“게임 보안 뚫렸다”…넥슨, 블루 아카이브 해킹에 긴급 대응

넥슨의 모바일 게임 ‘블루 아카이브’가 최근 해킹 공격에 노출되며 게임 보안에 대한 시장 경각심을 불러일으키고 있다. 넥슨은 문제 발생 직후 한국인터넷진흥원(KISA)에 해킹 사실을 신고하고, 이용자 개인정보와 결제 데이터 등 핵심 정보에 피해가 없었는지 재점검을 즉각 실시했다고 밝혔다. 업계는 이번 사건을 게임업계 사이버 보안 경쟁의 분기점으로 보고 있다.

넥슨 블루 아카이브 운영진은 지난 5월 31일 게임 클라이언트와 연동된 환경설정 일부가 외부 공격에 의한 임의 변경을 당해 콘텐츠가 비정상적으로 노출되는 현상이 파악됐다고 2일 공식화했다. 이용자가 게임 실행 파일을 구동할 때 활용하는 콘텐츠전송네트워크(CDN)상 설정 정보가 해커의 특정 공격 수법으로 접근당한 것이 원인이다. 클라이언트와 분리 관리되는 CDN 설정 값이 외부로부터 변경되는 취약점이 실시간 탐지된 셈이다.

특히 이번 공격으로 인해 게임 내 특정 배너, 카페 콘텐츠, 영상 링크 등이 정상과 다르게 노출됐다. 그러나 넥슨은 "게임 계정, 결제 정보 등 주요 데이터는 별도 데이터베이스에 엄격히 분리·관리되고 있고 실행 과정에서 서버 기반 재검증이 필수적으로 이뤄지기 때문에 실제 개인정보 유출은 이뤄지지 않았다"고 강조했다. 6시간에 걸친 긴급 서버 점검과 함께, 문제 환경설정을 원상 복구하고 CDN에 배포할 수 있는 경로를 차단해 재발 방지책도 시행했다.

넥슨은 이번 보안 이슈에 대해 한국인터넷진흥원에 즉각 신고했으며, 기관 주도로 보안 강화와 해킹 경위에 대한 조사가 동시에 진행 중이라고 밝혔다. 보안의 사전·사후 검증 프로세스를 강화하고, 모의해킹, 버그바운티 등 외부적 진단 절차도 클라이언트, 서버, 관련 서비스까지 확대 적용한다는 방침이다. 이용자에게는 인게임 재화와 모집 티켓 등 피해 보상 배포를 예고했다.

글로벌 게임 산업에서는 수년간 해킹 사고가 반복되며 사이버 보안 강화를 위한 투자와 규제 논의가 심화돼 왔다. 미국·유럽 등 주요 게임사들은 이미 CDN 보안, 실시간 이상 탐지, 클라우드 기반 인증 고도화 등 다층 방어 전략을 도입하고 있다. 국내 게임 산업도 최근 강도 높은 보안 검증, 신고 의무화 제도 등 대응 수위를 높여가고 있다는 평가다.

전문가들은 소프트웨어 업데이트, CDN 구성 등 기술적 접점이 해킹의 잠재적 취약점이 될 수 있다며, 위기 대처뿐 아니라 예방적 관제와 협업 체제 강화의 중요성을 강조한다.  

산업계는 이번 사건을 계기로 게임·IT 서비스 전반의 사이버 방호 역량이 시장 신뢰와 직결되는 국면으로 접어들었다고 평가하고 있다.