안전이론에는 ‘하인리히 법칙’이라는 말이 있습니다. 하나의 큰 사고 뒤에는 29개의 경미한 사고와 300개의 잠재적 신호가 있다는 이야기죠. 올해 게임업계에서 연이어 벌어진 보안 사고를 보며, 이 법칙이 자꾸 떠오릅니다.

주요 사례만 보더라도 넷마블의 해킹 사고, 넥슨의 클라이언트 수정 사고, 위메이드의 위믹스 자산 탈취 사건 등 굵직한 사고가 이어졌습니다. 크게 언급된 것만 이 정도이며, 세밀하게 들여다보면 더 많은 사고가 있었습니다. 스페셜포스를 서비스하는 드래곤플라이는 랜섬웨어 공격을 받았고, 엔씨소프트 역시 아이온2에 대규모 DDoS(디도스) 공격이 있었다고 설명한 바 있습니다.

해외로 범위를 넓혀봐도 대표 PC게임 플랫폼인 스팀에서 일부 유저 전화번호가 해킹으로 유출된 바 있고, 게이머들이 자주 사용하는 디스코드도 외주 고객센터가 해킹 피해를 입으며 신분증을 포함한 개인정보가 유출됐습니다. 포켓몬 개발사로 잘 알려진 게임프리크는 지난해 해킹된 자료가 2차로 배포되며 신작 정보가 유출되는 큰 피해를 입기도 했죠.

이처럼 올해만 해도 손에 꼽기 어려울 정도로 벌어진 보안 사고는, 게임업계 전반에 잠재돼 있던 보안 리스크가 더 이상 경고 단계에 머물지 않고 있다는 점을 보여줍니다. 대부분 외부 공격자에 의해 발생했지만, 접근 통제 미흡, 권한 관리 오류 등 내부적인 관리 부실도 존재합니다.

궁극적으로는 발생한 사고 수습에 그칠 것이 아니라, 지금까지 포착된 위험 신호를 체계적으로 분석해 선제적인 대응 체계를 구축해야 합니다. 게임업계는 보유하고 있는 정보의 중요도나 산업 규모에 비해 보안에 투자하는 자금 규모가 적다는 지적을 꾸준히 받아 왔습니다. 올해 벌어진 여러 사태는 업계에 잠재된 보안 위험을 명확히 드러냈는데요, 더 큰 사고가 일어나기 전에 마지막 보루를 마련해야 합니다.