스팀, 8900만 계정 해킹 의혹…밸브 "시스템 해킹 아냐, 침해 사고 없어"(종합)

해외 보안 기업 언더다크AI "해커가 스팀 데이터DB 판매하고 있어"
밸브 "15분만 유효한 일회용 인증 코드 유출...개인 정보와 연결 안돼" 주장

[아이뉴스24 정진성 기자] 글로벌 최대 PC 게임 플랫폼 스팀 운영사인 밸브가 최근 불거진 8900만 이용자 데이터 유출 사고 의혹에 대해 "시스템 해킹이 아니다"는 해명을 내놨다.

글로벌 최대 PC 게임 플랫폼 스팀 운영사인 밸브가 최근 불거진 8900만 이용자 데이터 유출 사고 의혹에 대해 시스템 침입이 아니기에 계정 보안에는 영향이 없다는 입장을 밝혔다. [사진=스팀 공지사항 캡처]

15일 밸브는 "유출 샘플을 조사한 결과 스팀 시스템이 해킹당한 것은 아니며 내부 침해 사고는 없었다"고 설명했다.

앞서 지난 13일(현지시각) 이스라엘 보안기업 언더다크AI는 스팀을 해킹했다고 주장하는 인물이 8900만개의 스팀 이용자 기록 데이터를 다크웹에서 5000달러(약 702만원)에 유통하고 있다고 밝혀 파문이 일었다. 스팀 계정 내에는 이용자의 개인 정보와 결제 수단 등이 등록된 만큼 유출된 데이터로 인해 피싱, 계정 탈취, 표적 공격이 이뤄질 우려가 제기됐다.

밸브는 "유출된 내용이 과거 전송된 일회용 인증코드와 코드가 전송된 전화번호"라며 "비밀번호나 결제 정보, 개인 정보 등 계정 관련 내용은 안전하다"고 설명했다.

하지만 유출 경로는 아직 파악되지 않았다. 밸브는 "현재 유출된 출처를 계속 조사 중이며, 문자 메시지는 전송 시 암호화되지 않고 여러 통신사와 중계업체를 거쳐 전송되기 때문에 유출 경로를 추적하는 데 어려움이 있다"고 덧붙였다.

이번 사고가 스팀의 서버나 계정 시스템이 뚫린 것이 아니라고 해도 안심할 수 없다는 지적도 나온다.

국내 한 화이트 해커는 "스팀의 서버나 계정 시스템이 직접 해킹된 것은 아니지만 문자 인증이 가진 구조적 취약점이 드러났다"며 "과거 인증코드만 유출된 것이기에 침해 위험이 크지는 않으나 피싱 공격 가능성은 존재한다"고 분석했다.

그러면서 "아직 유출 경로가 완전히 밝혀지지 않은 만큼 주기적으로 보안 상태를 점검하고, 모바일 인증기를 활용하는 것이 현실적인 대응이 될 것"이라고 덧붙였다.

/정진성 기자(js4210@inews24.com)