은근 사이버 공격에 취약한 분야가 문화 예술 계통이다. 이번 달에는 뉴욕의 메트로폴리탄오페라가 사이버 공격에 당해 1주일 넘게 기능을 상실했다. 작년과 재작년에도 비슷한 일이 있었다. 문화 예술 분야와 보안이 좀 더 가까워져야 하는 때다.

[보안뉴스 문가용 기자] 12월 7일, 뉴욕의 메트로폴리탄오페라가 사이버 공격에 당했다는 보도가 뉴욕타임즈로부터 나왔다. 이 공격으로 오페라의 네트워크 시스템들에 장애가 왔다. 웹사이트, 박스오피스, 콜센터 등이 전부 기능을 잃었다. 웹사이트가 복구된 것은 12월 15일의 일이었다. 공격자의 정체는 아직도 파악되지 않았지만, 오페라 측이 이전부터 우크라이나를 지지한다는 목소리를 높여 왔다는 사실이 이번 사건과 관련이 있지 않을까 하는 의구심이 들고 있다.


예정되어 있던 공연은 취소되지 않았다. 메트로폴리탄오페라 측은 어떻게 해서든 공연을 완료했고, 도저히 안 되는 경우에는 근처의 다른 공연장의 협조를 구해 관객들과의 약속을 지켰다. 그리고 뒤에서는 계속되는 시스템 복구 작업을 이어갔다. 아직 정확한 피해 규모가 다 집계되고 있지는 않다. 하지만 표 판매 시스템 역시 이번 공격의 영향을 받았기 때문에 수익에 적잖은 영향이 있을 것으로 예상되고 있다. 메트로폴리탄오페라의 총괄인 피터 겔브(Peter Gelb)는 뉴욕타임즈와의 인터뷰에서 연말 시즌에는 하루 표 판매량이 대략 20만 달러 정도 된다고 밝힌 바 있다.

문화 시설이 사이버 공격에 노출된 것은 이번이 처음 있는 일은 아니다. 2019년 샌프란시스코의 아시아미술박물관(Asian Art Museum)이 랜섬웨어 공격에 당했었고, 2020년 해커들이 각종 예술 문화 단체와 기부 단체에 접근해 랜섬웨어 공격을 실시하기도 했었다.

예술 단체와 비영리 단체를 공격하는 이유?
메트로폴리탄오페라를 비롯해 각종 아트센터나 박물관, 문화 예술 조직들은 비영리 단체일 때가 많다. 이윤 추구를 하지 않는다는 것이다. 그런데 세상에서 돈을 제일 좋아하는 사이버 공격자들이 이런 곳을 노려 공격하는 이유는 무엇일까? 사이버 보험 업체 콜리션(Coalition)의 보안 엔지니어인 토미 존슨(Tommy Johnson)은 “일단 사이버 공격자들은 포춘 500대 기업이든 비영리 단체든 차별하지 않고 공격 대상으로 삼는다”고 설명한다.

문화 기관들이라고는 하지만 여느 사업체처럼 운영된다. 비영리 단체라고 하지만 수익이 전혀 없는 것도 아니다. 공연 표를 판매함으로써 돈을 벌고, 부유한 기부자들로부터 놀라울 정도의 기부금도 비정기적으로 받는다. 그리고 이런 기부자들의 개인정보를 보관하기도 한다. 잘 드러나지 않았을 뿐 꽤나 돈이 있을 수도 있고, 부유한 사람들의 개인정보를 가지고 있을 경우도 제법 있다는 것이다.

또, 문화 기관이 사이버 공격자들의 궁극적인 표적이 아닐 때도 많다. 원래 다른 곳을 노렸는데 엉뚱하게 보안이 허술한 문화 예술 기관이 당하는 경우도 있고, 해당 기관을 통해 다른 기업이나 개인을 노리려고 하는 경우도 있다. 사이버 보안 업체 엑사빔(Exabeam)의 CISO인 타일러 파라(Tyler Farrar)는 “문화 단체나 비영리 기관은 공격 흔적을 감추려는 사람들이 사용하는 우회로서 피해를 입을 때가 많다”고 지적한다. “예를 들어 주요 기부자들을 노리기 위해 공격할 수도 있지요.”

하지만 이런 이론들은 아직까지 다 추측이자 보편적인 이야기일 뿐이다. 메트로폴리탄오페라의 공격에 대해서는 아직 정확히 밝혀낸 바가 없다. 다만 그 이유가 무엇이든 “사이버 공격의 피해자로 어울리지 않는 사람이나 단체도 얼마든지 공격에 당할 수 있다”는 사실이 드러났다는 게 로펌인 홀부스스미스(Hall Booth Smith)의 파트너 리차드 셰이니스(Richard Sheinis)의 설명이다. “지금 시대에는 정말로 ‘누가 나 같은 사람(회사, 기관)을 공격하겠어?’라는 생각이 맞지 않습니다. 이러한 현실을 인정하는 것부터가 보안의 시작입니다.”

사이버 보안 업체 태니엄(Tanium)의 엔드포인트 보안 전문가 멜리사 비쇼핑(Melissa Bischoping)은 “코로나로 인해 많은 문화 단체들이 사실상 활동을 할 수 없었다”며 “IT 기술이나 보안 체제를 강화하는 데 들어가는 자원이 부족했을 것”이라고 짚는다. “인력을 강화할수도, 필요한 솔루션을 제대로 구매할 수도 없는 상황인 곳이 많을 겁니다. 정지된 문화 활동에 다시 활력을 불어넣는 것에 모든 역량을 집중해도 모자랄 때죠. 그렇기 때문에 사이버 공격자들에게는 쉬운 표적이 되고 있는 것이고요.”

누구라도 당할 수 있는 세상, 사이버 공격에 대비하기
그렇다면 비영리 단체나 문화 시설처럼 IT와 보안 분야에 자원을 할당하기 힘든 곳에서는 어떻게 해킹 공격에 대비해야 할까? 셰이니스는 “사이버 공격을 예방하는 비용은, 사이버 공격에 당한 후 처리하는 비용에 비해 훨씬 낮은 게 맞다”며 “모든 기업들이 보안에 대한 투자를 많이 망설이는데, 비용의 면에서 미리 예방하는 게 현명한 투자라는 것을 반드시 기억해야 한다”고 강조한다.

파라는 “운영진들이 보안을 진지하게 생각하지 않으면 비영리 단체나 문화 예술 조직에서 보안 강화 프로젝트를 진행한다는 게 사실상 불가능해 보인다”는 입장이다. “그러므로 보안 담당자나 IT 담당자는 제일 먼저 그런 운영진들을 끝없이 설득하는 것부터 해야 합니다. 왜 보안이 중요한지, 보안을 소홀히 했을 때 어떤 일이 일어날 수 있는지, 계속해서 알려야 합니다. 메트로폴리탄오페라에서 일어난 일들을 사례로 가져오는 것도 나쁘지 않습니다.”

예방이 더 저렴한 투자라고는 하지만 사건이 발생한 후의 대응에 대해서도 투자해야 하는 건 변함이 없는 사실이다. 모든 사건을 항상 예방할 수는 없기 때문이다. 즉 탐지와 대응이라는 보안의 또 다른 측면도 투자시 고려해야 한다는 뜻이다. 지나치게 예방에만 집중하다가 실제 사건이 터졌을 때 아무런 대응을 하지 못한다면 예방에 대한 투자는 모두 헛것이 되어 버린다. 이런 모든 것들을 문화 예술 조직이 스스로 해결할 수 없다면 대행 업체와 파트너십을 맺는 것도 좋은 생각이다.

존슨은 “의료 기관들도 비슷한 전철을 밟았다”고 말한다. “의료 기관은 의료학적으로는 엄청난 전문가들이 밀집되어 있는 장소입니다. 모든 투자가 의료와 관련된 곳으로만 이뤄지다시피 합니다. 네트워크나 기술은 빠르게 디지털화 되어가고 있지만 투자는 오로지 의학 쪽으로만 행해졌습니다. 그러다보니 보안이 약해졌고, 그래서 지금까지도 병원은 각종 사이버 공격에 속수무책으로 당합니다. 이제 조금씩 보안에 대한 이해도가 높아져 투자를 하고 있는데요, 미리 했으면 당하지 않았을 수 있습니다. 문화 예술 분야가 이 전철을 밟지 않아도 됩니다.”

IT 구인 구직자 플랫폼 사이브러리(Cybrary)의 수장 데이비드 메이너(David Maynor)는 “문화 예술 계통의 사람들이 사이버 보안 업계와 좀 더 교류해야 할 때”라고 지적한다. “다른 모든 산업에서는 이미 수년 전부터 보안 강화와 사고 예방을 위한 기본적인 수칙들이 수립되고, 산업 내 종사자들에게 배포됩니다. 교육도 이뤄지고 수칙들도 매번 최신화 되죠. 보안과 관련된 활동들이 산업 단위로 이어지고 있는 게 이제는 보통인데, 아직 문화 예술 분야는 그렇지 않습니다. 따라잡아야 할 것입니다.”

글 : 캐리 팔라디(Carrie Pallardy), IT 칼럼니스트
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>