FBI 경고: Steam 인디 게임에
악성코드가 숨어 있다
Steam을 켜면 하루에도 수십 개의 인디 게임이 쏟아진다. 그 중에서 내 취향에 딱 맞는 소작품을 발견했을 때의 설렘, 게이머라면 누구나 안다.
그런데 2026년 3월, 그 설렘에 찬물을 끼얹는 뉴스가 터졌다. 미국 연방수사국(FBI)이 공식 경고를 발령했다. 내용인즉슨, Steam에 올라온 일부 인디 게임 안에 악성코드가 숨겨져 있다는 것이다.
단순한 루머가 아니다. FBI 시애틀 지부가 직접 수사에 착수했고, 공식 성명까지 발표했다. 이 글에서는 무슨 일이 벌어지고 있는지, 그리고 당신이 지금 당장 해야 할 일이 무엇인지 정리해 본다.
FBI가 경고를 발령한 배경
2026년 3월 11일, FBI 시애틀 지부는 공개 경고문을 발표했다. 여러 Steam 인디 게임 내부에 악성코드(멀웨어)가 삽입되어 있음을 확인했으며, 현재 수사가 진행 중이라는 내용이었다.
FBI가 직접 게임 플랫폼 보안 문제에 나선 것은 상당히 이례적인 일이다. 그만큼 이 사안이 가볍지 않다는 의미다.
FBI 시애틀 지부는 2026년 3월 11일자로 Steam 인디 게임에 숨겨진 악성코드에 관한 공식 경고를 발령하고 현재 수사 중임을 공개했습니다.
어떤 방식으로 악성코드가 심겨지는가
인디 게임은 대형 스튜디오에 비해 보안 검수 과정이 상대적으로 느슨한 편이다. Steam도 자동화된 검사를 거치지만, 정교하게 숨겨진 악성코드를 100% 잡아내기란 현실적으로 어렵다.
공격자들이 주로 사용하는 방법은 대략 세 가지다.
- 정상적인 게임 파일처럼 보이도록 악성코드를 위장하는 방법 — 게임 실행 파일 자체에 멀웨어를 삽입한다.
- 게임이 설치될 때 백그라운드에서 추가 파일을 몰래 내려받는 드로퍼(Dropper) 방식
- 게임 업데이트를 가장해 사후에 악성코드를 전달하는 방법 — 처음 출시 시에는 정상이었다가 나중에 감염되는 케이스
특히 세 번째 방식이 가장 위험하다. 처음엔 멀쩡했던 게임이 업데이트 이후 악성코드를 품게 되는 경우, 초반에 좋은 리뷰를 받아 신뢰를 쌓은 상태라 의심받기 어렵기 때문이다.
감염되면 무슨 일이 벌어지나
악성코드의 종류에 따라 피해 양상이 다양하다. 일반적으로 다음과 같은 피해가 보고된다.
- 정보 탈취(Infostealer) — Steam 로그인 정보, 결제 수단, 개인정보 등을 훔쳐 간다.
- 원격 접속 트로이목마(RAT) — 공격자가 피해자 PC를 원격에서 조종할 수 있게 된다.
- 랜섬웨어 — 파일을 암호화하고 금전을 요구한다.
- 크립토재킹 — 사용자 몰래 PC 자원을 암호화폐 채굴에 동원한다.
- 스팀 계정 탈취 — 게임 라이브러리, 아이템, 잔액 등이 통째로 날아갈 수 있다.
게임을 즐기는 동안 백그라운드에서 이런 일이 벌어지고 있다고 상상해보라. 알아채기도 어렵고, 피해를 입고 나서야 사태를 파악하게 되는 경우가 대부분이다.
"무료거나 저렴하다는 이유만으로 게임을 설치하지 마라. 공짜 게임 하나가 당신의 Steam 계정 전체, 나아가 금융 정보까지 잃게 만들 수 있다."
어떤 게임을 특히 조심해야 하나
FBI는 아직 구체적인 게임 목록을 공개하지 않았다. 수사가 진행 중이기 때문이다. 하지만 보안 전문가들이 공통적으로 언급하는 위험 신호(레드 플래그)는 있다.
- 리뷰 수가 극히 적거나, 리뷰가 지나치게 단기간에 쏟아진 경우
- 개발사 정보가 불분명하거나, 출시 이후 소통이 전혀 없는 경우
- 게임 파일 크기가 장르에 비해 지나치게 크거나 이상한 경우
- 설치 과정에서 불필요한 관리자 권한을 요구하는 경우
- 백신 소프트웨어가 설치 도중 경고를 띄우는 경우
모든 조건이 해당한다고 해서 반드시 악성코드가 있다는 뜻은 아니다. 하지만 이 중 두 가지 이상이 겹친다면 일단 설치를 멈추고 더 조사해 보는 것이 현명하다.
지금 당장 할 수 있는 5가지 보호 조치
경고를 들었다고 해서 Steam 자체를 멀리할 필요는 없다. 다만 몇 가지 기본적인 보안 습관을 들이는 것이 중요하다.
- Steam 가드(Steam Guard) 2단계 인증 활성화 — 계정 탈취 시도를 상당 부분 차단한다.
- 신뢰할 수 있는 백신 및 실시간 보호 활성화 — Windows Defender만 켜놔도 기본적인 방어는 된다.
- 게임 설치 전 VirusTotal에 파일 검사 — 70개 이상의 엔진으로 동시 검사해 준다.
- 최근에 설치한 인디 게임 목록 재검토 — 이상 행동이나 PC 속도 저하가 있었다면 즉시 삭제 고려
- Steam 로그인 기기 목록 확인 및 모르는 기기 즉시 로그아웃 — 계정 설정 → 계정 보안에서 확인 가능
개인적으로는 중소 인디 타이틀을 설치할 때 항상 가상 환경(VM)이나 별도 계정을 사용하는 편이다. 번거롭게 느껴질 수 있지만, 한 번의 감염으로 잃을 수 있는 것과 비교하면 충분히 감수할 만한 수고다.
Steam은 이 문제를 어떻게 처리하고 있나
Valve는 지금까지 이번 FBI 경고에 대해 공식적인 입장을 내놓지 않았다. Steam은 원래 게임 퍼블리싱에 관대한 플랫폼이라, 출시 전 검수보다는 신고 기반 대응에 의존하는 경향이 강하다.
실제로 Steam Direct 시스템 도입 이후, 누구나 100달러만 내면 게임을 올릴 수 있게 됐고 — 이는 인디 생태계의 다양성을 키웠지만, 동시에 악의적인 행위자가 악성코드를 배포하기 더 쉬운 환경이 만들어지기도 했다.
커뮤니티 신고가 가장 빠른 방어선이다. 의심스러운 게임을 발견했다면 Steam 스토어 페이지에서 직접 신고하는 것이 플랫폼 전체를 위한 행동이기도 하다.
마치며 — 게임은 즐겁게, 보안은 철저하게
인디 게임 씬은 분명히 게이밍의 보석 같은 공간이다. 대형 스튜디오가 시도하지 않는 실험적인 아이디어들이 살아 숨쉬는 곳이다. 그 공간이 악의적인 사람들에 의해 오염되고 있다는 사실이 안타깝다.
하지만 FBI까지 나서서 경고를 발령한 이상, 우리 게이머들도 소비자로서 더 스마트해질 필요가 있다. 설치 전 한 번 더 검색해보는 습관, 리뷰를 꼼꼼히 읽는 습관 — 이런 소소한 루틴이 결국 내 계정과 PC를 지킨다.
즐거운 게임 생활을 위해, 보안도 함께 챙기자.
'게임 > 트레이너 및 정보' 카테고리의 다른 글
| Wand Pro 첫 가입 및 구독 시작 가이드 2025 (0) | 2026.03.17 |
|---|---|
| Wand 게임 호환성 및 지원 (0) | 2026.03.17 |
| Wemod 게임 실행 및 최초 설정 (0) | 2026.03.17 |
| Wand 결제 수단 관리 완벽 가이드 (0) | 2026.03.17 |
| Wand Pro 구독 취소 (0) | 2026.03.17 |