지난 5월 13일 스팀 사용자들 사이에서 계정 정보가 다크웹에서 판매되고 있다는 소식이 퍼지며 보안 우려가 확산됐다. 논란의 발단은 ‘Machine1337’이라는 닉네임의 사용자가 암시장 포럼에 게시한 글이었다. 그는 약 8,900만 개의 스팀 계정 정보를 5,000달러에 판매하겠다고 주장했으며, 이 데이터에는 전화번호, 문자 메시지 메타데이터, 그리고 오래된 2단계 인증(2FA) 코드가 포함되어 있는 것으로 알려졌다.

해당 정보가 진짜라면 심각한 보안 위협이 될 수 있다는 분석이 이어졌다. 2FA를 사용하지 않거나 비밀번호를 장기간 변경하지 않은 사용자들이 특히 취약할 수 있으며, 정보를 구매한 누군가가 전화번호 등의 데이터를 이용해 피싱을 시도할 가능성도 제기됐다. 처음에는 2차 인증 API를 제공하는 플랫폼 회사 트윌리오(Twilio)가 침해의 원인으로 지목됐지만, 밸브는 트윌리오 서비스를 사용한 적이 없다고 밝혔고, 트윌리오 역시 자사 시스템 침해를 부인했다.

이에 따라 밸브는 사건의 확산에 대응해 15일 공식 입장을 발표했다. 밸브 측은 “어제 스팀 고객에게 전송되었던 과거 문자 메시지가 유출되었다는 신고를 접수받고 샘플을 분석한 결과, 이는 스팀 시스템 자체의 침해로 발생한 것이 아님을 확인했다”라고 밝혔다.

또한 “유출된 데이터는 15분 동안만 유효한 일회용 인증 코드와 수신된 전화번호가 포함된 오래된 문자 메시지였으며, 해당 번호들은 계정 정보나 결제 정보 등과 연결되어 있지 않다”라고 덧붙였다. 밸브는 메시지의 성격상 계정 탈취에 사용될 수 없으며, 사용자에게는 이메일이나 스팀 앱을 통해 인증 절차가 추가로 요구되므로 보안이 유지된다고 강조했다.

그러나 여전히 유출의 정확한 경로는 밝혀지지 않은 상태다. 밸브는 “모든 SMS 메시지는 전송 중 암호화되지 않은 상태로 여러 통신업체를 거치기 때문에 출처 추적이 어렵다”라고 설명했다.

아울러, “이번 사건으로 인해 사용자들이 비밀번호나 전화번호를 변경할 필요는 없다”면서도 “의심스러운 보안 메시지를 주의 깊게 살피고, 정기적으로 계정 접속 기기 목록을 점검할 것”을 권장했다.