친구들의 기기에 있는 Steam 클라이언트가 당신의 게임 습관을 알게 될 수도 있습니다.
익명의 블로그에 따르면, Steam 클라이언트는 사용자가 상태를 '비활성' 또는 '오프라인'으로 설정하더라도 로그온 및 로그아웃 시간을 계속해서 방송(broadcast)한다는 주장이 제기되었습니다. Xmrcat 블로그에 따르면, "본인을 '오프라인'으로 설정하는 것은 본질적으로 사용자 인터페이스(UI)적인 착각에 불과합니다. 세상 사람들에게는 오프라인으로 보일 수 있으나, 백엔드 연결 관리자(Connection Manager, CM)는 소켓(socket)을 통해 실시간 활동을 지속적으로 방송합니다. 이 유출은 '비공개 프로필(Private Profile)' 설정까지 우회합니다. 즉, 친구들에게 언제 잠들고 언제 깨는지에 대한 실시간 기록을 넘겨주는 것이 되므로, 개인정보 보호 설정이 사실상 무용지물이 됩니다."
해당 보고서에 따르면, Steam 클라이언트는 사용자가 개인정보 보호를 위해 설정을 켜더라도, 상태가 변경될 때마다 플랫폼에서 친구로 추가된 모든 사용자에게 원시 Unix 타임스탬프를 방송하는 것으로 보입니다. '비활성' 또는 '오프라인'으로 설정했을 때의 유일한 차이점은, 친구들의 PC나 기기에서 사용자의 프로필이 '오프라인' 목록에 표시되어 볼 수 없게 된다는 점에 불과하며, 클라이언트 자체는 여전히 사용자가 마지막으로 접속하거나 나간 시점을 파악하고 있다는 것입니다.
이는 일반 사용자에게는 큰 문제가 아닐 수 있지만, 프로그래밍이나 개발에 대한 지식이 있는 사용자라면 Steam의 백엔드에서 해당 정보를 추출할 수 있습니다. 클라이언트가 전송하는 ClientPersonaStaste protobuf 메시지 페이로드를 가로채는 것이 가능하며, 이는 잠재적으로 사용자의 수면 주기나 게임 습관을 노출하여, 본인의 모르게 타인이 사용자의 행동을 추적할 수 있게 만듭니다.
[기타 기사 내용]
Steam 클라이언트, 성능 추정치를 위해 FPS 데이터 수집 시작
밸브(Valve), Steam에 30일 가격 추적기 추가 가능성
익명의 사용자는 이 문제를 제기했으나 회사 측에서 무시당했다고 밝혔습니다. Xmrcat은 "이 내용을 HackerOne을 통해 밸브에 전송했습니다. 저는 그들에게 그들이 '비활성' 상태인 동안에도 대상의 일일 수면 주기를 어떻게 재구성할 수 있는지 보여주었습니다"라고 전했습니다. 불행하게도 해당 티켓은 "정보 제공적(Informative)"이라는 이유로 폐쇄되었으며, 패킷이 오직 Steam 친구들에게만 전송되므로 양 당사자 간에는 이미 신뢰 관계가 존재한다고 가정한다는 답변을 받았다고 합니다.
하지만 많은 사용자가 개인적으로 모르는 사람을 Steam 친구로 추가하는 경우가 많기 때문에, 이 문제는 일부 사용자들에게 영향을 미칠 수 있습니다.
톰스 하드웨어(Tom's Hardware)의 최신 뉴스, 분석 및 리뷰를 피드에서 받아보려면 구글 뉴스에서 팔로우하거나 저희를 선호 소스로 추가하세요.