Steam 계정 9천만 개가 데이터 유출 사고에 휩싸여… 지금 당장 비밀번호를 변경해야 할 때

**Steam 사용자들, 주목하세요!** 최근 Valve의 인기 PC 게임 스토어인 Steam과 관련된 대규모 데이터 유출 사고가 발생했다는 소식이 전해졌습니다. 이번 사고는 Steam이 2단계 인증(2FA) 코드를 SMS로 전송하기 위해 사용하는 제3자 서비스인 Twilio와 관련이 있는 것으로 보입니다. 해커들은 현재 약 8,900만 개의 Steam 기록을 다크 웹 포럼에서 단 5,000달러(약 699만 원)에 판매하고 있다고 합니다. **어떻게 이런 일이?** 독립 게임 저널리스트 @MellowOnline1는 해커들의 게시물을 발견하고 이를 X(전 트위터)에 공유했습니다. 이후 @MellowOnline1는 이번 사고가 Steam 자체의 직접적인 침해가 아니라 Steam이 의존하는 외부 서비스의 침해로 보인다고 설명했습니다. 유출된 데이터 샘플에는 2FA에 사용되는 실시간 SMS 로그, 메시지 내용(예: 2FA 코드), 전송 상태, 라우팅 비용(메시지 전송 비용), 타임스탬프, 수신자 번호 등의 메타데이터가 포함되어 있다고 합니다. **위험은 무엇인가요?** 이번 유출은 해커들이 Twilio의 시스템에 접근했거나 접근할 수 있었음을 시사합니다. Steam 자체가 해킹당한 것은 아니지만, 사용자들은 여전히 큰 위험에 직면해 있습니다. 이번 해킹은 해커들이 사용자들에게 가짜이지만 설득력 있는 메시지를 보낼 수 있는 피싱 공격을 가능하게 할 뿐만 아니라, 2FA 코드를 가로채거나 재생하여 로그인 보호를 우회할 수 있는 세션 하이재킹으로 이어질 수도 있습니다. **Twilio의 어두운 역사** Twilio는 Authy 2FA 앱의 배후 회사이며, 이번이 처음으로 직면한 데이터 유출 사고는 아닙니다. Twilio는 2024년 7월에도 유출 사고를 겪었으며, Twilio의 모회사인 SendGrid는 지난 달 해킹을 당했습니다(SendGrid는 유출 증거가 없다고 주장합니다). 아직 Twilio로부터 또 다른 유출에 대한 공식적인 확인은 없으며, 이번 Steam 데이터가 이전 해킹에서 비롯된 것일 가능성도 있습니다. **어떻게 대처해야 하나요?** Steam 사용자들은 피싱 사기에 주의하고 자신을 보호하기 위한 조치를 취해야 합니다. 첫 번째 좋은 조치는 Steam 비밀번호를 변경하는 것입니다. 또한 Twilio 사용을 피하기 위해 2FA 방법을 변경하는 것이 현명할 것입니다. 아마도 가장 좋은 옵션은 SMS를 통해 2FA 코드를 받는 대신 스마트폰에 Steam 앱을 설치하여 2FA 코드에 접근해야 하는 Steam Guard를 사용하는 것일 것입니다.