 이해하는 데 초점을 맞춘다.
먼저 핵심: 버디는 매번 랜덤으로 뽑히는 게 아니라는 설명
영상 자막 기준 설명은 이렇다.
- 사용자 ID와 salt 문자열을 조합한다.
- 그 결과를 해시한다.
- 그 해시 결과로 버디의 조합이 결정된다.
즉 사용자가 /buddy를 처음 실행할 때 “랜덤 추첨”처럼 보이더라도, 내부적으로는 이미 정해진 값을 보여주는 구조라는 주장이다. 이 설명이 맞다면, 사용자가 같은 계정으로 같은 조건에 있을 때 결과가 일정하게 나오는 이유도 이해할 수 있다.
왜 패치가 가능한가
영상에서는 여기서 한 걸음 더 나간다. 사용자는 ID를 바꾸기 어렵지만, salt 쪽을 바꾸며 원하는 조합이 나오는 경우를 찾는 방식은 가능하다고 설명한다. 이걸 단순하게 말하면 브루트포스에 가깝다.
- 원하는 종(species)
- 희귀도(rarity)
- 눈, 모자 같은 속성
- 샤이니 여부
이런 조건을 맞추는 salt를 계속 시도하다가 맞는 조합이 나오면 적용하는 식이다. 영상은 TUI와 바이너리 패치 흐름까지 보여주지만, 여기서 중요한 건 “멋진 버디 만들기” 자체보다 결정론적 구조는 우회 포인트가 생길 수 있다는 점이다.
다만 이건 계정 원본을 영구 변경하는 것과는 다르다
영상도 이 부분은 분명히 짚는다. 이렇게 바꾼 결과는 계정 서버 상태를 영구적으로 바꿨다기보다, 로컬 쪽에서 보이는 결과를 유지하도록 후킹/패치하는 성격에 가깝다. 그래서 업데이트가 일어나면 리셋될 수 있고, 매번 유지용 패치가 필요할 수 있다.
즉 “내 계정이 진짜로 레전더리 샤이니가 되었다”기보다, 지금 환경에서 그렇게 보이게 만들었다에 더 가깝게 읽는 편이 안전하다.
이 영상에서 진짜 배울 만한 건 해싱이다
후반부는 사실상 해싱 강의다. 여기서 버디 이야기는 입구일 뿐이다. OWASP의 Password Storage Cheat Sheet도 아주 비슷한 원칙을 설명한다.
1) 해시는 단방향이다
비밀번호를 그대로 저장하지 않고 해시 결과를 저장하는 이유는, 데이터베이스가 털려도 원문을 바로 알기 어렵게 만들기 위해서다. 해시는 같은 입력에 대해 같은 결과가 나오지만, 결과만 보고 원문을 쉽게 되돌리진 못한다.
2) salt는 왜 필요한가
OWASP는 salt를 각 사용자마다 다른 임의 문자열로 설명한다. 이 salt가 붙으면 같은 비밀번호를 써도 저장 결과가 달라진다. 그래서 대량 사전 계산 공격이나 레인보우 테이블 공격이 훨씬 어려워진다.
3) 브루트포스와 사전 공격은 여전히 현실적이다
OWASP도 공격자가 해시를 얻으면 오프라인 브루트포스나 사전 공격을 시도할 수 있다고 설명한다. 그래서 단순 해시만으로는 부족하고, Argon2id·scrypt·bcrypt·PBKDF2 같은 비용이 큰 비밀번호 저장 방식을 써야 한다고 권한다.
그래서 이 영상을 어떻게 읽는 게 좋을까
이 영상을 “버디 조작 꿀팁”으로만 보면 남는 게 작다. 더 좋은 읽기는 이렇다.
- 왜 어떤 시스템은 랜덤처럼 보여도 사실 결정론적으로 동작하는가
- salt와 hash가 붙으면 어떤 성질이 생기는가
- 왜 비밀번호는 평문이 아니라 적응형 해시로 저장해야 하는가
- 로컬 패치와 서버 측 진짜 상태 변경은 어떻게 다른가
즉 버디 영상이지만, 실은 인증과 해시 구조를 쉽게 이해하는 입문 영상으로 읽을 가치가 더 크다.
한 줄 정리
이 영상의 핵심은 “레전더리 뽑는 법”보다 버디 결과가 어떻게 결정되는지, 그리고 그 설명을 통해 해시·솔트·브루트포스를 어떻게 이해할 수 있는지에 있다.
관련 글
참고 링크
영상 메타
- 채널: 코드팩토리 Code Factory
- 제목: 클로드 코드 버디 가챠 해킹하기. 레전더리 뽑아드림
- 게시 시각(원문): 2026-04-02
- 영상: https://www.youtube.com/watch?v=58tQ3zYUDGQ
- 썸네일: https://i2.ytimg.com/vi/58tQ3zYUDGQ/hqdefault.jpg
이 글은 AI를 활용해 초안을 정리한 뒤, 원영상 자막과 OWASP 공개 가이드를 교차 확인해 다듬었습니다. 보안 관련 내용은 학습용 설명으로 읽는 것이 맞고, 실제 서비스 우회·변조를 권하는 문서는 아닙니다.