디스코드 연동 보안 허점… 게임 아크 레이드스, 비공개 메시지 기록 논란
안녕하세요, 오랜만에 찾아온 여러분 여러분. 이토록 많은 시간을 게임 속에서 보내며 우리의 디지털 라이프스타일을 즐기는 여러분 모두에게 좋은 소식과 함께 주의가 필요한 소식을 공유해드리고 싶어 글을 쓴 블로거입니다. 오늘 소개해드릴 내용은 바로 최근 게임 산업에서 이슈가 된 보안 취약점과 그로 인해 발생한 문제의 심각성에 대한 이야기입니다.
먼저, 핵심 키워드인 ‘아크 레이드스 (Arc Raiders)’라는 게임을 들어보셨는지요? 스팀 플랫폼을 통해 출시된 이 게임은 디스코드와의 연동을 통해 친구 초대나 음성 채팅 같은 기능을 제공합니다. 이러한 기능이 게임을 더 편리하게 만드는데도, 이번에는 이러한 연동 기능 자체가 예상치 못한 보안 위협으로 변모된 사례로 주목받았죠. 개발 회사인 Embark Studios 가 개발 중인 이 게임에서 디스코드의 SDK(소프트웨어 개발 키트) 를 사용하면서, 개발 중 사용된 디버깅 기능이 일반 유저들에게도 영향을 미친 상황이었는데요.
문제는 이 디버깅 기능이나 SDK 로 인해 사용자의 비공개 대화 (DM) 가 암호화 없이 로컬 파일에 그대로 저장되었다는 사실입니다. 시스템 엔지니어인 Timothy Meadows 가 공개한 기술적 분석을 보면, 게임이 디스코드 토큰을 인증 수단으로 사용하고 있는데, 그 토큰이 평문 (plaintext) 으로 저장되고 있었습니다. 만약 누군가 사용자의 컴퓨터에 접근하거나 파일을 열어본다면, 사용자의 디스코드 계정의 로그인 정보, 친구 목록, 설정 같은 민감한 개인정보까지 완전히 유출할 수 있는 상황이 발생했죠. 특히 게임이 비정상 종료 (crash) 될 경우 서버로 전송되는 로그 파일이 사용자들의 개인정보를 포함하고 있을 가능성이 매우 높다고 합니다. 이 로그 파일이 개발사 Embark 에게 전달되면, 회사 직원이 사용자의 민감한 정보를 확인할 수 있다는 점은 매우 심각한 문제입니다.
또한 보안 전문가들이 강조하는 점은, 평문으로 저장된 토큰은 금방 해킹당할 수 있다는 것입니다. 디스코드의 Bearer Token 은 사용자의 인증을 의미하는데, 이것이 암호화 없이 보관되면 누구든 이 토큰을 확보한 즉시 사용자의 계정에 잠식할 수 있습니다. 이는 단순히 게임 기능의 한계 문제라기보다는, 소프트웨어 개발 시 보안 설계가 얼마나 철저한가를 보여주는 결과이기도 합니다. 개발사가 ‘의도치 않게’ 저지른 실수라고만 하더라도, 실제로는 디스코드의 API 에서 제공하는 로그 훅 (hook) 이 민감 정보를 제대로 걸러내지 못한 채 전달될 수 있음이 전문가들에 의해 시사되었습니다.
물론 다행히도 개발사 Embark Studios 는 핫픽스를 통해 문제를 해결하고 더 이상 디스코드 SDK 를 사용하지 않도록 조치했으며, 향후 보안 감사를 통해 추가적인 문제가 없을지 확인 중이라고 밝혔습니다. 개발사 측은 개인 정보나 민감 데이터가 외부로 유출되지 않았다고 강조했지만, 이미 로컬에 저장되었다는 사실만으로도 사용자는 큰 걱정을 할 수밖에 없습니다. 또한, 이 문제는 아크 레이드스 게임사만의 문제가 아니라 디스코드 플랫폼 전체의 보안 취약점과 연결될 수 있습니다. 디스코드는 지난해에도 랜섬웨어 공격 피해를 입었으며, 7 만 건의 정보나 신분증 사진이 유출된 적도 있죠. 이처럼 보안 사고는 IT 업계에서 꾸준히 발생하고 있지만, 일반 사용자들은 이러한 기술적 배경을 잘 알지 못합니다.
흥미로운 점은 이번 사태에 대한 공중의 반응입니다. ‘의도치 않음’이라는 표현이 나오자 네티즌들은 “보안을 위해 얼마나 열심히 해봐야 하는가”라고 비판했습니다. 개발사 측에서는 테스트용 기능을 실수로 노출된 것이라 밝혔지만, 개발 환경과 실험 기능이 일반 유저 환경과 완전히 구별되지 않아 발생하는 실수이기도 합니다. 사용자 입장에서는 이 기능 자체가 필요할 때마다 내 친구 목록이 노출되고, 비공개 메시지가 저장되는 것에 동의하기 어렵죠.
그리고 만약 게임 회사에 문제가 있어서 로그를 저장하지 않을 경우, 게임 경험 자체는 제한될 수 있습니다. 친구 초대를 요청받거나 게임을 함께 하려면 디스코드 연동이 필수인 경우도 많고요. 그래서 최소한의 권한만 허용하는 것을 제안합니다. OAuth 스코프라는 개념도 이해하시면 좋지만, 쉽게 말해 필요한 만큼의 최소한의 권한만 허용해달라는 것입니다. 필요한 기능만 쓰되, 불필요한 데이터는 수집하지 않음을 분명히 해야 합니다. 이러한 원칙이 지켜지지 않으면, 사용자는 자신의 디지털 정체성을 보호하기 위해 끊임없이 방어전을 해야 합니다.
결론적으로, 여러분이 게임이나 앱을 사용할 때 어떤 권한을 허용하는지 꼭 확인하셔야 합니다. 친구 초대 기능만 필요하다면, 과도한 권한을 주는 토큰은 사용하지 않는 것이 안전합니다. 오늘 이야기한 아크 레이드스 사례처럼 개발사가 미숙하면, 우리는 개인정보 침해 피해자가 될 수밖에 없습니다. 그러니 오늘처럼 보안 뉴스에도 항상 귀 기울이고, 게임이나 앱 설치 시 어떤 것이 허용되는지 꼼꼼히 봐주세요. 또한, 개인 정보 유출 사고가 발생할 때마다 개발사를 믿기보다는 스스로의 데이터 보호를 최우선으로 생각해야 합니다.
아무쪼록 여러분께 좋은 IT 정보와 보안 뉴스, 게임 관련 소식을 계속 전해드리며, 여러분이 디지털 세계에서 안전하게 디지털 라이프를 영위할 수 있도록 돕겠습니다. 오늘 글처럼 이슈가 뜨거울 때, 어떻게 대처하고 대응해야 하는지 함께 고민해보는 IT 블로거와의 소통이 기대됩니다. 여러분도 오늘 읽으신 내용을 바탕으로 자신의 게임 계정과 디스코드 계정을 한번 점검해 보시는 건 어떨까요? 안전한 디지털 라이프를 위한 첫걸음, 바로 오늘부터 시작할 수 있어요.
이 글은 Latest from Tom’s Hardware의 기사를 바탕으로 작성되었습니다.
