유니티 엔진 개발사 유니티(Unity Technologies)가 최근 공개한 치명적인 보안 취약점(CVE-2025-59489)이 글로벌 게임 업계 전반에 긴장감을 불러일으키고 있다.
이번 결함은 윈도우, 안드로이드, 맥OS, 리눅스를 대상으로 유니티 2017.1 이상 버전으로 제작된 모든 게임과 애플리케이션에 영향을 미치며, 취약점 심각도 점수는 8.4에 이른다.
해당 문제는 일본 'GMO 플랫 시큐리티(GMO Flatt Security)'의 연구원 료타 케이(RyotaK)가 올해 6월에 발견했으며, 애플리케이션 내에서 악의적 파일 로딩과 로컬 코드 실행이 가능해지는 구조적 결함으로 평가받는다. 결과적으로 외부 공격자가 게임과 동일한 권한으로 사용자 PC 또는 모바일에서 임의의 코드를 실행할 수 있어 사용자 정보 유출 및 시스템 침해 등 광범위한 보안 위협이 예상되고 있다.
유니티 엔진은 글로벌 게임 개발 시장에서 압도적 점유율을 차지하고 있으며, 수천만명의 플레이어들이 유니티 기반 타이틀을 이용한다. 이번 취약점은 운영체제별로 로컬 파일 인클루전 공격(Local File Inclusion)과 악성 라이브러리 참조(Hijacked DLLs) 등 다양한 방식의 공격을 가능케 해, 한동안 침묵 상태였던 런타임 코드 내부에 심각한 허점이 있었음이 밝혀졌다. 특히 최근 몇 년간 출시된 수많은 인기 게임과 디지털 애플리케이션이 해당 문제에 노출된 것으로 확인되면서, 게임사들과 플랫폼 업체들은 신속한 대응에 나서고 있다.
유니티 측 공식 발표에 따르면, 현재까지 실사용자 대상 악용 또는 정보 유출 사례는 확인되지 않았으나 잠재적 위험성은 상당하다. 마이크로소프트 디펜더(Microsoft Defender), 스팀(Steam) 등 주요 플랫폼들은 보안 업데이트를 통해 해당 취약점 탐지 및 차단 기능을 이미 적용 중이며, 구글 플레이 역시 플레이스토어에서 배포되는 유니티 기반 앱을 대상으로 추가적인 인증 절차를 강화했다.
대형 개발사인 옵시디안 엔터테인먼트(Obsidian Entertainment)는 '필라스 오브 이터니티 II: 데드파이어(Pillars of Eternity II: Deadfire)', '펜티먼트(Pentiment)' 등의 주요 유니티 기반 타이틀을 일시적으로 스팀 등 디지털 스토어에서 내리는 결정을 내렸다. 이는 취약점 패치 적용 전까지 잠정적으로 이용을 막아 사용자 안전을 확보하기 위한 조치다.
또 다른 게임 제작사 '콜로설 오더(Colossal Order)' 역시 '시티즈: 스카이라인(Cities: Skylines II)'에 대해 무료 핫픽스를 즉시 제공했으며, 대다수 게임사들이 유니티의 최신 패치 적용을 위해 긴급 작업에 돌입했다.
유니티는 2019.1 이상 버전 대상 즉각적인 패치를 배포하는 한편, 이미 출시된 게임을 위한 바이너리 패처(Binary Patcher) 도구도 함께 공개했다. 각 개발자들은 기존 프로젝트 재빌드 또는 바이너리 패치 적용을 통해 보안 문제를 최소화할 것을 권고받고 있다. 스팀 클라이언트 역시 취약점이 포함된 게임의 실행을 자동 차단하며, 시큐어 부트(Secure Boot)와 TPM(Trusted Platform Module) 상태 정보를 함께 노출해 플레이어들이 시스템 안전성을 직접 확인할 수 있도록 했다. / 월요신문=이상훈 기자