비밀번호를 본인 이름으로 쓰는 것과 같아요.
루브르 박물관에서 대낮에 약 8,800만 유로(미화 1억 100만 달러) 상당의 보석이 도난당한 최근 강도 사건은 박물관 보안 시스템의 명백한 허점을 드러냈다. 프랑스 언론지 리베라시옹(Libération)[기계 번역]에 따르면, 2014년 프랑스 국가 정보 시스템 보안국(ANSSI)이 실시한 보안 감사 결과, 박물관의 비디오 감시 시스템 비밀번호가 ‘LOUVRE’였던 것으로 보고됐다.
동일 감사에서는 국방 및 사이버 보안 전문 기업인 탈레스(Thales)가 구축한 또 다른 시스템이 접근 자격 증명으로 ‘THALES’를 사용한 것도 밝혀졌다. 또한, 박물관의 자동화 네트워크에는 윈도우 2000(Windows 2000) 운영체제가 탑재된 컴퓨터가 사용되고 있어 취약점을 안고 있었는데, 이는 마이크로소프트가 2010년에 윈도우 2000 지원을 공식적으로 중단했기 때문이다.
1년 후인 2017년에는 보안 및 정의를 위한 국가 고급 연구소(National Institute for Advanced Studies in Security and Justice)가 주도한 보다 심층적인 보안 감사가 진행되었으며, 이 보고서에서는 물리적 및 디지털 보안 모두에서 추가적인 취약점을 발견했다. 이 보고서 역시 이전 보고서에서 지적된 문제들, 즉 구식 시스템 사용과 비밀번호 취약점 문제를 다시 한번 언급했다. 두 보고서 모두 중요한 취약점을 노출했기에 기밀로 분류되었다. 더 나아가, 지난 감사 이후 8년이라는 시간 동안 문제가 해결되었는지 궁금하다면, 리베라시옹은 추가 조사 끝에 2021년까지도 박물관이 여전히 구식 운영 체제를 사용하고 있었음을 발견했다.
앤트로픽(Anthropic)의 최신 AI 모델은 '모든 주요 운영 체제와 모든 주요 웹 브라우저에서 수천 개의 제로데이 취약점'을 식별했다고 전했다.
우연히도 루브르 박물관은 올해 초에 또 다른 보안 감사를 거쳤지만, 그 감사 결과는 아직 공개되지 않았다. 그렇긴 해도, 검토를 맡았던 관계자는 프랑스 상원에서 박물관 시스템이 "진정으로 현대화되어야 할 필요가 있다"고 언급했다. 박물관 큐레이터 역시 "제가 증언할 수 있는 것은, 루브르 경영진이 약점 그 자체보다 박물관 전체 보안 시스템에 대한 새로운 검토가 필요하다는 점을 충분히 인지하고 있었다는 것입니다"라고 밝혔다.
비록 박물관의 미흡한 사이버 보안 관행이 최근 강도 사건의 직접적인 원인이라고 단정하기는 어렵지만, 이들 감사는 루브르가 전반적인 보안 관리에서 시스템적인 결함이 있음을 드러낸다. 부디 이번 사태가 행정 당국이 보안 전문가들이 지난 10년 이상 제기해 온 개선 권고 사항들을 실제로 이행하도록 촉발하는 경종이 되기를 기대한다.
최신 뉴스, 분석 및 리뷰를 피드에서 받으려면 Tom's Hardware를 Google 뉴스에서 팔로우하거나 즐겨찾는 출처로 추가하십시오.