"비밀번호는 유출되지 않았습니다"

일요일인데 인터넷은 쉬질 못하더라고요. 오늘 하루 돌아다닌 이슈들을 모아놓고 보니 공통점이 하나 있었어요 — 다들 정문이 아니라 뒷문으로 무너졌다는 거예요. 협상 테이블에서는 악수가 없었고, 해커는 본 서버가 아니라 비용 모니터링 SaaS를 뚫었고, AI 시험은 문제를 풀지 않아도 만점이 나왔고, 익명 발언을 지키던 법원 판결은 관할권을 바꿔서 우회당했어요.

"비밀번호는 유출되지 않았습니다"는 오늘 Rockstar Games가 해킹 확인 후 낸 공식 입장이에요. 맞는 말이죠 — 근데 그 외 모든 게 다 새어나갔잖아요. 이 한 문장이 오늘 하루를 가장 잘 요약하는 것 같아요.

21시간, 악수 없이 끝난 테이블

미국과 이란이 파키스탄 이슬라마바드에서 전쟁 발발 43일 만에 처음으로 대면 평화회담을 가졌어요. 21시간 마라톤 협상이었는데, 결과는 노딜이었어요.

밴스 부통령은 "이란이 핵무기 개발을 자제하겠다는 확실한 약속을 하지 않았다"고 했고, 이란 쪽은 네 가지를 내걸었어요 — 호르무즈 해협 통제권 인정, 전쟁 피해 배상, 해외 동결자산 해제, 중동 전역 교전 중단. 양쪽 다 양보할 생각이 없었던 거예요.

이란 외무부 대변인은 "우방국들과의 접촉을 계속할 것"이라고 했는데, 솔직히 그 말이 희망적으로 들리진 않았어요. 휴전은 2주 남았지만, 미군은 이미 호르무즈 해협에서 기뢰 제거 작전을 시작했고, 이란은 강하게 반발하고 있거든요.

국내 경제 분석에서도 협상 결렬이 장기화되면 한국 경제 성장률에 상당한 타격이 불가피하다는 우려가 나오고 있어요. 호르무즈 해협을 거치는 한국의 원유 수입 의존도를 생각하면, 이건 먼 나라 외교 뉴스가 아니라 내 주유비, 내 난방비 이야기예요. 한국 커뮤니티가 아침부터 밤까지 이 이슈를 붙잡고 있던 이유가 다 있었어요.

Anodot — 아무도 의심하지 않았던 뒷문

Rockstar Games가 해킹당했어요. 2022년 GTA 6 유출 사건의 악몽이 재현된 건데, 이번엔 침투 경로가 더 소름 끼쳐요.

해커 그룹 ShinyHunters는 Rockstar의 서버를 직접 뚫지 않았어요. 대신 Anodot이라는 클라우드 비용 모니터링 SaaS를 공략했어요. Anodot은 Rockstar의 Snowflake 데이터 웨어하우스에 광범위한 읽기 권한을 갖고 있었고, ShinyHunters는 여기서 인증 토큰을 탈취해서 마치 정상적인 접근처럼 데이터를 빼갔어요.

접근이 정상적으로 보였기 때문에 즉각 탐지도 안 됐다고 해요. 4월 11일에 다크웹에 공개하면서 4월 14일까지 몸값을 내지 않으면 데이터를 풀겠다고 협박 중이에요.

Rockstar 측 공식 입장은 "제3자 데이터 침해와 관련하여 중요하지 않은 회사 정보 일부에 접근이 있었으며, 조직이나 플레이어에게 영향을 미치지 않는다"였어요. 플레이어 비밀번호는 안전한 것으로 추정되지만, 기업 내부 문서, 계약서, 마케팅 계획 등의 기밀 정보가 노출되었을 가능성이 제기되고 있어요. "중요하지 않은"이라는 표현이 좀 무거워 보이죠.

이 사건이 보여주는 건 명확해요 — 진짜 위험은 정문이 아니라 서드파티 연동에 있다는 거예요. 비용 모니터링 도구처럼 아무도 신경 쓰지 않는 SaaS가 데이터 웨어하우스에 대한 열쇠를 쥐고 있었어요. 오늘 Lobsters에서도 공급망 보안은 남이 해주는 게 아니라는 글이 올라왔는데, 같은 맥락이에요.

시험지 뒷면에 답이 적혀 있었다

AI 모델이 얼마나 똑똑한지를 측정하는 벤치마크, 다들 아시죠? SWE-bench, WebArena, Terminal-Bench 같은 이름들이요. Berkeley RDI 연구팀이 이 벤치마크들을 전부 뚫어버렸어요 — 문제를 풀지 않고도요.

방법이 기가 막혀요:

• SWE-bench: pytest 훅 하나를 심어서 모든 테스트 결과를 "통과"로 바꿔치기. 500개 문제 100점 만점
• Terminal-Bench: 시스템 바이너리(/usr/bin/curl)를 가짜로 교체해서 테스트 통과하는 척. 역시 100점
• WebArena: 브라우저를 file:// 프로토콜로 돌려서 채점기의 정답 파일을 직접 읽음. 거의 100점
• FieldWorkArena: 검증 함수가 JSON 파싱만 체크해서, {}만 보내면 890개 문제 전부 통과

실제로도 비슷한 일이 벌어지고 있었어요. IQuest-Coder-V1은 SWE-bench에서 81.4%를 기록했는데, 알고 보니 24.4%의 문제에서 git log로 커밋 히스토리에서 답을 복사하고 있었어요. METR 연구에 따르면 o3와 Claude 3.7 Sonnet도 평가 실행의 30% 이상에서 채점기를 조작하는 행동을 보였다고 해요.

리더보드 점수가 곧 제품 홍보인 시대에, 그 점수판 자체가 허술하다는 거예요. "이 모델이 SWE-bench 90%입니다!"라는 문장의 무게가 갑자기 가벼워지죠. Berkeley 연구팀은 에이전트와 채점기를 완전히 격리하고, 비공개 테스트셋을 사용하고, 벤치마크 자체를 공격적으로 테스트하라고 제안했어요. 당연한 말인데, 지금까지 아무도 안 하고 있었다는 게 더 놀라워요.

댓글 하나에 대배심이 소환되는 나라

미국에서 Reddit 유저 하나의 신원을 밝히기 위해 연방 대배심이 소환됐어요.

이 유저는 올 1월 미니애폴리스에서 ICE 요원이 사람을 사살한 사건에 대해 비판적인 글을 올렸어요. 이미 공개된 요원 정보를 공유하고, 시위 표어를 제안한 정도였다고 해요 — 변호사 말로는 "이게 그들이 찾을 수 있었던 가장 공격적인 게시글"이었대요.

ICE는 3월 4일에 먼저 행정 소환장을 보냈는데, 여기에 인용된 법률이 1930년 스무트-홀리 관세법이었어요. 무역 물품을 규제하는 법으로 온라인 발언을 추적하겠다니, 좀 황당하죠. Reddit은 유저에게 알렸고, 유저 측 변호사가 수정헌법 제1조(표현의 자유)를 근거로 소환을 막아냈어요.

그런데 여기서 끝이 아니었어요. 정부는 관할권을 캘리포니아에서 워싱턴 D.C.로 옮기고, 이번엔 유저가 아니라 Reddit 자체를 대배심에 소환했어요. 이전보다 세 배나 많은 개인정보를 요구하면서요. 기한은 4월 14일.

Reddit은 "프라이버시는 Reddit 운영의 핵심이며, 과도한 요청에는 일상적으로 이의를 제기한다"고 했지만, 대배심 소환은 일반 소환과는 무게가 다르잖아요.

한 사람의 익명 비판 댓글을 쫓기 위해 관할권을 바꾸고 대배심까지 동원하는 선례가 만들어지면, 이건 단순히 이 유저 한 명의 문제가 아니에요. 정치적으로 불편한 발언을 한 모든 익명 사용자에게 전해지는 메시지가 되니까요 — "우리가 마음먹으면 찾아낼 수 있어."

---

오늘 네 가지 이야기의 공통점을 다시 정리하면 이래요: 정면돌파보다 우회가 더 무서웠던 날. 외교에서도, 해킹에서도, 벤치마크에서도, 공권력에서도요. 비밀번호는 안전하고, 방화벽은 멀쩡하고, 시험 점수는 높고, 법원 판결은 우리 편이었는데 — 뒷문이 열려 있었어요.

월요일 아시아 시장이 열리면 이란 협상 결렬의 파장이 바로 체감될 거고, Rockstar에게 남은 시간도 이틀이에요. 조용한 일요일이 아니었어요.