루브르·핵 코드·전화 해킹… 어이없는 비밀번호 실수들

[천지일보=이솜 기자] 10분도 채 안 돼 절도범에게 1500억원 규모의 보석을 털린 프랑스 루브르 박물관의 보안 비밀번호는 ‘루브르(Louvre)’였다는 사실이 최근 알려졌다. 절도범들이 박물관의 전산 시스템을 직접 공격했다는 징후는 없지만 비난은 이어지고 있다.

현재 보석 절도 사건의 범인 대부분은 체포됐으나 도난당한 보석 대부분은 여전히 행방이 묘연하다. 도주 중에 떨어뜨린 한 점만 회수된 상태다.

최근 프랑스 일간지 리베라시옹의 탐사보도 부서인 체크뉴스는 2014년 이후 루브르에서 실시된 일련의 보안 감사 보고서를 입수, 보도했다. 이 문서들은 지난 10년 동안 박물관의 정보 보안 수준이 매우 열악했음을 보여주며 이 기관이 보안을 심각하게 여기지 않았다는 점을 시사한다.

체크뉴스에 따르면 루브르 박물관은 기본적인 보안 원칙조차 지키지 않았다. 박물관의 영상 감시 서버 비밀번호는 단순히 ‘루브르’였다. 또 프랑스 방산업체 탈레스가 제공한 소프트웨어 플랫폼의 비밀번호는 ‘탈레스’였던 것으로 드러났다.

보안 전문가들이 루브르의 전산 시스템을 침투 테스트한 결과 이러한 쉽게 추측 가능한 비밀번호로 인해 침입이 손쉽게 이뤄졌으며 그 비밀번호를 이용해 원래는 접근이 제한돼야 할 다른 시스템에도 진입할 수 있었다고 한다. 게다가 침투 테스트 요원들은 출입증 관리 시스템에도 접근해 개인별 출입 권한을 임의로 수정할 수 있었다.

2017년에 실시된 두 번째 보안 감사에서도 비슷한 문제가 확인됐다. 루브르 네트워크 내에 마이크로소프트의 지원이 종료된 윈도2000과 윈도XP 운영체제가 여전히 사용되고 있었던 것이다. 그보다 최근인 2024년 여름 작성된 후속 보고서에서는 영상 감시 시스템이 보안 업데이트가 중단된 윈도서버2003에서 여전히 구동 중이라는 사실도 밝혀졌다.

그런데 이처럼 예측 가능한 비밀번호는 놀라울 만큼 흔하다.

9일(현지시간) CNN 방송은 미국과 영국에서 기술적 실수와 악명 높은 ‘비밀번호 실수’ 사례들을 보도했다.

◆기본 비번 안 바꿔 피해 입어

전 미 공군 발사요원이자 핵 정책 전문가 브루스 블레어에 따르면 1962년부터 1970년대 중반까지 미국의 핵무기 발사 코드는 놀랍게도 ‘0’ 여덟 개였다.

당시 ‘2인 승인 규칙’이란 안전장치가 있었지만 블레어는 이 규칙이 자주 무시됐다고 밝혔다. 근무 교대조가 따로 잠자는 동안 단 한 명이 모든 권한을 쥐는 경우도 많았다는 것이다. 결국 전략공군사령부는 상급 기관에서 고유한 활성 코드를 전송하는 절차를 추가해 보안을 강화했다. 블레어는 “이제는 스위치 하나만 올려도 되는 시대는 끝났다”고 말했다.

2021년 5월에는 미국 최대 송유관 중 하나인 콜로니얼 파이프라인이 사이버 공격으로 마비됐다. 미국 연방수사국(FBI)은 당시 공격 배후가 러시아에 기반을 둔 것으로 알려진 범죄 조직 ‘다크사이드’라고 밝혔다.

회사 측은 해커들이 원격 접속용으로 사용되던 폐쇄된 가상사설망(VPN) 계정의 유출된 비밀번호를 통해 네트워크에 접근했다고 설명했다. 해당 계정은 다중 인증(MFA)이 적용되지 않았던 것으로 드러났다.

공격자들이 비밀번호를 어떻게 확보했는지는 불분명하지만 당시 최고경영자(CEO) 조지프 블런트는 미 상원 청문회에서 “그 비밀번호는 ‘Colonial123’ 같은 단순한 것이 아니라 복잡한 비밀번호였다”고 강조했다. 회사는 결국 440만 달러의 몸값을 지불한 후에야 가동을 재개할 수 있었다. 이후 FBI는 다크사이드가 갈취한 자금 일부를 회수했다.

2023년 6월, 영국 노샘프턴셔주의 운송회사 KNP는 직원의 취약한 비밀번호를 추측한 해커 집단 ‘아키라(Akira)’의 공격을 받았다.

해커들은 내부 시스템을 암호화하고 몸값을 요구했으나 회사는 이를 지불하지 못했다. 결과적으로 모든 데이터가 손실되고 158년 된 기업은 파산했다. 폴 애벗 KNP 대표는 BBC에 “비밀번호를 유출한 직원에게 그 사실을 알리지 않았다. 당신이라면 알고 싶겠는가?”라고 말했다.

영국 연예인 휴 그랜트, 해리 왕자, 시에나 밀러 등은 모두 언론의 전화 해킹 피해자였다.

언론사 기자들과 사설 탐정들이 단순한 기본 음성사서함 코드(1111, 4444, 1234 등)를 이용해 유명인의 음성 메시지에 접근한 것으로 드러났다. 이들은 휴대전화에 기본으로 제공되는 음성 메시지 비밀번호를 변경하는 사람이 거의 없을 것이라는 가정 하에 조사를 진행한 것으로 알려졌다.

이 사건은 2011년 뉴스 오브 더 월드의 폐간으로 이어졌으며 이후 영국 언론의 윤리와 관행을 조사하는 공식 조사가 시작됐다.

현재 영국 보수당 대표이자 야당 지도자인 케미 바데노크는 2018년 과거 해킹 전력이 있다고 고백했다. 그는 10년 전 노동당 상원의원 해리엇 하먼의 공식 웹사이트를 해킹해 친보수당 성향의 문구로 바꿨다고 밝혔다. 당시 비밀번호는 놀랍게도 ‘해리엇 하먼’이었다.

바데노크 대표는 당시 국회의원이 아니었으며 이 일을 “어리석은 장난”이었다며 사과했다.

영국 개인정보보호위원회(ICO)에 따르면 2021년 8월부터 2022년까지 해커들이 영국 유권자 명부가 저장된 선거관리위원회의 컴퓨터에 침입했다.

해커들은 합법적인 사용자 계정을 위장해 접근했고 이는 보안 업데이트 미설치와 비밀번호 정책 미이행 등 기본 보안 수칙이 무시된 결과였다.

조사 과정에서 ICO는 이메일 계정 178개가 IT 부서가 초기 설정한 기본 비밀번호와 동일하거나 유사한 비밀번호를 사용 중이었다고 밝혔다.

선거관리위원회는 공식적으로 경고를 받았다. 데이터 오용에 대한 증거는 보고되지 않았다.