Project Zomboid, 악성 Workshop mod 대응 위한 zero day 패치 공지

Project Zomboid 개발팀은 2026년 4월 7일 여러 사용자로부터 특정 mod가 실행 시 악성 코드를 생성한다는 제보를 받았고, 조사 결과 게임 디렉터리 밖에 악성 파일을 만드는 행위를 확인했다고 Steam 공지에서 밝혔다.

공지에 따르면 동일 사용자가 같은 exploit를 포함한 mod 14개를 업로드했으며, 설치 규모는 mod별로 약 500대에서 2200대 기기 사이였다. 개발팀은 해당 계정을 차단했고, 관련 mod는 모두 Steam Workshop에서 제거했다. 중요한 점은 단순 삭제만으로 충분하지 않다는 경고다. 개발팀은 이미 다운로드한 사용자가 시스템 안전을 위해 추가 보안 조치를 취해야 한다고 강조했다.

영향 범위도 구분했다. 이번 exploit는 Build 42 브랜치에만 해당하며 Build 41은 같은 문제에 취약하지 않았다고 설명했다. 다만 Build 41에는 내부 감사 중 발견된 별도 취약점에 대한 보안 업데이트가 같은 날 배포됐고, 현재까지 그 취약점이 악용됐다는 증거는 없다고 덧붙였다. 구버전 outdatedunstable 브랜치도 알려진 취약점을 남기지 않기 위해 unstable과 맞췄다.

또 하나의 핵심은 커뮤니티 혼선을 줄이기 위한 정정이다. 공지에 적힌 14개 mod는 True MoooZIC 본편이 아니라 이를 위한 add-on들이며, 원 제작자의 동의 없이 만들어졌다고 한다. 개발팀은 가해자가 더 이상 Workshop에 업로드할 수 없고, 현재 Workshop에 남아 있는 mod는 이번 사고와 무관하다고 설명했다.

이번 사례는 대형 업데이트보다 더 근본적인 문제를 드러낸다. PC 게임의 mod 생태계는 수명을 늘려 주지만, 실행 경로와 파일 접근 권한이 얽히면 보안 리스크도 함께 커진다. Project Zomboid의 이번 대응은 단순 patch note가 아니라, live mod ecosystem을 운영하는 개발사가 얼마나 빠르게 조사, 차단, 공지, 버전 관리까지 이어가야 하는지를 보여주는 incident response 사례로 읽힌다.