프로젝트 좀보이드(Project Zomboid)의 모딩 커뮤니티에 전례 없는 보안 비상이 걸렸다. 2026년 4월 8일, 개발사 인디 스톤(The Indie Stone)은 스팀 창작마당에 게시된 14개의 모드에서 시스템에 해를 끼칠 수 있는 악성 코드가 발견되었으며, 해당 모드들을 즉각 차단하고 제작자를 영구 제명했다고 발표했다. 이번 사건은 단순한 게임 버그를 넘어 유저의 PC 보안 자체를 위협하는 중대한 사안으로 다뤄지고 있다.
▲ 공식 커버 아트 (제공: IGDB)
이번 보안 이슈의 핵심은 모드 내부에 숨겨진 ‘고도로 난독화된 코드’에 있다. 이 코드는 프로젝트 좀보이드가 설치된 디렉토리를 벗어나 시스템의 다른 경로에 악성 파일을 생성하는 동작을 수행한 것으로 밝혀졌다. 특히 피해를 입은 대상은 현재 테스트 중인 빌드 42(Build 42) 언스테이블 버전을 사용하는 유저들로 국한되지만, 이미 500명에서 2,200명에 달하는 유저들이 해당 모드를 설치한 것으로 추산되어 각별한 주의가 요구된다.
| 구분 | 내용 |
|---|---|
| 대상 게임 | 프로젝트 좀보이드 (Project Zomboid) |
| 영향 버전 | 빌드 42 (Build 42) 언스테이블 브랜치 |
| 적발 모드 수 | 총 14종 (주로 사운드 및 OST 관련) |
| 핵심 위협 | 난독화 코드를 통한 외부 악성 파일 생성 |
프로젝트 좀보이드 유저를 노린 ‘True MoooZIC’의 실체
적발된 모든 모드는 공통적으로 True MoooZIC이라는 접미사를 달고 있었다. 이들은 페르소나 5, 니어 오토마타, 마인크래프트 등 유명 게임의 사운드트랙(OST)을 게임 내에 추가해주는 평범한 편의성 모드로 위장하여 유저들의 경계심을 허물었다. 인디 스톤 측의 조사에 따르면, 동일한 제작자가 올린 14개의 모드 모두가 동일한 취약점을 포함하고 있었으며, 이는 의도적으로 악성 코드를 유포하려 한 정황으로 판단된다.
▲ 공식 아트워크 (제공: IGDB)
인디 스톤은 공식 공지를 통해 “단순히 스팀 창작마당에서 모드를 구독 해제하거나 삭제하는 것만으로는 충분하지 않다”고 경고했다. 악성 코드가 게임 외부 폴더에 파일을 생성했기 때문에, 모드 파일 자체가 사라져도 이미 생성된 악성 파일이 시스템에 남아 추가적인 위협을 가할 수 있다는 의미다. 프로젝트 좀보이드 빌드 42를 즐기던 유저 중 해당 모드를 한 번이라도 실행했다면 백신 프로그램을 통한 전체 시스템 정밀 검사가 반드시 병행되어야 한다.
반드시 확인해야 할 악성 모드 14종 리스트
다음은 이번 사태로 차단된 모드 리스트다. 자신의 구독 목록이나 과거 설치 내역을 대조해 볼 필요가 있다.
- Persona 5 OST (True MoooZIC) – ID: 3681756112
- NieR: Automata OST (True MoooZIC) – ID: 3681765529
- Risk of Rain 1 & 2 OST (True MoooZIC) – ID: 3681810963, 3681934105
- Minecraft Alpha+Beta OST (True MoooZIC) – ID: 3680972796
- Katana ZERO OST (True MoooZIC) – ID: 3681764942
- Jujutsu Kaisen S1 OST (True MoooZIC) – ID: 3681755051
- Hotline Miami 1 & 2 OST (True MoooZIC) – ID: 3681718339, 3681719339
- Silent Hill OST (True MoooZIC) – ID: 3681477980
- Cowboy Bebop OST (True MoooZIC) – ID: 3681476976
- Metal Gear Rising: Revengeance Vocal Tracks (True MoooZIC) – ID: 3681339955
- Classic Roblox Music (True MoooZIC) – ID: 3681335952
- DELTARUNE Ch3+4 Music (True MoooZIC) – ID: 3681334251
해당 모드들은 현재 스팀 창작마당에서 모두 삭제된 상태이지만, 로컬 드라이브에 잔재가 남아있을 수 있다. 프로젝트 좀보이드는 모딩 의존도가 매우 높은 게임인 만큼, 유저들은 신뢰할 수 없는 제작자의 최신 모드를 설치할 때 각별한 주의를 기울여야 한다. 특히 ‘난독화’된 루아(Lua) 스크립트가 포함된 경우 일반 유저가 위협을 감지하기란 불가능에 가깝다.
Gaming Dive Perspective: 프로젝트 좀보이드 모딩 생태계의 신뢰 무너뜨린 최악의 사례
모딩은 프로젝트 좀보이드의 생명력과도 같지만, 이번 사건은 그 자율성이 어떻게 무기로 돌변할 수 있는지 극명하게 보여줬다. OST 모드처럼 코드 분석이 거의 이루어지지 않는 데이터 위주의 모드에 악성 스크립트를 심은 수법은 매우 비열하다. 인디 스톤의 빠른 대처는 칭찬받아야 마땅하나, 스팀 창작마당 자체의 보안 검수 프로세스에 대한 근본적인 의구심은 지울 수 없다.
현재 프로젝트 좀보이드 개발팀은 추가적인 보안 취약점을 모니터링 중이며, 빌드 42의 정식 출시 전 보안 메커니즘을 강화할 방침이다. 유저들은 프로젝트 좀보이드 스팀 공식 페이지를 통해 업데이트되는 보안 공지를 상시 확인해야 한다.
Gaming 다이브에서 프로젝트 좀보이드 관련 기사 더보기
최종 다이브 지수: 8.5 / 10