스팀 워크샵과 월페이퍼 엔진의你知道吗? 악성 콘텐츠 유포 루트 분석
작성자 Mag-Info Tech editorial · 2026-06-17
스팀 워크샵과 월페이퍼 엔진, 어떻게 악성 콘텐츠의 온상이 되었나
최근 보안 업체 카스퍼스키가 스팀 워크샵과 월페이퍼 엔진을 악용한 악성 콘텐츠 유포 루트를 공개했다. 스팀 워크샵은 밸브의 스팀 서비스에 내장된 사용자 생성 콘텐츠 플랫폼으로, 게임 모드·스킨·세이브 파일·도구·월페이퍼까지 다양한 콘텐츠가 공유된다. 문제는 이 플랫폼이 검증되지 않은 외부 콘텐츠를 그대로 받아 실행할 수 있는 구조라는 점이다. 특히 월페이퍼 엔진은 동영상·인터랙티브 씬·웹 페이지·응용 프로그램 형식의 ‘애플리케이션 월페이퍼’를 지원하는데, 이 중 응용 프로그램 형식은 실제 윈도우 실행 파일로 동작한다. 공격자들은 이 점을 악용해 악성 응용 프로그램을 ‘월페이퍼’로 위장한 뒤 스팀 워크샵에 업로드했고, 수천에서 수만 번의 다운로드를 기록하며 피해가 확산됐다.
카스퍼스키에 따르면, 공격자들은 적어도 2025년 하반기부터 이 루트를 지속적으로 활용해 왔다. 악성 월페이퍼는 크게 두 가지 형태로 배포됐다. 첫째, 악성 코드를 직접 포함하는 패키지 형식과, 둘째, 사용자를 속여 비밀번호를 입력하게 한 뒤 악성 코드를 추출하는 비밀번호 보호 아카이브 형식이다. 사용자가 ‘월페이퍼’를 설치하면 즉시 실행되면서 시스템에 백도어·크립토마이너·정보 탈취payload가 투입됐다. 예를 들어 ‘NTRaholic’이라는 가짜 게임 월페이퍼는 겉으로는 정상적으로 실행됐지만, 동시에 다크코메트(DarkKomet) 백도어 계열의 파일이 설치됐다. 또한 시스템 라이브러리인 ‘AggregatorHost.dll’을 변조해 스팀 계정 정보까지 수집하는 등 2차 피해까지 확산됐다.
악성 애플리케이션 월페이퍼의 실체: 동작 방식과 은폐 기술
공격자들이 월페이퍼 엔진의 ‘애플리케이션 월페이퍼’ 기능을 악용한 이유는 이 기능이 윈도우에서 네이티브 실행 파일로 동작하기 때문이다. 사용자는 단순히 바탕화면 배경화면으로 인식하지만, 실제로는 완전한 윈도우 응용 프로그램이 백그라운드에서 구동된다. 카스퍼스키가 분석한 악성 파일들은 대부분 ‘.wpap’ 확장자를 사용했지만, 내부 구조는 일반 윈도우 실행 파일(.exe)과 동일했다. 이 파일들은 스팀 워크샵을 통해 배포되면서 ‘커뮤니티 추천’ 또는 ‘인기 콘텐츠’로 가장됐고, 사용자들은 이를 신뢰할 만한 콘텐츠로 오인했다.
은폐 기술도 진화했다. 일부 악성 파일은 압축 파일 내부에 숨겨져 있었고, 사용자에게 비밀번호를 입력하도록 유도했다. 비밀번호를 입력하면 악성 코드가 해제되면서 자동 실행됐다. 또 다른 경우에는 정상적인 ‘월페이퍼’가 표시되면서 동시에 백도어가 시스템에 설치되는 ‘듀얼 페이로드’ 기법이 사용됐다. 예를 들어 ‘NTRaholic’이라는 이름의 월페이퍼는 게임처럼 동작했지만, 동시에 ‘DarkKomet’ 백도어는 시스템 서비스에 등록돼 지속적으로 활동했다. 백도어는 외부 명령·제어 서버와의 통신을 시도했고, 스팀 클라이언트의 프로세스를 모니터링해 로그인 세션·결제 정보·사용자 데이터를 탈취할 수 있었다.
피해 사례와 확산 규모: 수만 명의 사용자가 노출된 현실
카스퍼스키의 분석에 따르면, 단일 악성 월페이퍼가 수천에서 수만 번의 다운로드를 기록했다. 이는 스팀 워크샵의 ‘추천’ 알고리즘이 악성 콘텐츠에도 유리하게 동작했기 때문이다. 특히 ‘인기 콘텐츠’나 ‘최신 업로드’로 분류된 악성 파일들은 사용자의 클릭을 유도했고, 이로 인해 피해가 빠르게 확산됐다. 카스퍼스키가 발견한 악성 파일들은 대부분 2025년 10월∼12월에 업로드됐으며, 일부는 수만 번의 다운로드를 기록한 것으로 나타났다.
피해 유형은 세 가지로 나눌 수 있다. 첫째, 백도어 설치로 인한 시스템 장악: 공격자는 시스템에 원격 접근 권한을 획득해 추가 악성 코드를 설치하거나, 사용자 데이터를 탈취할 수 있었다. 둘째, 크립토마이닝payload로 인한 시스템 자원 고갈: 채굴 프로그램이 백그라운드에서 동작하면서 CPU·GPU 사용률이 급등했고, 결과적으로 시스템 성능 저하와 하드웨어 손상을 일으켰다. 셋째, 스팀 계정 탈취: 변조된 ‘AggregatorHost.dll’이 스팀 클라이언트의 프로세스를 모니터링해 로그인 세션·결제 정보·사용자 데이터를 스팀 서버로 전송했다. 이 중 일부는 스팀 커뮤니티 포인트나 게임 내 아이템을 현금화하는 데 악용됐다.
스팀과 월페이퍼 엔진의 보안 허점: 왜 이런 일이 가능했을까
이번 사태의 핵심은 스팀 워크샵과 월페이퍼 엔진의 ‘검증 없는 실행’ 구조에 있다. 스팀 워크샵은 사용자 생성 콘텐츠 플랫폼이지만, 콘텐츠를 업로드할 때 자동으로 악성 여부를 검사하지 않는다. 또한 월페이퍼 엔진의 ‘애플리케이션 월페이퍼’ 기능은 윈도우에서 완전한 실행 파일로 동작하기 때문에, 악성 코드가 포함된 경우 시스템에 직접적인 피해를 입힐 수 있다. 문제는 이 기능이 2025년 하반기까지도 보안 검사 없이 공개 배포됐다는 점이다.
또한 스팀의 ‘추천’ 시스템이 악성 콘텐츠에 유리하게 동작했다는 점도 문제다. 악성 파일들은 ‘인기 콘텐츠’나 ‘최신 업로드’로 분류되면서 사용자의 주목을 받았고, 이로 인해 다운로드 수가 급증했다. 스팀 측은 콘텐츠 검수 프로세스가 있지만, 실시간으로 악성 여부를 탐지하지 못했으며, 사용자 신고가 있어야만 조치가 가능했다. 결과적으로 악성 파일들은 수만 번의 다운로드를 기록한 후에야 비로소 차단됐다.
MEFAI의 AI로 실제 성과를 거두세요. Pro 플랜에서 $50 할인을 받으세요.
스폰서 콘텐츠 · 과거의 성과가 미래의 결과를 보장하지 않습니다. 금융 조언이 아닙니다.
실무 가이드: 개인 사용자와 기업이 취해야 할 보호 조치
개인 사용자는 무엇보다 ‘신뢰할 수 없는 콘텐츠’에 대한 접근을 제한해야 한다. 스팀 워크샵에서 ‘애플리케이션 월페이퍼’를 다운로드할 때는 반드시 작성자 프로필·리뷰·다운로드 수를 확인하고, 커뮤니티 포럼에서 평판을 조사해야 한다. 또한 월페이퍼 엔진의 ‘애플리케이션 월페이퍼’ 기능을 사용하지 않거나, 필요 시에만 활성화하는 것이 좋다. 만약 이미 악성 월페이퍼를 설치했다면, 즉시 시스템을 오프라인 상태로 전환하고 백신 검사를 진행해야 한다.
기업 환경에서는 스팀 워크샵과 월페이퍼 엔진의 사용을 제한하거나, 엔드포인트 보안 솔루션을 통해 악성 코드 실행을 차단해야 한다. 특히 ‘애플리케이션 월페이퍼’ 기능은 윈도우 시스템 프로세스와 유사하게 동작하기 때문에, 일반적인 보안 솔루션으로는 탐지가 어려울 수 있다. 따라서 행위 기반 탐지 솔루션이나 메모리 분석 도구를 병행해 악성 코드 실행을 모니터링해야 한다. 또한 스팀 계정의 경우, 2단계 인증과 결제 알림을 활성화해 계정 탈취 리스크를 최소화해야 한다.
스팀과 월페이퍼 엔진의 대응: 보안 강화와 사용자 보호
카스퍼스키의 공개 이후 스팀 측은 악성 콘텐츠에 대한 검수 프로세스를 강화하고, 월페이퍼 엔진 개발사인 ‘팀17’의 보안 팀과 협력해 ‘애플리케이션 월페이퍼’ 기능의 보안 허점을 보완하기로 했다. 스팀 워크샵에서는 kini 악성 콘텐츠에 대한 실시간 탐지 알고리즘을 도입했고, 의심스러운 파일은 자동으로 차단하거나 사용자에게 경고 메시지를 표시한다. 또한 월페이퍼 엔진은 ‘애플리케이션 월페이퍼’ 기능을 기본 비활성화로 변경하고, 사용자가 직접 활성화하도록 변경했다.
하지만 보안 강화는 지속적인 과정이므로, 사용자와 개발자 모두 주의가 필요하다. 스팀 워크샵의 경우, 콘텐츠 업로드 시 자동 악성 코드 스캔을 도입하고, 서명되지 않은 실행 파일은 차단하는 정책을 시행해야 한다. 월페이퍼 엔진은 ‘애플리케이션 월페이퍼’ 기능의 동작 방식을 변경해, 사용자 시스템에 직접적인 영향을 미치지 않도록 제한해야 한다. 또한 스팀과 월페이퍼 엔진은 보안 취약점을 공개하고, 주기적인 보안 감사를 실시해야 한다.
미래 전망과 시사점: 플랫폼 보안의 새로운 과제
이번 사태는 ‘사용자 생성 콘텐츠 플랫폼’과 ‘실행 가능한 콘텐츠’의 보안 리스크를 다시 한번 확인시켰다. 특히 ‘월페이퍼’나 ‘위젯’처럼 사용자 인터페이스에 통합되는 콘텐츠는 사용자에게 친숙하다는 점 때문에 악성 여부를 간과하기 쉽다. 앞으로는 플랫폼이 콘텐츠의 ‘실행 가능성’을 고려한 보안 모델을 도입해야 한다. 예를 들어, 스팀 워크샵은 콘텐츠 유형별로 실행 권한을 제한하거나, 서명된 콘텐츠만 허용하는 정책을 도입할 수 있다.
또한 AI 기반의 실시간 악성 코드 탐지 기술이 보편화되면서, 플랫폼은 사용자 행동 분석과 콘텐츠 패턴 인식을 결합해 악성 콘텐츠를 사전에 차단할 수 있을 것이다. 하지만 이와 동시에 공격자들은 더 정교한 은폐 기술을 동원할 것이므로, 보안과 편의성 사이의 균형을 carefully 관리해야 한다. 사용자 또한 ‘편리함’이 ‘보안 리스크’를 동반할 수 있음을 인식하고, 주기적인 시스템 점검과 보안 솔루션 업데이트를 습관화해야 한다.
결론: 스팀 워크샵·월페이퍼 엔진 악성 콘텐츠 사태의 교훈
스팀 워크샵과 월페이퍼 엔진을 악용한 악성 콘텐츠 유포 루트는 사용자 생성 콘텐츠 플랫폼의 보안 허점을 여실히 드러냈다. 특히 ‘애플리케이션 월페이퍼’ 기능은 윈도우 시스템에서 완전한 실행 파일로 동작하기 때문에, 악성 코드 배포 루트로 악용될 가능성이 컸다. 카스퍼스키의 분석에 따르면, 수천∼수만 명의 사용자가 악성 월페이퍼를 다운로드했고, 백도어·크립토마이닝·스팀 계정 탈취 등 다양한 피해가 발생했다.
이번 사태를 계기로 스팀과 월페이퍼 엔진은 보안 검수 프로세스를 강화하고, ‘애플리케이션 월페이퍼’ 기능의 동작 방식을 변경하기로 했다. 하지만 보안 강화는 사용자와 개발자의 지속적인 노력이 필요한 과정이다. 개인 사용자는 신뢰할 수 없는 콘텐츠에 대한 접근을 제한하고, 기업은 엔드포인트 보안 솔루션을 통해 악성 코드 실행을 차단해야 한다. 또한 플랫폼은 콘텐츠의 ‘실행 가능성’을 고려한 보안 모델을 도입하고, AI 기반의 실시간 탐지 기술을 활용해야 한다. 결국 보안은 기술의 발전과 함께 끊임없이 진화해야 하며, 사용자와 플랫폼 모두가 책임을 공유해야 한다.
더 보기 사이버보안 및 프라이버시
안드로이드 뱅킹 악성코드 ‘로카롤라’, 217개 금융·암호화폐 앱 노림
새로운 안드로이드 뱅킹 트로이jan 로카롤라가 217개 금융·암호화폐 앱을 겨냥해 137개 명령어로 기기 장악 중. 설치·은닉·탈취 메커니즘과 대응 전략을 자세히 분석한다.
클릭픽스 사회공학적 공격이 진화한 3가지 악성 로더: BabaDeda, Lorem Ipsum, Potemkin
클릭픽스 사회공학적 공격이 새로운 악성 로더 BabaDeda, Lorem Ipsum, Potemkin을 통해 확산 중이며, 교육·금융 부문을 겨냥한 공격이 2026년 4월부터 관찰되고 있음. 로더는 PowerShell 명령으로 시작해 정보탈취·원격접근トロjans(RAT)payload를 은닉·주입하는 방식으로 진화했으며, 러시아·벨라루스 시스템 차단 등 지역
미국 법무부, AI 딥페이크 nude 사이트 CFAKE·SOCFAKE 압수…TAKE IT DOWN Act 첫Domain 압수 사례
미국 법무부가 AI로 생성한 비동의 성인 콘텐츠 사이트 CFAKE와 SOCFAKE를 TAKE IT DOWN Act 첫 도메인 압수 사례에서 압류했으며, 이탈리아·프랑스와 연계한 국제 수사로 47 U.S.C. §223 위반 혐의 적용