최근 글로벌 최대 게임 플랫폼 스팀(Steam)에서 약 8900만 개의 계정 정보가 유출되었다는 주장이 제기되며 유저들 사이에 큰 불안이 확산되었다. 그러나 스팀 측의 공식 발표와 보안 분석 결과, 이는 스팀 시스템 자체의 침해가 아닌 SMS 전송 로그 유출로 확인되었다.

보안 분석 기업 언더다크AI가 링크드인을 통해 공유한 정보를 바탕으로, 독일의 한 게임 저널리스트가 X(트위터)를 통해 이 사건을 알리며 논란이 시작되었다. 유출된 데이터는 다크웹에서 5,000달러 이상의 가격에 판매되고 있으며, 사용자의 닉네임, 이메일 주소, 인증 메시지 내용, 타임스탬프, 수신자 번호 등의 메타데이터가 포함된 것으로 알려졌다.

스팀은 이번 유출이 스팀 본사나 2단계 인증(2FA)을 지원하는 트윌리오(Twilio) 시스템이 직접 해킹된 것이 아니라, 공급망 내 외부 서비스에서 발생한 문제로 추정된다고 밝혔다. 유출된 데이터는 15분간 유효한 일회용 인증 코드와 수신자 전화번호로 구성된 오래된 SMS 로그로, Steam 계정, 비밀번호, 결제 정보 등 민감한 개인정보와 직접 연결되지 않는다.

스팀은 공식 성명을 통해 유출된 SMS 로그가 계정 보안을 위협하는 데 사용될 수 없다고 강조했다. SMS를 통한 인증 코드로 이메일 주소나 비밀번호를 변경하려면, 추가적으로 이메일 또는 Steam 보안 메시지를 통해 확인 절차를 거쳐야 하므로 계정 하이재킹이나 피싱의 위험은 낮은 것으로 평가된다. 특히, 스팀 가드(Steam Guard)와 같은 2FA를 활성화한 사용자는 이번 유출로 인한 영향을 거의 받지 않을 전망이다.

다만, 2FA를 사용하지 않는 사용자는 계정 보안을 강화하기 위해 비밀번호 변경과 스팀 모바일 인증기 설정을 권장받고 있다. 스팀은 “명시적으로 요청하지 않은 계정 보안 메시지는 의심스러운 것으로 간주하라”며, 사용자가 의심스러운 메시지에 응답하지 않도록 주의를 당부했다.

스팀은 이번 사건으로 인해 비밀번호나 전화번호를 변경할 필요는 없다고 밝혔으나, 계정 보안을 정기적으로 점검할 것을 권장했다. 사용자는 링크를 통해 계정에 연결된 기기를 확인할 수 있다: . 또한, 아직 스팀 모바일 인증기를 설정하지 않은 사용자는 이를 활성화하여 계정 보안을 강화하는 것이 좋다.

현재 유출의 정확한 근원지는 파악되지 않았으며, 다크웹 거래 특성상 데이터의 진위와 규모를 공식적으로 확인하기는 어렵다. 스팀은 SMS 전송 과정에서 여러 공급업체를 거치며 암호화가 보장되지 않는 점이 추적을 어렵게 만든다고 설명했다.

스팀 유저들 사이에서는 이번 사건을 계기로 보안 인식이 높아지고 있으며, 피해를 경험한 유저들은 스팀 가드 활성화와 정기적인 비밀번호 변경을 강력히 권장하고 있다. 한편, 스팀은 전 세계적으로 2억 명 이상의 가입자와 약 1,000~1,300만 명의 동시 접속자를 보유한 플랫폼으로, 이번 사건이 사용자 신뢰에 미칠 영향에 관심이 쏠리고 있다.