Steam 악성 게임 멀웨어 캠페인 - FBI 수사

[ 사고 개요 ]

- 공격 플랫폼  -  Valve Steam  ( PC 게임 디지털 배포 플랫폼 )
- 사고 유형  -  트로이목마형 악성 게임을 통한 인포스틸러/크립토드레이너 배포
- 활동 기간  -  2024년 5월  -  2026년 1월  ( 약 20개월 )
- 수사 기관  -  FBI 시애틀 지부
- 수사 공개 일시  -  2026년 3월 11일
- 확인된 피해  -  $150,000 상당 암호화폐 탈취 추정  ( BlockBlasters 단일 사건 기준 ),  261~478명 피해자 추정
- 피해 게임  -  BlockBlasters, Chemia, Dashverse/DashFPS, Lampy, Lunara, PirateFi, Tokenova  ( 총 7종 )

Valve Steam은 2025년 기준 월간 활성 이용자 1억 3,200만 명, 등록 게임 수 117,000개 이상을 보유한 세계 최대 PC 게임 디지털 배포 플랫폼이다. FBI의 조사는 이 플랫폼이 약 20개월에 걸쳐 멀웨어 배포 채널로 체계적으로 악용되었음을 공식 확인한 것이다.

[ 기술적 세부 내용 ]

[ 공격 방식 - 트로이목마형 게임 ]

이 캠페인의 핵심 기법은 Steam Direct를 통해 겉으로는 정상 작동하는 게임을 업로드하고, 초기 검토를 통과한 후 이후 업데이트를 통해 악성 코드를 삽입하는 방식이다. Steam Direct는 개발자가 $100의 환급 가능한 수수료를 납부하고 자동화 검사 및 일부 수동 검토를 거쳐 게임을 등록할 수 있는 개방형 시스템이다.

[ 사례별 기술 세부 내용 ]

[ BlockBlasters ]

- Steam 등록  -  2025년 7월 30일  -  9월 21일
- 초기 배포  -  정상 2D 플랫포머 게임으로 배포
- 악성 코드 삽입  -  배포 후 약 한 달이 지난 8월 30일, 업데이트를 통해 크립토드레이너  ( Cryptodrainer )  탑재
- 악성 코드 구성  -  배치 드롭퍼  ( Batch Dropper )  가 안티-가상화 및 안티-분석 검사를 수행한 후, Steam 로그인 데이터 및 IP 주소를 C2 서버로 유출. 이후 Python 백도어와 StealC 인포스틸러를 추가 다운로드
- StealC 특징  -  웹 브라우저에 저장된 비밀번호, 쿠키, 자동완성 데이터 및 데스크탑 암호화폐 지갑 정보 탈취에 특화
- 피해  -  Twitch 스트리머 RastalandTV가 라이브 방송 중 $32,000 상당의 암호화폐 지갑이 탈취되는 사건이 공개적으로 알려지며 캠페인이 주목받음. 블록체인 수사관 ZachXBT는 261개 Steam 계정에서 약 $150,000 탈취를 추정, VX-Underground는 피해자 수를 478명으로 보고

[ Chemia ]

- 장르  -  생존 제작  ( Survival Crafting )  얼리 액세스 게임으로 위장
- 공격 주체  -  EncryptHub으로 알려진 위협 행위자
- 악성 코드  -  HijackLoader를 통해 Vidar 인포스틸러를 다운로드하는 방식으로 비밀번호, 금융 정보 탈취

[ PirateFi ]

- 등록 기간  -  2025년 2월 초, 약 1주일 내 제거
- 탑재 멀웨어  -  Vidar 인포스틸러
- 추정 피해자  -  최대 1,500명이 다운로드한 것으로 추정
- 특이 사례  -  피해자 중 1명의 Microsoft 계정이 탈취되어 Microsoft 지원 팀 접근이 차단되고, 연락처에 스캠 링크가 발송됨

[ 공통 기술 패턴 ]

- 초기 제출 시 정상 코드로 검토를 통과한 후, 사후 업데이트를 통해 악성 코드 탑재
- Unity 또는 Unreal 엔진 실행 파일 내에 드롭퍼 은닉, 설치 스크립트 또는 첫 실행 스크립트 악용
- 원격 C2 서버에서 실시간으로 페이로드를 수신하는 방식으로 정적 분석을 우회

[ FBI 수사 주요 사항 ]

FBI 시애틀 지부는 2026년 3월 11일 공식 피해자 정보 수집 공고를 게시했다. 수사에서 FBI는 7종의 게임이 동일한 위협 행위자에 의해 제작된 것으로 판단하고 있다. 피해자 문의 양식은 암호화폐 거래 내역, 계정 침해 여부, 게임 홍보자와의 커뮤니케이션 기록을 중점적으로 수집한다.

[ 근본 원인 분석 ]

[ 기술적 요인 ]

- Steam Direct의 사후 업데이트 검증 부재  -  초기 게임 등록 시에만 검토를 수행하고, 이후 업데이트에 대한 지속적인 악성 코드 검사가 이루어지지 않는 구조적 취약점이 존재한다.
- 동적 페이로드 수신 방식  -  실행 시점에 원격 서버에서 악성 페이로드를 내려받는 방식은 정적 코드 분석을 효과적으로 우회한다.
- 게임 실행 파일의 광범위한 시스템 권한  -  게임은 정상적인 실행을 위해 그래픽, 파일 시스템, 네트워크 등 광범위한 권한을 요구하므로, 악성 행동과 정상 행동을 구분하기 어렵다.

[ 관리적 요인 ]

- Valve의 콘텐츠 검토 체계가 대규모 개방형 플랫폼의 악용을 효과적으로 방어하지 못했다. $100의 낮은 진입 장벽은 악의적 행위자의 반복적인 악성 게임 업로드를 가능하게 한다.
- 연구자 및 커뮤니티 신고에 의존하는 대응적  ( Reactive )  탐지 모델은 피해 확산을 막기 어렵다.
- 약 20개월에 걸친 캠페인이 유지되는 동안 Valve의 능동적 탐지 체계가 작동하지 않았다.

[ 인적 요인 ]

- 게이머들은 Steam 플랫폼 자체를 신뢰하는 경향이 있어, 개별 게임의 안전성을 별도로 검증하지 않는 경우가 많다.
- 인디 게임 커뮤니티에서는 소규모 개발자의 게임도 정상적인 플랫폼 게임으로 인식되므로 경계심이 낮아지는 경향이 있다.

[ 영향 평가 ]

[ 직접 피해 ]

- 확인된 주요 피해는 암호화폐 지갑 탈취로, BlockBlasters 사건 기준 약 $150,000 규모가 추정된다.
- Steam 계정 세션 쿠키, 저장된 비밀번호, Microsoft 계정 등 다양한 자격증명이 탈취되었다.
- 피해자 중 일부는 탈취된 계정을 통해 추가적인 사기 피해  ( 스캠 링크 발송 등 )  를 입었다.

[ 플랫폼 신뢰도 ]

- 세계 최대 게임 플랫폼이 약 20개월간 멀웨어 배포 채널로 활용되었다는 사실이 공식화됨으로써 플랫폼 전반의 신뢰도에 영향을 미쳤다.
- Valve는 현재 FBI 수사에 협조하고 있는 것으로 알려졌으나, FBI의 피해자 공고 이전에 Valve가 얼마나 능동적으로 대응했는지는 불분명하다.

[ 전체 피해 규모의 불확실성 ]

총 피해 규모와 감염자 수는 현재까지 공개되지 않았다. FBI가 피해자 정보를 자발적으로 수집하는 단계임을 고려할 때 실제 피해 규모는 현재 알려진 것보다 클 수 있다.

[ 예방 및 대응 조치 ]

[ 현재 Steam 이용자를 위한 즉각 조치 ]

- 자신의 Steam 라이브러리에서 BlockBlasters, Chemia, Dashverse/DashFPS, Lampy, Lunara, PirateFi, Tokenova 설치 여부 확인  ( 2024년 5월  -  2026년 1월 기간 내 )
- 해당 게임 설치 이력이 있는 경우  -  신뢰할 수 있는 안티바이러스 및 인포스틸러 전용 탐지 도구로 전체 시스템 검사
- Steam, 이메일, 금융 계좌, 암호화폐 플랫폼의 비밀번호 즉시 변경
- 모든 계정에 MFA 활성화  ( 가능한 경우 앱 기반 또는 하드웨어 키 사용 )
- 암호화폐 거래 내역 및 금융 계좌에서 비정상적인 활동 확인
- 피해가 의심되는 경우 FBI 공식 채널을 통해 신고

[ 플랫폼 수준의 예방 조치 - Valve 권고 ]

- 게임 업데이트에 대한 동적 샌드박스 검사 구현  -  초기 제출뿐 아니라 모든 업데이트에 대해 자동화된 악성 행동 분석 수행
- 퍼블리셔 계정 평판 점수 시스템 도입
- 게임 바이너리 및 업데이터에 대한 코드 서명 요건 강화
- 주기적인 보안 투명성 보고서 발간  -  탈취 건수, 검토 거부율, 스캔 결과 등 공개
- 광범위한 시스템 접근을 요청하는 소규모 게임에 대한 사용자 경고 표시

[ 컨설팅 커뮤니케이션 전략 ]

[ 비기술 직원 대상 ]

Steam 같은 공식 플랫폼에서 다운로드받은 게임도 악성코드를 포함할 수 있습니다. 업무용 PC나 개인 PC에 게임을 설치할 때, 해당 PC에 저장된 업무 자격증명이나 이메일 계정도 함께 위험에 노출될 수 있습니다. 업무용 기기에는 게임을 설치하지 않는 것이 원칙이며, 개인 기기에서도 인디 게임 설치 시 주의가 필요합니다.

[ 기술팀 대상 ]

이 캠페인에서 사용된 StealC 및 Vidar 인포스틸러는 브라우저 저장 자격증명과 세션 쿠키를 탈취한다. 탈취된 세션 쿠키는 MFA를 우회한 계정 접근에 사용될 수 있다. EDR 솔루션에서 게임 프로세스가 외부 C2 서버와 비정상적인 아웃바운드 통신을 수행하는 행동 패턴을 탐지하도록 규칙을 설정해야 한다. 직원 PC에서 게임 클라이언트 설치를 제한하는 정책 적용도 검토가 필요하다.

[ 경영진 대상 ]

이번 사건은 신뢰받는 제3자 플랫폼이 멀웨어 배포 경로로 활용되는 공급망 신뢰 문제의 소비자 버전이다. 직원들이 업무용 기기에서 외부 소프트웨어를 설치할 경우 기업 자격증명이 노출될 수 있으며, 이는 기업 시스템 침해의 초기 진입점이 된다. 업무용 기기에 대한 소프트웨어 설치 정책 재검토가 필요하다.

[ 법무/컴플라이언스 대상 ]

피해 직원이 업무용 기기에서 감염된 경우, 탈취된 기업 자격증명을 통한 2차 기업 데이터 침해 가능성을 검토해야 한다. Valve의 플랫폼 관리 부실로 인한 피해에 대한 법적 책임 소재와 함께, 미국 연방법상 컴퓨터 사기 및 남용법 ( Computer Fraud and Abuse Act ) 위반 여부가 이번 FBI 수사의 핵심 쟁점이 될 것으로 예상된다.

[ 예상 Q&A ]

Q. 공식 Steam 플랫폼에서 다운로드받았는데 어떻게 악성코드가 포함될 수 있나?

A. Steam Direct 시스템은 개발자가 $100을 납부하면 자동화 검사 후 게임을 등록할 수 있는 구조다. 이 캠페인의 핵심 수법은 초기 제출 시 정상 코드로 검토를 통과한 후, 이후 업데이트를 통해 악성 코드를 삽입하는 방식이다. 초기 검토를 통과한 게임의 사후 업데이트는 동일한 수준의 검사를 받지 않는다는 구조적 허점이 악용되었다.

Q. 왜 Steam이 20개월 동안 이를 탐지하지 못했나?

A. 현재 Steam의 탐지 체계는 커뮤니티 신고와 사후 대응 방식에 크게 의존하는 것으로 보인다. BlockBlasters의 경우 Twitch 스트리머 피해 사건이 공개적으로 알려진 후에야 게임이 제거되었다. 플랫폼 수준의 능동적 사후 업데이트 검사 시스템이 부재했던 것이 핵심 원인이다.

Q. 게임을 설치만 하면 감염되나, 아니면 실행해야 하나?

A. 이 캠페인에서 확인된 악성 코드는 게임 실행 시 활성화된다. 단순 설치 후 실행하지 않은 경우의 감염 여부는 현재로서는 확인된 정보가 없으나, 실행 이력이 있는 경우 감염을 전제로 시스템 검사를 수행하는 것이 권고된다.

[ 핵심 학습 포인트 ]

- 신뢰받는 플랫폼이 공급망 공격의 채널이 된다  -  이번 사건은 기업 소프트웨어 공급망뿐만 아니라 소비자 게임 플랫폼도 동일한 공급망 신뢰 악용 문제에 취약함을 보여준다.
- 초기 검토 통과 후 사후 업데이트를 통한 악성 코드 삽입  ( Post-Release Poisoning )  은 정적 코드 분석 기반 보안 검토를 우회하는 효과적인 기법이다.
- 인포스틸러가 탈취하는 세션 쿠키는 MFA를 우회한 계정 접근을 가능하게 하며, 이는 기업 환경에서 특히 심각한 위협이다.
- 게임이라는 소비자 소프트웨어가 기업 자격증명 탈취의 초기 침투 경로가 될 수 있다. 업무용 기기에 대한 소프트웨어 설치 정책의 중요성이 재확인되었다.
- 약 20개월에 걸친 캠페인이 FBI 수사 공개 시점까지 지속되었다는 사실은, 피해 범위의 상당 부분이 아직 파악되지 않았을 가능성을 시사한다. 실제 피해 규모는 현재 보고된 것보다 클 수 있다.