최근 스팀 사용자들 사이에서 충격적인 소식이 퍼졌습니다. 5월 13일, 한 해커가 다크웹에 “스팀 계정 정보 8,900만 건을 판매하겠다”고 주장한 것입니다. 가격은 약 5,000달러. 얼핏 보면 말도 안 되는 소리처럼 들릴 수 있지만, 실제로 유출된 정보에는 전화번호, 문자 메시지 기록, 심지어 예전의 2단계 인증(2FA) 코드까지 포함된 것으로 알려졌습니다.
스팀은 해킹당한 걸까요?
아닙니다. 밸브(스팀 운영사)는 조사를 통해 “스팀 시스템 자체는 뚫리지 않았다”고 밝혔습니다. 유출된 정보는 예전에 전송된 SMS 메시지로, 오래된 인증코드와 전화번호가 포함된 것이었습니다. 다시 말해, ‘문 앞에 버려진 오래된 쪽지’ 같은 것이 유출된 것이지, 지금 우리 집 문이 열려 있는 건 아니라는 뜻입니다.
하지만, 그렇다고 안심하기는 어렵습니다. 해커는 이 오래된 쪽지를 단서 삼아, 여러분에게 가짜 비밀번호 변경 요청을 보내거나, ‘보안 경고’처럼 위장한 링크를 통해 실제 로그인을 유도할 수 있습니다.
‘만약에 비밀번호를 다시 설정해주세요’라는 문자가 오면요?
이러한 정보가 팔리게 되면 해커들은 우리를 속여 정보를 빼내는 ‘피싱 공격’에 악용할 수 있습니다.
예를 들어, 여러분의 전화번호를 가지고 해커가 다음과 같은 문자를 보낼 수 있습니다.
"보안 점검을 위해 비밀번호를 다시 설정해 주세요. [스팀 링크]"
이 문자는 진짜처럼 보이지만, 클릭하면 가짜 사이트로 연결되어 비밀번호를 입력하게 만들고, 그 순간 해커는 여러분의 계정을 훔쳐갑니다. 특히 2FA를 사용하고 있지 않거나 비밀번호를 오래 바꾸지 않은 경우엔 뚫기 쉬운 문이 열려 있는 셈입니다.
이런 방식은 ‘진짜보다 더 진짜 같은 가짜’를 만들어 사용자들을 속입니다. 요즘의 피싱 메시지는 맞춤형으로 정교하게 구성되어 있어, 문자 하나로도 계정을 탈취당할 수 있습니다.
링크 하나가 위협의 시작이 될 수 있습니다
문자나 이메일 속 링크는 겉보기에 멀쩡해 보입니다. 하지만 그 링크를 클릭하는 순간, 여러분의 기기는 악성 사이트로 연결되거나, 악성코드를 설치하도록 유도당할 수 있습니다.
이런 수법은 마치 광고 전단지인 척 다가와서 독이 든 음식을 먹이려는 것과 같습니다.
이른바 ‘멀버타이징(Malvertising)’ 이라고 불리는 방식입니다. 광고처럼 생긴 이미지나 버튼을 클릭했는데, 그 안에 악성 링크가 숨어 있는 것이죠. 이번 스팀 사건처럼, 유출된 전화번호와 인증 정보는 이런 공격의 ‘재료’로 사용될 수 있습니다.
블랙쏘세지를 소개합니다
링크가 포함된 메시지는 스마트폰에서 일상처럼 클릭하게 됩니다. 하지만 그 안에 무엇이 있을지는 알 수 없습니다. 블랙쏘세지는 이런 링크들을 사용자의 기기가 아닌, 격리된 원격 브라우저에서 먼저 열어봅니다.
쉽게 말해, '직접 먹기 전에 누군가가 대신 맛을 봐주는' 안전장치인 셈입니다. 블랙쏘세지는 이런 방식을 통해 내 스마트폰에 악성 코드 침투를 원천 차단합니다.
'보안 > 사건 사고' 카테고리의 다른 글
| 가상 자산 거래소 '코인베이스(Coinbase)' 해킹 사건 (0) | 2025.05.20 |
|---|---|
| ‘아디다스(Adidas)’ 개인정보 유출 사고 (0) | 2025.05.19 |
| ‘디올 (DIOR)’ 개인 정보 유출 (0) | 2025.05.14 |
| ‘김수키’, CJ올리브네트웍스 위장 앱까지 생성 (0) | 2025.05.13 |
| ‘KS한국고용정보’ 내부 자료 유출 사건 (2) | 2025.05.08 |
