카스퍼스키 Digital Footprint Intelligence(DFI) 팀 보고서에 따르면 2024년 한 해 동안 전 세계적으로 1,100만 개 이상의 게임 계정 자격 증명이 유출됐으며, 이 중 약 570만 개의 Steam 계정이 인포스틸러 악성코드에 의해 해킹됐다. 에픽게임즈 스토어, 배틀넷, 유비소프트 커넥트, GOG, EA 앱 등 다른 글로벌 플랫폼에서도 620만 개 이상의 계정이 유출됐다.
아태지역 국가별 Steam 계정 유출 상위 3개국은 태국(약 16만 3천 건), 필리핀(9만 3천 건), 베트남(8만 8천 건)이며, 중국·스리랑카·싱가포르는 각각 1만 9천 건, 1만 1천 건, 4천 건으로 상대적으로 낮았다. 카스퍼스키는 아태지역이 전 세계 게이머의 절반 이상을 차지하며, 빠른 디지털 도입과 높은 모바일 보급률, 젊은층 중심 수요로 인해 데이터 탈취형 공격의 주요 표적이 되고 있다고 분석했다.
폴리나 트레티아크 DFI 분석가는 “수년 전 탈취된 인증 정보도 다크웹에서 재유출돼 피해가 누적될 수 있다”며, “비밀번호 재사용을 피하고 정기적으로 변경해야 한다”고 조언했다. 이효은 한국지사장은 “게임 플러그인이나 도구로 위장한 멀웨어가 BYOD 환경에서 기업 네트워크로 침투할 수 있다”며, 현지화된 모니터링과 방어 체계 구축의 필요성을 강조했다.
또한 카스퍼스키는 기업 내부 이메일이 게임·엔터테인먼트 계정에 사용될 경우 인포스틸러를 통한 2차 침투 위험이 커진다고 경고했다. 크랙 게임·치트 프로그램·비공식 모드 등으로 위장한 인포스틸러는 계정 비밀번호, 암호화폐 지갑, 신용카드 정보, 브라우저 쿠키를 탈취해 다크웹에서 거래된다.
개인은 감염 시 즉시 전체 보안 검사를 실행하고 멀웨어를 삭제한 뒤 비밀번호를 변경해야 하며, 기업은 다크웹 마켓 모니터링과 카스퍼스키 DFI 같은 솔루션을 통해 침해 계정을 조기 탐지하는 것이 필요하다.
