IT

솔직히 해즈브로 해킹 소식 처음 봤을 때 '설마 거기까지?' 싶었음. 해즈브로가 어디냐면 트랜스포머, 마이리틀포니, 던전앤드래곤 만드는 데임. 글로벌 완구·게임 대기업인데 랜섬웨어에 뚫린 거임. 내부 시스템이 먹통 되고 직원 개인정보까지 유출 가능성이 나왔는데, 이게 동네 중소기업도 아니고 연매출 조 단위 찍는 회사에서 벌어진 일이라는 게 핵심임. 우리가 막연하게 '대기업이면 보안도 잘 되어 있겠지' 하고 믿잖아. 근데 현실은 회사 규모랑 보안 수준이 꼭 비례하지는 않는다는 거. 게임 업계만 봐도 이런 사례가 한두 개가 아님. 예전에 소니 플레이스테이션 네트워크 털렸을 때 전 세계 이용자 수천만 명 개인정보가 날아갔고, 카프콤도 랜섬웨어 맞아서 내부 문서랑 직원 정보가 다크웹에 풀렸음. EA도 소스코드 유출당한 적 있고. 게임회사들이 특히 타깃이 되기 쉬운 이유가 있는데, 일단 유저 데이터가 어마어마하게 많고, 결제 정보도 갖고 있고, 무엇보다 게임 소스코드 자체가 돈이 됨. 해커 입장에서는 먹을 게 많은 곳인 거지. 근데 게임회사들 내부 보안 인력은 개발 인력에 비해 항상 부족함. 보안팀 채용 공고 올려도 잘 안 뽑히는 게 현실이고. 디자이너 입장에서도 이런 뉴스 볼 때마다 좀 불안함. 나도 피그마에서 작업하면서 클라이언트 데이터 다루는 경우가 있는데, 내가 쓰는 서비스가 뚫리면 그 안에 있는 프로젝트 파일이나 커뮤니케이션 내용도 다 노출되는 거잖아. 사실 우리가 하루에 로그인하는 서비스가 몇 개임. 이메일, 슬랙, 노션, 각종 클라우드. 그 중 하나라도 뚫리면 연쇄적으로 다른 계정까지 위험해지는 구조인데, 대부분의 사람들이 비밀번호 돌려쓰고 있으니까 더 심각한 거임. 결국 대기업이 뚫렸다는 건 '거기도 뚫리는데 내 개인정보는 안전할 리가 없다'는 뜻이기도 함. 해즈브로 같은 경우 사고 이후에 보안 체계를 강화했다고 발표는 했는데, 이미 유출된 정보는 되돌릴 수가 없잖아. 기업 입장에서는 사후 대응이 아니라 사전 투자가 중요한 건데, 보안은 눈에 보이는 매출을 만들어내는 부서가 아니다 보니 항상 후순위로 밀림. 이게 구조적인 문제임. 터지고 나서야 예산 풀리고, 터지기 전에는 "그거 꼭 해야 해?" 이런 분위기. IT 업계에서 일하면서 느끼는 건데 보안 의식이라는 게 위에서부터 안 내려오면 아래에서 아무리 외쳐봤자 소용없음. 개인이 할 수 있는 건 솔직히 한계가 있지만, 최소한 이중 인증 켜고 비밀번호 매니저 쓰는 정도는 해야 한다고 봄. 귀찮다고 안 하는 사람 많은데, 한 번 털리면 귀찮은 정도가 아니라 진짜 머리 아파짐. 나도 예전에 쓰던 서비스에서 유출 알림 메일 받고 나서야 부랴부랴 비밀번호 다 바꿨는데, 그때 느낀 게 '아 진짜 남 일이 아니구나' 였음. 대기업도 못 막는 걸 개인이 완벽하게 막을 수는 없지만, 최소한의 방어는 내가 직접 챙겨야 하는 시대인 거 맞음.