[헤럴드경제=김지헌 기자] 전세계에서 가장 유명한 박물관인 ‘루브르 박물관’의 보안 비밀번호는 무엇일까요? 바로 ‘루브르’(Louvre)였다고 합니다. 정말 놀라운 일인데요. 이 단순 비밀번호 탓에 최근 아마추어 절도범에게 1500억원 규모의 왕실 보석을 실제로 털리는 일이 벌어졌습니다. 절도 용의자는 현재 4명 체포됐지만 도난당한 보석은 아직 회수하지도 못했죠. 최근 영국 일간 더타임스에 따르면 루브르 박물관의 보안 영상 시스템 비밀번호는 누구나 쉽게 우체국 예금담보대출 추측할 수 있을 만큼 단순한 ‘루브르’, 방위산업체 탈레스에 위탁한 또 다른 보안시스템의 비밀번호도 ‘탈레스’(Thales)였다고 합니다. 문자, 숫자, 특수기호를 섞어서 비밀번호를 만드는 요즘의 시스템을 생각할 때 이같이 단순한 비밀번호는 놀랄 노자입니다. 이런 사실은 익명을 요구한 한 루브르 직원이 프랑스 언론과 인터뷰하면서 알려졌습니 is론카드 다. 그런데 이 뿐만 아니었습니다. 일부 보안 설비는 최근까지도 윈도2000과 윈도서버 2003으로 운영돼 왔다고 합니다. 윈도서버 2003은 2015년 7월 14일 기술지원이 중단되기까지 했죠. 2020년 프랑스 정부의 한 보험 추정에 따르면 루브르의 소장품 가치는 ‘520조원’ 규모입니다. 520조원 박물관이 이제는 누가 찾지도 않을 DTI 규제 일부 완화 마이크로소프트(MS)의 노후한 운영체제로 버텨온 것입니다.
루브르에 대한 보안 우려는 과거부터 있었다
더타임스에 따르면 전문가들은 이미 2014년 초부터 루브르에 보안 취약을 경고해왔습니다. 특히 전문가들이 10여년 전부터 비밀번호가 지나치게 사소하고 보안시스템이 노후화돼있다고 경 아파트주택담보대출 고해왔는데도 박물관이 별다른 조처를 하지 않았던 것으로 알려졌습니다. 프랑스 감사원이 2018∼2024년 박물관 운영에 대해 감사한 결과보고서에 따르면 루브르는 새로운 작품을 구입하는 데 예산을 과도하게 편성해온 것으로 나타났습니다. 자연히 보안 강화를 위한 예산은 제대로 편성되지 않았습니다. 보고서에 따르면 감사 대상 기간 루브르는 작품 농협영세민전세자금대출 구입에는 1억500만 유로(약 1500억원) 이상, 전시 공간 리모델링에는 6350만 유로(920억원)를 투입했지만 유지 보수, 안전 기준 충족을 위한 공사에 투입한 비용은 2670만 유로(380억원)에 그쳤습니다. 2004년 마련한 화재 대응 기본계획은 20년이 지난 현재까지 완료되지 않았고, 전시실 내 감시 카메라 설치도 더디게 진행되고 있습니다. 지난해 기준 루브르 전시관 내 감시카메라 설치 비율은 39% 수준밖에 되지 않았습니다. 감사원 감사는 절도 사건이 발생하기 전 진행된 것이지만, 이번 사건과 맞물리면서 보안 허점 논란이 더 거세지고 있습니다. 비판 여론이 비등하자 라시다 다티 문화장관은 로랑스 데카르 루브르 박물관장에게 7일 임시이사회를 소집하라고 지시했다고 합니다.
지난달 19일(현지시간) 프랑스 감식 요원이 세계적으로 유명한 루브르 박물관에서 발생한 절도 사건 현장인 갤러리의 잘려나간 창문과 발코니를 조사하고 있다. [게티이미지]
‘쉬운 비밀번호’, 루브르 박물관만의 문제 아냐
그런데 ‘루브르’라는 쉬운 비밀번호는 그 박물관만의 문제였을까요? 사실 자신의 기관명을 그대로 비밀번호를 쓴 예는 그리 많이 알려진 사례는 아닙니다. 루브르 사례가 유독 눈길을 끄는 이유입니다. 그러나 ‘매우 쉬운 비밀번호’를 설정해 문제가 된 예는 과거부터 꾸준히 지적돼 왔습니다. 소셜 네트워크용 위젯 개발사 ‘록유’는 2009년 12월 데이터베이스가 탈취되면서 약 3260만 건의 계정(이메일·비밀번호 등)이 유출됐었습니다. 조사 결과 해당 데이터베이스에는 비밀번호가 단순하게 저장되어 있었고, 공격자는 이 비밀번호 집합을 공개해 ‘암호 사전(wordlist)’으로 널리 유통시켰습니다. 보안연구자들이 이 유출 집합을 분석한 결과, 123456, password 등 극히 단순한 비밀번호를 널리 사용하고 있었죠. 2016년 가을, 수십만 대의 인터넷 연결 장치(IoT)가 악성코드 ‘미라이(Mirai)’에 감염되면서 전 세계 주요 웹서비스가 대규모 분산서비스거부(DDoS) 공격을 받았습니다. 공격은 가정용·산업용 카메라, 라우터 등 공장 초기 계정·쉬운 비밀번호가 그대로 남아 있는 장비들을 대상으로 했습니다. 미라이는 인터넷을 샅샅이 스캔해 공장초기 계정에 ‘admin, root, 1234’ 등 시도해 장비에 접속했다고 합니다. 비밀번호 관리 앱 기업 비트와든에 따르면, 2022년 기준 가장 많이 유출된 비밀번호는 123456, 123456789, qwerty, password 순이라고 합니다. BBC 등 외신은 영국 국립사이버보안센터(NCSC)가 해킹당한 적이 있는 비밀번호를 분석한 결과, 1위는 2320만개 이상의 계정이 비밀번호로 등록한 ‘123456’이었습니다. 123456에 3개의 숫자를 덧붙인 ‘123456789’는 770만개 이상으로 그 뒤를 이었다고 하죠. 키보드 맨 위의 문자를 순서대로 나열한 ‘qwerty’와 비밀번호를 뜻하는 영단어 ‘password’는 300만개 이상의 계정에서 사용됐습니다. 루브르가 이번에 드러낸 충격적인 보안 실태를 발판삼아 헛점 없는 내부 보안을 새롭게 구축할 수 있을지 관심이 집중되고 있습니다.
> 커뮤니티 > Q&A
