마스코트 선정을 진행하고 있습니다.

2025년 블루 아카이브 서버 해킹 사건

분류

관련 문서: 블루 아카이브/사건 사고/한국 서비스

1. 개요2. 전개3. 점검 이후4. 해킹 경로5. 피해6. 여담7. 보도8. 둘러보기

1. 개요[편집]

해킹 당시 상황 영상

넥슨 게임도 해킹…"개인정보·데이터 유출은 없어"

2025년 8월 31일 블루 아카이브 한국 및 글로벌 서버에서 발생한 해킹 사건.

해당 게임의 캐릭터인 쿠로사키 코유키 [1]가 해킹 과정에서 적극적으로 이용되어, 커뮤니티에서는 코유키의 난, 코유키 사태 등으로 부르고 있으며, 해외 유저들은 Koyuki incident(코유키 사건)로 부르고 있다.

2. 전개[편집]

8월 31일 오후 9시 6분경, 중간자 공격으로 결제 문제가 발생하였다. #

파일:1000013235.jpg

해킹으로 인해 코유키로 가득 찬 카페 이미지

8월 31일 오후 9시 20분경, 카페 입장 시 다른 학생들이 전부 사라지고 코유키만 십수 명 이상[2] 복제돼서 돌아다니는 괴상한 현상이 발생했다. #1 #2 이전에도 같은 학생이 중복으로 등장하는 버그가 있었기에 이때는 또 버그가 난 정도로 여겨진 데다, 하필 코유키도 말썽꾸러기 캐릭터인지라 가볍게 웃고 떠드는 반응이 많았다. 당시 북미 유저가 촬영한 영상

파일:koyukihack.jpg

외부 유튜브 페이지가 표시되는 이벤트 배너

그런데 뒤이어 로비 이벤트 배너까지 갑자기 코유키 사진으로 바뀌고, 해당 사진을 클릭하면 nihahahaha라는 이름이 달린 웹뷰(webview) 창과 함께 Kokoyuki Ch.[3]라는 유튜버의 유튜브 페이지가 나오는 일이 발생하며 해당 현상이 버그가 아닌 해킹이라는 사실이 알려졌다. 해당 유튜버는 유튜브 커뮤니티를 통해 자신의 범행이 아니라고 해명했다.

Kokoyuki Ch.의 입장문 #

[ 원문 ]: I want to break character to clarify that the 8/31 Koyuhacking was not done by me.

It was a very funny series of events. I laughed a lot when I first experienced it live and laughed a lot more when the madlad made the in-game web linked to this humble channel.

It just brings the biggest joy that it's totally in-character for Koyuki to be the face of the operation. Props to whoever that went and did it, nihahaha!

While I think keeping up the charade just a bit longer would be infinitely funnier, this is paper trail for Y-san and N-san in the event that they actually think it's me and send in Neru's squad to clean up this channel while they're occupied with fixing the server overtime!

Again, to be perfectly clear: I didn't do it.

It's not me this entire time, okay! I was totally framed! It's seriously funny but I don't want to be squished by the thigh-hell for something that I didn't actually do! 囧

[ 번역본 ]: 8.31 코유해킹 사건은 제가 한 게 아님을 분명히 하고자 잠시 컨셉질을 멈춰야겠어요.

정말 웃긴 사건의 연속이었죠. 처음에 실시간으로 봤을 때도 많이 웃겼는데, 그 미친놈이 게임 내에 이 누추한 채널의 링크를 만들었을 때가 더 웃겼어요.

뭣보다 코유키가 이 작전의 얼굴마담으로서 제격이었던 게 가장 웃겼습니다. 이 일을 해낸 분께 박수를 보냅니다, 니하하하!

컨셉질을 조금만 더 하는 게 훨씬 더 재미있을 거라 생각했지만, 이 글은 Y 씨와 N 씨가 정말로 제가 했다고 생각하고 서버 수리로 야근하느라 바쁜 사이 네루 부대를 보내 이 채널을 정리해 버릴 경우를 대비한 증거 자료입니다![4]

다시 한번 분명히 말하지만, 제가 한 짓이 아닙니다.

처음부터 끝까지 내가 한거 아니라고! 완전 누명을 썼다고! 진짜 웃기긴 한데, 내가 하지도 않은 일 때문에 허벅지 지옥에 갇히고 싶진 않아! 囧

이후 오후 10시경 로비 배너가 코유키 클리커 화면으로 바뀌었다.[5]

학생으로 가득 찬 카페 영상

이어 코유키 복제 현상은 사라지고 이번엔 카페에 비정상적으로 많은 수의 학생들이 방문하는 현상이 벌어졌다.[6]

미쿠로 가득 찬 카페 영상

그 다음에는 이날이 하츠네 미쿠의 생일이었던 점까지 반영되기라도 하듯 미쿠가 여러 명으로 복제되어 카페에 등장하는 일까지 생겼다.

일본 서버에서는 발생하지 않았으며, 글로벌 서버 전체에서 해킹이 발생한 것으로 추정된다. 갤럭시 스토어판 앱에서 처음 증상이 보고되었고, 이후 다른 모바일판에서도 사례가 보고되었다. 원스토어판과 스팀을 통해 서비스되는 PC 클라이언트는 정상 작동했던 것으로 알려져 있다.[7]

결국 오후 10시 22분경 종료 일시 미정의 긴급점검에 들어갔다. #

비슷한 시각에 서초역 인근의 넥슨게임즈 사옥 인근 교통 카메라에는 택시와 차량들이 몰리는 장면이 찍혔다.# 한쪽 차로만 차들이 일시적으로 몰려 긴급 출근하는 직원들이 찍힌 것으로 여겨지고 있다.[8]

사건 진행 중 김용하는 자신의 심정을 간접적으로 드러내듯이 트위터로 을용타를 패러디한 짤과 잔업짤을 리트윗했다. #1 #2

3. 점검 이후[편집]

9월 1일 오전 4시 44분 접속이 가능해졌다. 긴급점검 보상으로 청휘석 840개가 지급되었으며, 차후 상세 경위 설명 및 사과보상을 별도로 지급한다고 공지했다. 넥슨 관계자는 “게임 데이터베이스와 각 계정 정보는 이상 없으며 지속적인 조사를 진행해 상세 경위 및 무결성을 정확하게 확인할 예정”이라고 밝혔다. 아직까지는 해커가 단순히 장난질 친 정도로만 보이지만 실질적인 피해 규모는 현재 넥슨이 조사 중이며 추후 공지를 통해서 자세히 드러날 것으로 보인다.[9]

이후 넥슨은 매일경제신문에 “현재 적용되고 있는 보안 취약점 진단 이외에 모의해킹, 버그바운티 등의 강도 높은 보안 진단을 게임 클라이언트, 게임 서버, 연관 서비스에 집중 시행할 예정”이라며 재발 방지를 위해 노력하겠다고 밝혔다.

한국인터넷진흥원은 "118신고센터를 통해 9월 1일 오전 사건을 인지했다"면서 "현재 상황 파악 중"이라고 밝혔다.

염흥열 순천향대 정보보호학과 교수는 “이번 사태는 장난 이상으로 악용될 가능성이 컸다는 점에서 매우 심각하게 바라봐야 할 일”이라며 “넥슨 차원에서 서버 보안 체계를 전반적으로 점검을 해 봐야 할 필요가 있다”고 지적했다. #

9월 2일 0시 공지로 해당 사태에 대한 설명과 보상안이 올라왔다. #

4. 해킹 경로[편집]

Kokoyuki Ch.이 업로드한 DNS 스푸핑 기법 설명 영상[10]

■ 이슈 원인
- 블루 아카이브 클라이언트는 실행 시 CDN(콘텐츠전송네트워크)에서 환경설정을 확인하는 절차가 이루어집니다.
- 해당 환경설정은 게임과 분리된 내부 서비스에서 생성 및 관리하고 있으나, 외부에서 특정한 방법을 통해 접근한 기록이 확인되었습니다.
- 환경설정의 일부가 45.94.31.77 (네덜란드)로 변경되어 이슈가 발생한 것으로 파악하였습니다.
8/31(일) 긴급점검 이후 조치사항 상세 안내

정황상 해커의 목적 자체는 코유키로 장난치려고 했던 것일 가능성이 높긴 하지만, 애초에 이번 해킹 사건의 자세한 내막은 서버 데이터를 분석할 수 없는 일반 이용자들이 알아내긴 어려울 것이다. 어쨌든 시간이 지나면서 사태의 심각성을 분석하는 유저들이 나오기 시작했는데, 분석으로는 해당 시간에 실제로 게임 결제를 하지 않았다면 큰 문제가 없을 거라는 의견이 있다.#

이후 유저들이 조사한 바에 따르면 블루 아카이브 클라이언트와 블루 아카이브 각종 서버(로그인, 카페, 공지, 버전 관리 등등)를 연결해 주는 게이트웨이 AWS cloudfront CDN이 해킹당해 해커가 서버 주소를 넥슨 서버에서 해커의 네덜란드 서버로 바꿔치기한 뒤 중간자 공격(Man-In-The-Middle;M.I.T.M.)을 한 것으로 추정된다.[11] #1 #2 #3 #4 #5

해커는 블루 아카이브로 연결되는 CDN인 d2vaidpni345rp.cloudfront.net을 해킹해서, 블루 아카이브의 API 서버를 기존 https://nxm-ios-bagl.nexon.com:5100/api/에서 http://45.94.31.77:5100/라는 네덜란드 서버로 바꿔치기한 것으로 추정된다. 해당 블루 아카이브 API 서버 및 MITM으로 프록시된 해커의 서버는 계정 SDK를 제외한 모든 정보를 처리한다.

해커가 유튜브의 코유키 채널을 보여주며 해킹한 것으로 인해 채널 운영자의 입장문 이후에 올라온 영상으로는 DNS 스푸핑이라며 원리를 알려주는 영상이 올라왔다.# 해당 채널은 이전부터 인터넷 시스템의 작동 원리를 밈 식으로 설명하는 등 보안 관련 정보가 올라오기도 했다.

이에 최초 제보는 9시 7분 45초에 발생했다. 위 네덜란드 서버는 한국에서 핑이 1000ms가 넘기 때문에 무조건 말이 나올 수밖에 없는 상황인데 렉 관련 얘기도 없었으며 해당 시기게시글이 첫 글이었다. 다만 9시 6분 50초에 MITM 공격으로 인한 이상 증세가 제보되기도 하였다.

그나마 보인 렉 얘기하는 첫 글도 9시 30분부터 시작이라 계속 은밀하게 데이터를 수집한 게 아니라 공격 시작 시간은 오후 9시로 추정된다. 이후 오후 10시 26분 점검이 시작되었다.

이 CDN이 담당하는 클라이언트는 구글플레이 15/19세, 갤럭시스토어 19세, iOS 19세로 추정된다.

따라서 해당 CDN 서버 하나가 해킹되어 오후 9시~오후 10시 26분까지 블루 아카이브의 모든 플레이 정보(패킷)가 네덜란드에 있는 공격자의 서버에 전송었으며, 블루 아카이브 패킷은 이미 복호화가 가능해서 전체 패킷을 중간에 MITM 공격으로 저장하고 있었을 것으로 추정되고, 전체 패킷을 공격자가 가지고 있긴 하지만 넥슨이 인증 토큰을 초기화하면 문제는 없을 것으로 추정되며, 서버가 네덜란드라 MITM 이후 렉이 발생해 공격이 무조건 티나서 공격 자체는 저 코유키 카페에 뜨자마자 바로 됐던 거로 추측된다는 해킹 경로 예측이 존재한다.

파일:해커사과문.png

해커의 사과문

gomen nexon
To Nexon/MX: I sincerely apologize for my actions. Please contact me at [email protected], I have other exploits I would like to responsibly disclose.

고멘[12] 넥슨
넥슨과 MX 스튜디오에게: 제 행동에 대해 진심으로 사과드립니다. 저에게 [email protected] 로 연락 주시면, 제가 책임감 있게 공개하고자 하는 다른 취약점들도 전달드리겠습니다.

이후 해커의 서버인 45.94.31.77 에 사과문(?)이 올라왔다. 아카이브 [13] 자신에게 연락을 주면[14] 다른 취약점들을 알려주겠다고 한다.

5. 피해[편집]

일단은 결제를 하지 않았거나 스팀 등 다른 플랫폼에서 이용하던 유저들은 크게 걱정하지 않아도 된다고 알려져 있다. 다만 해킹의 특성상 유저가 바로 피해상황을 인지하긴 어렵다. 관련 정보가 알려지지 않았으니 중요 정보가 털리지 않았다고 단정은 할 순 없으나, 현재로서는 바로 내 비밀번호나 카드정보가 털리는 수준의 피해가 발생하진 않았을 것이라 봐야 할 것이다. 집주소가 노출됐다고 집 안에 둔 물건이 털리는 건 아닌 것처럼, IP 주소 정도만 털렸다면 바로 실질적인 피해로 직접 이어지진 않을 것으로 보이기 때문이다. 다만 해킹이 이뤄지던 시각에 결제를 했다면 관련 정보가 넘어갔을 수도 있을 거라는 추측도 나왔다. 그리고 집주소 수준의 정보인 사용자가 무슨 게임을 했는지를 알려주는 정보도 어쨌든 개인의 정보긴 하니 찝찝한 건 어쩔 수 없는 게 사실이다.

이번 사태로 일일 퀘스트 보상이나 AP, 상점 아이템, 숙련 증서 등[15]을 털지 못해 피해를 입은 유저들이 꽤 있었다. 이런 정도면 시간과 기회만 버린 것이니 사소한 피해지만, 일부 유저들은 월말에 맞춰 구매를 위해 쿠폰 충전 등을 해뒀는데 긴급 점검으로 접속을 못 하는 동안 사용기한이 만료돼 실질적인 금전 피해를 입는 일이 벌어지기도 했다.#

6. 여담[편집]

버그인지 해킹인지 구별이 잘 안 가던 초반에는 유저들이 해킹 관련 밈 합성 이미지를 만들거나 해킹 동아리 베리타스 드립을 치는 는 등 상황을 가볍게 보기도 했다.# 해킹에 사용된 캐릭터의 이미지가 하필 코유키라 더욱 시너지를 일으켰으며 심각성 자체가 많이 희석되었다. 그러나 이후 사태가 생각보다 심각하다는 걸 일반 이용자들도 인지하기 시작했다.
- 한편 귀멸의 칼날의 등장인물인 도우마가 아카자를 상대로 인성질을 하는 밈이 이쪽으로도 수출되었는데, 아카자가 전생에 사모했던 부인의 이름이 하필이면 코유키였기 때문. 해당 사태가 터진 8월 31일은 극장판 귀멸의 칼날: 무한성편이 흥행하는 시기였고, 마침 블아에서 코유키 사태가 터지자 이와 맞물려 더더욱 해당 밈이 퍼지게 되었다.#, #

해당 사건이 터진 8월 31일은 본 게임과 콜라보를 진행했던 하츠네 미쿠와 인게임 학생인 스즈미의 생일이며, 총괄 디렉터인 김용하 본부장의 50번째 생일이기도 하다.[16] 해킹 사건으로 역대급 생일빵을 맞은 셈. 김용하 본부장은 정확히 10년 전 큐라레 때도 장시간 점검을 하면서 40번째 생일을 그대로 보냈던 적이 있다. 날짜가 넘어간 9월 1일은 노노미의 생일이기도 하다.

해커의 소재지가 현 시점에서는 네덜란드로 추정되는 상황인데, 정작 네덜란드는 확률형 아이템이 법으로 금지되어 있어 블루 아카이브 글로벌 서버가 서비스 되지 않는 국가이다. IP 대역 자체가 공격용으로 많이 쓰는 IP라 신분을 숨기기 위해 네덜란드 서버를 썼을 가능성이 높다.

링크가 걸렸던 유튜버인 Kokoyuki Ch.는 이 사건때문인지 구독자가 9월 2일 기준, 2천명이나 증가했다.

7. 보도[편집]

8. 둘러보기[편집]

대한민국의 전산 관련 사건 사고

[ 펼치기 · 접기 ]

2020년대 이전

2000년대	1.25 인터넷 대란^디⁽²⁰⁰³⁾
2011년	농협 전산 사고 · SK컴즈 개인정보 유출 사건^개 · 2011년 선거관리위원회 디도스 공격 사건^디 · 메이플스토리 개인정보 유출사건^개
2012년	KT 홈페이지 개인정보 유출 사건^개^{(2012·2014·2016)}
2013년	3.20 전산망 마비사태 · KT 위성 매각 논란 · 화웨이의 한국 내 통신장비 납품 관련 논란^{(2013·2019·2022)}
2014년	2014년 신용카드사 개인정보 유출사건^개 · KT 홈페이지 개인정보 유출 사건^개^{(2012·2014·2016)}
2015년	뽐뿌 개인정보 해킹 사건^개
2016년	KT 홈페이지 개인정보 유출 사건^개^{(2012·2014·2016)}
2017년	인터넷나야나 랜섬웨어 감염 사태^랜
2018년	KT 아현지사 화재 사고
2019년	KT IDC 장애 사태 · 대도서관 트위치 채널 해킹 사건 · 북한 업비트 해킹 사건

2020년대

2021년	KT 10기가 인터넷 속도 저하 사건 · 2021년 10월 KT 인터넷 장애 사건 · 법원 전산망 해킹 사건^개
2022년	삼성 갤럭시 소스코드 해킹 사건 · 2022년 알약 랜섬웨어 오진 사태 · 2022년 복지시스템 전산 오류 마비사건 · SK C&C 판교 데이터센터 화재로 인한 인터넷 서비스 장애 사건 · 북한 해커조직 대한민국 방산업체 해킹 사건
2023년	2022학년도 11월 고2 전국연합학력평가 성적정보 유출 사건^개 · 카카오 오픈채팅방 개인정보 유출 논란^개 · 더쿠 회원 개인정보 유출사건^개 · 2023년 국가행정망 전산마비 사태 · 누누스터디 사건 · 인터넷 게임 방송 연쇄 디도스 공격 사건^디
2024년	2024 LCK 스프링 사이버테러 사건^디 · 겟앰프드 해킹 사태 · 워페어 국가기관 해킹 사건^개 · 전북대학교 개인정보 유출 사건^개 · 2024년 국가기관 디도스 공격 사건^디 · 온나라 개발업체 해킹 사건 · 정보사령부 군무원 군사기밀 유출 사건
2025년	SK텔레콤 유심 정보 유출 사고^개 · 2025년 YES24 서비스 마비 사태^랜 · 2025년 6월 디시인사이드 사이버 테러 사건^디 · 2025년 한국파파존스 고객정보 유출 사고^개 · 2025년 SGI보증보험 랜섬웨어 사태^랜 · 2025년 웰컴금융그룹 랜섬웨어 공격^랜 · 2025년 블루 아카이브 서버 해킹 사건

개: 개인정보 유출사고 / 디: 디도스 공격 / 랜: 랜섬웨어 사고

[1] 공교롭게도 코유키는 설정상 세미나 소속 해커다.[2] 처음엔 그래도 적었으나, 시간이 조금 지나서 수가 더 늘어나 있었다.[3] 코유키, 그리고 세미나의 부원들로 밈 영상을 올리는 채널이다.[4] Y와 N은 코유키 컨셉질을 하는 계정 컨셉 상으로는 세미나를 의미하는 것으로 볼 수 있지만, 어떤 의미론 김용하 본부장과 넥슨을 의미한다고 볼 수도 있다. 네루 부대는 문자 그대로 넥슨코리아 법무팀을 은유적으로 표현한 듯하다.[5] 원본 사이트는 이 사이트로, 클릭 시 소리가 상당히 큰 코유키의 웃음소리와 함께 웃는 코유키 이미지가 나온다. 낮은 확률로 꿀밤을 맞아 우는 코유키 이미지가 나온다.[6] 도떼기 시장을 방불케 할 정도로 빽빽하게 들어차는지라 카페에 들어갈 때도 공간이 없다는 경고문이 떴고 가구를 전부 수납해도 빈 공간이 얼마 남지 않았으며, 대놓고 눈에 띌 정도로 게임 속도가 느려졌다. 선물을 주려고 했을 경우 모두가 반응하는 진풍경이 벌어지기도 했다.[7] 스팀 클라이언트의 경우 이전에 인 게임 데이터 변조로 장난치는 사례가 늘어나자 우선적으로 보안패치를 한 전적이 있다.[8] 대형 게임사들은 몆몆 인원이 상시적으로 상주하며 즉각적으로 대응하게 되어 있는데, 현 시점에선 그 인원만으로는 대응하기 쉽지 않은 모양이다. 즉, 그만큼 이번 사태가 이례적인 사태인듯.[9] 이번 해킹이 단순한 실험이고 차후에 정말 심각한 해킹을 할 가능성도 있으나, 실질적으로 그 해커 본인이 이런 대형 사건을 일으키면서까지 실험하는 용도는 아닌 것으로 보이고, 대신 다른 인물이 비슷한 취약점을 이용해 해킹 사건을 일으킬 수도 있다. 만일 장난이더라도 한 번더 재발한다면 정부차원의 강도 높은 조사를 받을수 있다.[10] 실제로는 클라이언트의 DNS 서버가 아닌 블루 아카이브의 CDN 서버를 공격했다는 차이점이 있긴 하지만 거의 동일한 방식으로 공격이 이루어졌다.[11] 원스토어와 스팀 버전, 그리고 일본 서버가 멀쩡했던 것은 이 서버를 이용하지 않기 때문이다. 일본 서버의 경우 Yostar가 관리하니 사실상 해커의 공격이 닿지 않는다.[12] ゴメン, 미안해[13] 해커가 운영하는 서버인 만큼 아카이브를 통해서만 확인하고 해당 ip로 직접 접속하는건 추천하지 않는다. 접속 만으로도 해커가 접속자의 ip 및 브라우저 정보, 쿠키 등 여러 정보를 수집할 수 있기 때문이다. 이는 대부분의 웹 사이트가 마찬가지지만 그 운영 주체가 해커인 서버라면 얘기가 달라진다.[14] Proton은 스위스의 인터넷 서비스 업체로, 해당 해킹범이 사용한 Proton Mail은 익명성과 보안이 강력하기로 유명한 메일 서비스다.[15] 일부 상점 품목은 달마다 초기화되기 때문에 점검 전에 상점을 털지 못했다면 그 상품들은 날아가는 것이다.[16] 앞서 언급됐듯 미쿠는 아예 해커에 의해 증식까지 했을 정도였지만 스즈미는 상대적으로 인기가 적은 탓에 생일이란 사실이 거의 묻혔다.(...)

이 문서의 내용 중 전체 또는 일부는 나무위키의 문서에서 가져왔습니다.

[ 펼치기 · 접기 ]: 문서의 r 판
, 번 문단
(이전 역사)
블루 아카이브/사건 사고/한국 서비스
블루 아카이브/사건 사고/한국 서비스
문서의 r1837 판
, 3.5.8번 문단
(이전 역사)
문서의 r 판
, 번 문단
(이전 역사)
문서의 r 판
, 번 문단
(이전 역사)
문서의 r 판
, 번 문단
(이전 역사)
문서의 r 판
, 번 문단
(이전 역사)
문서의 r 판
, 번 문단
(이전 역사)
문서의 r 판
, 번 문단
(이전 역사)
문서의 r 판
, 번 문단
(이전 역사)
문서의 r 판
, 번 문단
(이전 역사)