일본 사이타마현의 한 고등학생이 경찰에 검거됐다. 혐의는 반다이남코의 애니메이션 스트리밍 서비스 ‘반다이채널’ 공격. 범행 당시 나이는 겨우 14세, 중학생이었다. 그는 서버 통신을 분석해 취약점을 찾아냈고, 직접 짠 공격 코드가 느리게 돌자 챗GPT에 물어 가며 프로그램을 완성했다. 결과는 참혹했다. 회원 계정 4만 6,800개가 강제 삭제됐고, 서비스 장애는 한 달을 넘겼다. 일본 경찰에 따르면 부정접속 사건은 4년 새 4.7배로 늘었고, 검거된 위반자 248명의 약 70%가 10~20대다. 전문 해커 조직이 아니라 교복 입은 아이들이 생성형 AI를 조수 삼아 기업의 문을 두드리는 시대가 온 것이다. 이 시대의 기업 보안은 방화벽 한 대가 아니라, 만들 때의 설계와 앱유지보수 같은 꾸준한 관리에서 갈린다.

해커의 자격증이 사라졌다
과거의 해킹은 오랜 학습과 경험이 필요한 전문 기술이었다. 지금은 다르다. 막히는 부분을 AI에 물으면 코드가 다듬어져 돌아온다. 이번 사건의 소년도 “챗GPT 덕분에 완성이 쉬워졌다”고 진술했다. 공격의 문턱이 낮아졌다는 건, 공격의 수가 늘어난다는 뜻이다. 대기업도 뚫리는 판에 “우리 같은 작은 서비스를 누가 노리겠어”라는 생각은 더 이상 안전지대가 아니다. 자동화된 공격은 회사의 크기를 가리지 않고, 오히려 관리가 느슨한 곳부터 파고든다.
공격자보다 먼저 점검해야 할 것들
- 출시 후 한 번도 보안 업데이트를 하지 않은 앱과 웹
- 외주 개발 후 관리 주체가 사라진 서비스
- 서버·프레임워크의 알려진 취약점이 방치된 시스템
보안은 이벤트가 아니라 습관이다
침해 사고의 상당수는 이미 알려진 취약점을 방치한 데서 시작된다. 그래서 보안의 출발점은 만들 때부터다. 설계 단계에서 보안을 고려하는 웹개발이 뚫릴 구멍을 애초에 줄여 주고, 출시 이후 취약점 패치와 업데이트를 챙기는 앱유지보수가 시간이 지나며 벌어지는 틈을 메워 준다. 서비스가 얹혀 있는 서버와 인프라까지 정기적으로 살피는 시스템 유지보수까지 갖추면, 문턱이 낮아진 공격의 시대에도 기업이 지킬 최소한의 방어선이 완성된다.
대기업을 뚫은 건 해커 조직이 아니라 챗GPT를 든 14세였다. 공격의 문턱이 무너진 시대, 방어의 문턱은 꾸준한 관리로만 세워진다.
한 달 넘는 서비스 장애와 4만 6,800개의 계정 삭제. 반다이남코가 치른 비용은 유지보수 계약 몇 년 치보다 훨씬 클 것이다. 사고가 나고 수습할지, 나기 전에 관리할지. AI가 공격자의 편에 서기 시작한 지금, 답을 미룰 시간은 많지 않다.