최근 수백만 개의 Steam 계정 데이터가 다크 웹에서 판매되고 있다는 보고가 제기되었습니다. 그러나 Valve는 이 데이터가 접근 자격 증명이 아니라 SMS 기반의 이중 인증(2FA)에서의 전화번호와 일회용 코드가 포함된 SMS 로그라고 주장했습니다. 중요한 점은 사용자 이름, Steam ID 및 비밀번호는 유출되지 않았다는 것입니다.
Valve는 계정 보안이 결코 침해되지 않았다고 확인하는 성명을 발표했습니다. 일회용 코드는 15분 동안만 유효하므로 유출 직후에는 무용지물이 됩니다. 또한, SMS 로그는 개별 Steam 계정과의 직접적인 연결을 제공하지 않습니다.
로그의 출처는 불분명하며, 초기 추측은 이 로그가 SMS 서비스 제공업체인 Twilio에서 유출되었을 가능성을 제기했습니다. 그러나 Twilio는 어떤 보안 사고도 부인했으며, Valve는 Twilio와 협력하지 않는다고 주장했습니다. 데이터가 외부 서비스 제공업체에 의해 유출되었을 가능성도 있습니다.
보안 전문가들은 오랫동안 SMS 기반 이중 인증의 취약성에 대해 논의해 왔습니다. 암호화되지 않은 SMS 메시지는 가로채어지고, 읽히며, 변경될 수 있기 때문입니다. 이 문제는 인증 방법 자체와 관련이 있으며, Steam에만 국한되지 않습니다.
SMS 로그에서 가장 가치 있는 부분은 Steam 사용자와 관련된 전화번호로, 이는 피싱 캠페인에 악용될 수 있습니다. 사용자들은 Steam에서 온 것처럼 보이는 SMS 메시지에 주의할 것을 권장받고 있으며, 해커들이 이러한 전화번호를 사용하여 사회 공학적 공격을 감행할 수 있으므로 링크를 클릭하지 않도록 주의해야 합니다.
이번 사건을 계기로 Steam은 사용자들에게 경계를 유지할 것을 촉구하며, SMS 기반 2FA의 대안으로 Steam Guard의 사용을 권장하고 있습니다. Steam Guard는 로그인 시 이메일이나 Steam 모바일 앱을 통한 추가 확인을 요구하여 계정 보안을 강화합니다.
* 이 글은
computerbase.de의 기사를 요약한 것입니다. 전체 기사의 내용은
이곳에서 확인하실 수 있습니다.