블루 아카이브, 해킹에 콘텐츠 설정값 노출…넥슨 '개인정보 유출 없어'

인기 모바일 게임 ‘블루 아카이브’가 지난 주말 외부 해킹 공격을 받아 콘텐츠 노출 방식에 이상이 생기는 문제가 발생했다. 게임 서비스사인 넥슨은 관련 조치를 취하는 한편, 개인정보 및 결제 정보 등 핵심 데이터는 유출되지 않았다고 밝혔다.

이번 해킹 시도는 2025년 8월 31일에 발생했으며, 문제의 원인은 게임 클라이언트가 실행될 때 참조하는 환경설정 파일이 비인가된 방식으로 외부에서 변경된 데 있었다. 이 설정값은 주로 콘텐츠가 이용자에게 어떤 방식으로 보이는가에 관여하는 부분으로, 실제 게임 플레이나 계정 정보와 직접 연결된 데이터는 아니었다는 게 회사 측의 설명이다.

‘블루 아카이브’는 클라이언트가 콘텐츠 전송 네트워크(CDN)를 통해 환경설정을 확인하는 구조를 갖고 있다. CDN은 일반적으로 게임 서버와는 별도의 내부 시스템이지만, 이번에는 신원 미상의 해커가 이에 접근해 설정값의 일부를 변조한 것으로 파악됐다. 해당 이상 징후는 같은 날 오후에 발견돼, 넥슨은 8월 31일 오후 10시 22분부터 약 6시간 동안 긴급 서버 점검을 실시했다.

넥슨 운영진은 계정 정보와 결제 내역 등 주요 데이터가 별도의 데이터베이스(DB)에 분리되어 운영되고 있고, 모든 요청에 대해 서버 측에서 검증 절차를 거치기 때문에 사용자 정보에는 영향을 미치지 않았다고 강조했다. 이에 더해 콘텐츠 전송 시스템에 대한 접근 범위를 내부망으로 한정시키는 방향으로 보안 절차를 강화했다고 밝혔다.

게임사 측은 한국인터넷진흥원(KISA)에 이번 사고 사실을 신고하고, 추가적인 해킹 시도나 배후 세력에 대한 조사를 진행하고 있다. 아울러 서비스 장애로 불편을 겪은 이용자들에게는 게임 내 재화와 캐릭터 모집 티켓을 보상으로 지급했다.

이번 사건을 계기로 게임 업계에서는 CDN 등 외부 시스템을 통하는 콘텐츠 제공 방식에 대한 보안 강화 필요성이 다시금 부각되고 있다. 유사 사고를 막기 위한 대응 체계 정비는 물론, 민감한 사용자 경험을 보호하기 위한 보다 철저한 관리가 요구되는 시점이다.