연말에 카드 결제 알림이 ‘띵’ 하고 울립니다. “플레이스테이션 결제 9,900원.”
나는 아무것도 산 적이 없는데요. 더 당황스러운 건 여기서 끝이 아닙니다. 로그인해보려니 비밀번호가 틀렸고, 2FA(2단계 인증)도 켜져 있었고, 심지어 패스키까지 쓰고 있었는데도 계정이 이미 남의 손에 넘어가 있었다는 이야기까지 들립니다.
이 상황이 무서운 이유는 단순히 “플레이스테이션이 해킹됐다”가 아니라, 우리가 믿어온 보안 장치의 본질을 다시 보게 만들기 때문입니다. 결론부터 말하면, 2FA·패스키가 약해서가 아니라 계정 보안의 ‘우회로’가 더 약하면 전체가 무너질 수 있습니다.
2FA와 패스키는 강하다, 그런데 왜 뚫릴까
2FA는 비밀번호가 새어 나가도 추가 코드를 요구해 막아주는 장치입니다. 패스키는 더 나아가 “비밀번호 자체를 안 쓰는 로그인”에 가깝습니다. 지문·얼굴 인식이나 기기 잠금으로 로그인하고, 서비스(PSN)와 기기 사이에서 암호키로 인증이 이뤄져 피싱에도 상대적으로 강하다고 알려져 있죠.
즉, 정상적인 로그인 경로만 놓고 보면 2FA·패스키는 꽤 강력합니다.
문제는 많은 서비스가 “정상 로그인”만 존재하지 않는다는 데 있습니다. 우리가 자주 지나치는 통로가 하나 더 있죠.
진짜 약한 고리: ‘계정 복구’와 고객지원 인증
사람은 휴대폰을 잃어버리고, 번호를 바꾸고, 이메일 접근을 못 하기도 합니다. 그래서 서비스는 계정 복구 절차를 둡니다.
그런데 이 복구 절차가 로그인만큼 강하게 설계되어 있지 않다면, 공격자는 정면돌파 대신 ‘우회로’로 들어옵니다.
최근 공유된 사례들에서 반복되는 키워드는 딱 두 가지입니다.
- 온라인 ID(PSN 닉네임)
- 과거 결제 내역을 증명하는 단서(영수증/거래번호 등)
만약 고객지원 과정에서 “계정 소유자 확인”이 이 정도 정보로 통과되거나, 상담 과정에서 이메일 변경·보안 설정 변경 같은 치명적인 조치가 가능해진다면 어떤 일이 벌어질까요?
패스키가 있어도, 2FA가 있어도, 로그인 화면을 거치지 않고 계정의 ‘소유권’이 넘어갈 수 있습니다. 보안 업계에서 흔히 말하는 “가장 약한 고리가 전체 체인을 끊는다”는 상황이 계정에서도 그대로 재현되는 겁니다.
여기서 핵심은 공격 기술이 아니라 정보의 성격입니다. 온라인 ID는 게임을 하다 보면 쉽게 노출되고, 결제 영수증 스크린샷은 자랑·문의·환불 상담 때문에 커뮤니티에 올리기 쉽습니다. “별것 아닌 정보” 조각이 복구 절차에서 신분증처럼 쓰이는 순간, 그 조각은 곧 열쇠가 됩니다.
한국 이용자에게 더 현실적인 피해 포인트
한국에서는 플레이스테이션 계정이 단순 로그인 수단을 넘어 ‘디지털 지갑’처럼 작동하는 순간이 많습니다.
- PS Plus 같은 정기 구독이 연동되어 있다
- 결제 수단(카드/간편결제)이 저장되어 있다
- 다운로드 구매 라이브러리가 계정에 묶여 있다
- 가족 계정(자녀 계정)까지 한 번에 연결되어 있다
그래서 계정 탈취는 단순 접속 문제를 넘어 금전 피해로 번지기 쉽습니다. 특히 공격자는 “큰돈”보다 “소액 결제”로 먼저 시도해 성공 여부를 확인하는 경우가 많습니다. 한 번 성공하면 그다음부터는 더 과감해지거나, 계정 자체를 거래 대상으로 삼기도 하죠.
여기까지 들으면 답답해집니다. “그럼 우리는 뭘 해야 하나?”
다행히 사용자가 당장 할 수 있는 방어는 꽤 많습니다. 핵심은 2FA·패스키를 끄는 게 아니라, 우회로를 같이 단단히 잠그는 것입니다.
오늘 바로 적용하는 플레이스테이션 PSN 방어 체크리스트
- 결제 방어막부터 올리기
- PS Store에 ‘결제 시 비밀번호 입력 필요’를 켜 두면, 콘솔을 잠깐 빌려줬거나 계정이 흔들렸을 때 무단 결제를 한 번 더 막아줍니다.
- 방법은 공식 안내를 그대로 따라가면 됩니다: 결제 시 비밀번호 입력 필요 설정
- 2FA는 ‘문자’보다 ‘인증 앱’ 우선
- 문자(SMS)는 편하지만 번호 도용·스미싱·통신 장애 같은 변수에 취약합니다. 가능하면 인증 앱 기반 2FA로 바꾸는 게 안전합니다.
- 설정 경로는 여기에서 확인: PSN 2단계 인증 설정
- 패스키를 쓰고 있다면, “추가 기기”와 “복구 시나리오”까지 점검
- 패스키는 편하지만, 휴대폰 분실·기기 교체 상황에서 복구 경로를 미리 생각해 둬야 합니다.
- 패스키 운영 방식과 주의사항은 여기: PSN 패스키 설정/관리
- 영수증·거래번호 스크린샷 정리
- 커뮤니티/블로그/SNS에 올린 결제 영수증 이미지, 이메일 캡처, 주문번호가 보이는 화면을 검색해서 지우거나 가리세요.
- 이미 올렸다면 “이미지 삭제 + 글 수정 + 캐시 반영”까지 해두는 게 좋습니다.
- 온라인 ID 노출 범위 줄이기
- 프로필 공개 범위를 낮추면, 타인이 온라인 ID를 단서로 엮어갈 수 있는 정보가 줄어듭니다.
- 특히 메시지 수신/친구 요청 범위는 보수적으로.
- 계정 알림(메일)부터 확인하는 습관
- 이메일 변경, 비밀번호 변경, 로그인 시도 같은 알림은 ‘오탐’이 아니라 조기경보입니다.
- 알림을 무시하지 말고 즉시 비밀번호 변경, 로그인 기기 점검, 결제 수단 확인까지 이어가세요.
- 스미싱·피싱에 ‘클릭 전 3초’
- “보안 문제 발생” “계정 잠김” 같은 문구로 링크를 누르게 만들고, 그 다음부터 계정 복구를 노리는 흐름이 자주 나옵니다.
- 기본 수칙(출처 불명 링크 금지, 공식 앱/웹에서 직접 접속)은 결국 가장 강한 방어입니다.
결론: 2FA·패스키는 끝이 아니라 시작이다
플레이스테이션 PSN에서 2FA·패스키를 켜는 건 여전히 최선의 선택입니다. 다만 그걸 “완성”이라고 착각하는 순간이 위험합니다.
계정 보안은 문(로그인)만 지키는 게 아니라, 비상구(계정 복구)와 창문(개인정보 노출)까지 함께 잠그는 일입니다.
오늘 할 일은 딱 세 가지면 충분합니다.
- 결제 시 비밀번호 입력 필요 켜기
- 2FA를 인증 앱으로 전환하고 복구 방식 점검
- 온라인에 올린 영수증/거래번호 흔적 지우기
이 세 가지만 해도 “2FA·패스키가 있어도 불안한 상태”에서 “우회로까지 관리하는 상태”로 한 단계 올라갑니다.
