프랑스 파리 루브르 박물관이 지난달 가구용 리프트를 이용한 대담한 절도 사건의 피해를 입은 가운데, 프랑스 현지 언론 보도에 따르면 박물관은 10년 넘게 노후 소프트웨어를 최신화하지 못한 상태였다. 영상 감시 시스템을 제어하는 소프트웨어도 포함돼 있었다.

2층 창문을 통해 발생한 절도

절도범들은 10월 19일, 2층 창문을 통해 진입해 보석 8점을 훔쳤다. 프랑스 문화부는 창문과 진열장에 설치된 경보 시스템이 정상 작동했다고 밝혔다. 경찰은 3분 이내에 현장에 도착했으며, 사건 이후 박물관 전반의 보안 체계가 전면 재점검됐다.

문화사무감찰국(IGAC)은 지난주 1차 조사 결과를 제출했고, 이에 따라 문화부 장관은 보안 거버넌스 개편, 건물 외곽 카메라 추가 설치, 연말까지 모든 보안 프로토콜과 절차의 긴급 업데이트를 권고했다. 세부 보고 내용은 비공개 상태다.

10년 전부터 드러난 IT 보안 문제

프랑스 일간지 리베라시옹(Libération)이 입수한 비공개 감리 보고서에 따르면, 루브르의 IT 보안 문제는 이미 2014년과 2017년에도 지적된 바 있다.

2014년 프랑스 국가정보시스템보안국(ANSSI)이 실시한 감리 당시, 루브르는 여전히 윈도우 2000을 사용하고 있었다. 그러나 마이크로소프트는 이미 2010년 7월에 해당 운영체제의 보안 업데이트를 중단한 상태였다.

보고서는 또한 비디오 감시 서버 비밀번호가 ‘LOUVRE’, 감시 애플리케이션 비밀번호가 ‘THALES’로 설정돼 있었다고 지적했다.

ANSSI는 즉시 복잡한 비밀번호 사용, 지원 종료 소프트웨어의 업그레이드, 보안 취약점 패치 적용을 권고했다. 하지만 루브르는 이러한 권고를 따랐는지에 대해 답변하지 않았다고 리베라시옹은 전했다.

일부 권고사항은 명백히 지켜지지 않았다.

2017년에는 프랑스 고등보안사법연구소(INHESJ)가 추가 감사를 진행했다. 보고서는 “일부 워크스테이션이 윈도우 2000과 윈도우 XP를 사용 중이며, 백신 업데이트 부재, 비밀번호 미설정, 세션 잠금 미적용 등으로 보안이 사실상 무력화된 상태”라고 지적했다.

윈도우 XP는 2014년에 공식 지원이 종료됐다.

8개 보안 애플리케이션이 업데이트 불가 상태

리베라시옹은 이후 루브르가 발행한 입찰 공고 및 공공조달 문서를 추가 분석했다.

루브르는 20여 년간 아날로그 및 디지털 감시 시스템, 침입 탐지, 출입 통제 시스템을 병행하며 기술 부채를 누적해 왔다. 각 시스템은 별도의 서버와 독자적 애플리케이션을 사용했고, 시간이 지나면서 일부는 지원 종료 상태가 됐다.

탈레스(Thales)는 2003년 루브르에 ‘사티(Sathi)’ 시스템을 공급했지만, 2019년 2월 이후 해당 시스템의 지원을 중단했다. 그럼에도 불구하고 올해 중반까지 루브르는 업데이트 불가 소프트웨어 목록에 사티 관련 8개 프로그램을 포함하고 있었다.

2021년에도 루브르는 여전히 마이크로소프트 윈도우 서버 2003에서 사티를 운영 중이었다. 해당 운영체제는 2015년에 지원이 완전히 종료됐다.

직접 연관은 없지만, 구조적 보안 실패 드러나

이번 절도 사건이 루브르의 장기적인 소프트웨어 관리 문제와 직접 관련이 있다는 증거는 없다. 그러나 문화사무감찰국(IGAC)의 최근 보고서는 20년간 누적된 침입 위험 과소평가, 감시 체계 미비, 보안 절차 부재 등 다수의 결함을 지적했다.

결국, 루브르는 구시대적 시스템 운영이 실질적 보안 위협으로 이어질 수 있다는 현실을 마주하게 됐다.

dl-itworldkorea@foundryco.com