핵심 요약
- Steam Workshop에서 Wallpaper Engine용 악성 월페이퍼가 다수 발견됨
- 공격자는 Valve의 콘텐츠 허브를 악용해 사용자 검증을 우회한 것으로 분석됨
- Steam 계정 탈취와 시스템 침해로 이어질 수 있는 콘텐츠 허브 악용형 유포 사례로 분석됨
콘텐츠 허브는 사용자 측의 추가 검증 절차를 동반할 때 보다 효과적인 안전을 기대할 수 있습니다.
2026년 6월 16일, Bleeping Computer는 Steam Workshop에서 Wallpaper Engine 월페이퍼 패키지를 악용해 멀웨어를 유포한 정황이 확인된 보안 사건을 보도했습니다. 공격자는 게임 커뮤니티가 일상적으로 이용하는 콘텐츠 마켓플레이스를 감염 매체로 전환시켰으며, 단순한 크랙 파일 유포를 넘어 계정 탈취와 시스템 장악까지 시도한 것으로 파악됩니다. 본문은 사건의 유포 경로, 페이로드 행위, 플랫폼 공백, 대응 수칙을 순서로 정리합니다.
1. 공격 개요: Steam Workshop을 통한 멀웨어 유포 방식
Bleeping Computer의 보도에 따르면, 이번 사건은 Steam Workshop이라는 콘텐츠 배포 채널을 통해 악성 월페이퍼가 게재된 사례로 보도되었습니다. Wallpaper Engine은 Steam에서 가장 인기 있는 배경화면 유틸리티 중 하나로, 사용자 제작 콘텐츠가 활발히 거래되는 환경을 제공하기 때문에 공격자에게 매력적인 표적이 됩니다.
1.1 Wallpaper Engine 월페이퍼 패키지에 은폐된 악성 페이로드
악성 월페이퍼는 외형상 그래픽 리소스와 동영상 자원으로 위장된 형태로 보고되었으며, 내부에 악성 스크립트 또는 실행 파일을 함께 패키징한 형태입니다. 페이로드는 사용자가 월페이퍼를 적용하는 순간 자동으로 실행되도록 설계되어, 사용자의 명시적 클릭 없이도 침투가 진행될 수 있습니다. 이 방식은 사회공학적 신뢰 악용에 가까운 것으로 분석됩니다.
1.2 유포 경로 및 사용자 침투 시나리오
유포 시나리오는 다음과 같이 진행된 것으로 분석됩니다.
- 정상 Steam 계정 또는 탈취된 제작자 계정으로 악성 월페이퍼를 Workshop에 등록
- 검색 결과 상위 노출을 유도하기 위해 인기 카테고리와 태그를 선점
- 게이머가 평점과 구독자 수를 신뢰하고 구독(설치) 진행
- 월페이퍼 적용 시 페이로드가 실행되어 자격 증명 수집과 시스템 변경 시도
2. 기술적 분석: 악성 월페이퍼가 수행하는 행위
감염된 월페이퍼는 단순한 시각적 파일이 아니라 추가 행위를 수행하는 복합 위협으로 동작합니다. Bleeping Computer가 제시한 기술 정황을 기준으로, 주요 행위는 두 축으로 정리됩니다.
2.1 Steam 계정 탈취 메커니즘
일부 페이로드는 Steam 클라이언트의 세션 토큰과 로컬 캐시에 접근해 로그인 자격 증명을 추출하는 행위를 수행합니다. 추출된 정보는 외부 서버로 전송되어, 공격자가 동일 계정으로 아이템 거래, 2차 인증 재설정, 피싱 메시지 발송 등을 시도할 수 있습니다. Steam 계정은 게임 자산과 결제 수단이 결합되어 있어, 1차 피해가 2차 금전 피해로 빠르게 확대될 수 있습니다.
2.2 호스트 시스템 침해 및 지속화 방식
Windows 환경을 대상으로 한 페이로드는 레지스트리 변조, 시작 프로그램 등록, 예약된 작업 등록 등 다양한 지속화 기법을 사용한 것으로 보입니다. Bleeping Computer의 Windows 파일 시스템 악용 사례와 유사한 지속화 기법이 사용된 것으로 추정됩니다.례(GhostTree Attack 기사)에서 살펴본 것처럼, 정상 폴더 구조를 악용한 은폐 기법은 점차 정교해지고 있으며, 이번 사건에서도 단순 실행 파일이 아닌 다단 구조의 드롭퍼 체인이 사용된 것으로 분석됩니다.
3. 플랫폼 신뢰 체계의 공백
이번 사건은 개별 악성코드보다 Steam Workshop의 콘텐츠 검토 체계에 대해 더 큰 질문을 던집니다. Valve는 운영사로서 강력한 기술 역량을 보유하지만, 커뮤니티 콘텐츠의 규모와 다양성 때문에 모든 업로드를 사전에 검증하는 데는 구조적 한계가 존재합니다.
3.1 Valve 콘텐츠 검토 프로세스의 한계
Steam Workshop은 제작자 자기 신고와 사용자 신고에 기반한 사후 검토 모델을 채택하고 있습니다. 악성 월페이퍼가 사후 신고로 제거되기 전까지 상당 기간 노출될 수 있으며, 그동안 다수의 사용자가 감염될 가능성이 있습니다. 더욱이 평판이 형성된 계정이 침해당하면, 그 계정에 등록된 모든 콘텐츠가 잠재적 위협으로 변질될 수 있습니다.
3.2 Steam Workshop 생태계의 구조적 취약점
게이밍 플랫폼의 콘텐츠 허브는 본질적으로 사용자 참여와 창작 자유를 장려하도록 설계되었습니다. 따라서 엄격한 샌드박스 정책은 창작 생태계를 위축시킬 수 있어, 보안과 개방성 사이에서 균형점을 찾기 어렵습니다. 이번 사건은 그 균형점이 더 이상 사용자에게 일방적으로 유리하지 않다는 점을 보여줍니다.
4. 사용자 및 산업 대응 방안
플랫폼 정책의 변화가 즉시 이루어지기 어려운 만큼, 사용자와 업계가 병행할 수 있는 대응이 필요합니다. 아래 항목은 실행 가능성을 기준으로 정리한 권고입니다.
4.1 게이머를 위한 즉시 적용 가능한 보안 수칙
- Wallpaper Engine 등 사용자 제작 콘텐츠를 구독할 때는 제작자 평판과 구독자 수만으로 신뢰하지 않기
- Workshop 구독 목록을 주기적으로 점검하고 미사용 콘텐츠는 구독 해제하기
- Steam 계정에 2차 인증(Steam Guard 모바일 인증)을 반드시 활성화하기
- 호스트 시스템에 실시간 안티바이러스와 EDR(엔드포인트 탐지·대응) 제품을 유지하기
- 월페이퍼 적용 직후 비정상 프로세스, 네트워크 트래픽, 레지스트리 변경 여부 확인하기
4.2 플랫폼 운영사의 모더레이션 강화 방향
| 영역 | 현재 한계 | 개선 방향 |
|---|---|---|
| 사전 검토 | 샘플링 기반, 사후 대응 중심 | 악성 행위 시그니처 기반 자동 스캔 도입 |
| 계정 신뢰 | 계정 평판 누적 모델 | 침해 징후 감지 시 일시적 업로드 정지 |
| 사용자 알림 | 구독 후 수동 확인 필요 | 구독 콘텐츠 변경 및 행위 변경 시 알림 |
| 침해 대응 | 신고 기반 사후 조치 | 침해 계정 산출물 일괄 격리 및 통보 |
5. 시사점: 게임 유통 플랫폼 보안의 재정의
Steam Workshop 사건은 게임 유통 플랫폼이 단순한 콘텐츠 마켓플레이스를 넘어, 하나의 운영체제급 신뢰 인프라로 기능해야 함을 시사합니다. 사용자는 평판과 인터페이스를 신뢰하고, 공격자는 그 신뢰를 가장 빠르게 전환할 수 있는 채널을 찾아냅니다. 따라서 향후 보안 논의는 “어떤 콘텐츠가 위험한가”를 넘어 “어떤 신뢰를 시스템이 보장할 수 있는가”로 재정의되어야 합니다. 운영사, 보안 커뮤니티, 사용자 세 주체가 각자 책임을 분담하지 않는다면, 동일한 사건이 반복될 가능성이 높습니다.
참고 자료: Bleeping Computer 원문 기사, Bleeping Computer – GhostTree Attack 기사
핵심 정리
- Steam Workshop과 같은 신뢰받는 콘텐츠 허브가 멀웨어 유포 창구로 악용될 수 있음이 확인됨
- 감염 월페이퍼는 Steam 계정 탈취와 시스템 침해로 이어지는 다단 위협으로 분석됨
- 사후 검토 중심의 모더레이션과 평판 기반 신뢰 모델은 구조적 공백을 내포함
- 사용자는 구독 습관 점검과 2차 인증, EDR 도입으로 즉시 방어 강도를 높일 수 있음
- 플랫폼 운영사는 사전 자동 스캔과 침해 계정 격리 체계를 병행해야 함