사이버포렌식전문가협회(www.cfpa.or.kr)

출처 : http://www.boannews.com/media/view.asp?idx=57454&page=1&mkind=1&kind=1


2012 런던 올림픽은 디도스 공격, 작년 리우는 선수 의료기록 해킹
베팅 수익 또는 모국 승리 목적으로 향후 올림픽서 해킹 심화될 듯


[보안뉴스 오다인 기자] 세계 종합 스포츠 대회 올림픽(Olympic Games)이 향후 심각한 사이버 공격에 직면할 것이라는 전망이 나왔다. 미국 캘리포니아 버클리 대학교 장기 사이버 보안 센터(CLTC: UC Berkeley Center for Long-Term Cybersecurity)는 이번 주 연구 보고서를 발표하면서 올림픽을 겨냥한 사이버 공격을 탐지하는 것도 더 어려워질 것이라고 바라봤다.

미국의 경우, 2028년 LA 하계 올림픽을 앞두고 있다. 미국 정부는 올림픽 등 대규모 행사들에 대한 사이버 위협을 이미 고려하는 중이다. 2028 LA 올림픽 조직위원회는 CLTC 보고서가 나오는 데 힘을 보태기도 했다.


우려의 목소리가 커지는 건 당연하다. 2008년 베이징 올림픽 당시, 보안 관계자들은 매일 1,100만에서 1,200만 건의 경고를 발행했는데 그 중 약 6건은 즉시 해결해야 할 위협으로 분류됐다. 2012년 런던 하계 올림픽 땐, 6건의 대형 보안 사고가 터졌는데 5건이 디도스와 연관된 공격이었으며 올림픽 최고정보책임자(CIO)의 이목을 끌었다. 작년 리우 올림픽이 끝나갈 무렵, 러시아 해커들은 세계반도핑기구에서 선수들의 의료 기록을 빼돌리기도 했다.

올림픽을 겨냥한 위협 대다수는 누군가의 명성이나 재산에 대해 피해를 입히려는 목적에서 가해진다. 사이버 범죄자들은 올림픽 티켓 사기를 저지르고, 웹사이트를 조작하며, 결제 정보를 빼돌리는 데다 관리 시스템을 공격한다. 그러나 이런 것보다 훨씬 더 심각한 공격이 앞으로 나타날 것으로 보인다고 CLTC 상임이사 벳시 쿠퍼(Betsy Cooper)는 경고했다. 쿠퍼는 이번 주 캘리포니아 버클리 대학교에서 열린 패널 세션에서 CLTC의 연구 결과를 발표했다.

심화하는 위협들
과거 스포츠 행사를 겨냥한 공격들은 대개 경기장의 IT 시스템이나 티켓 판매 및 운영 등에 초점을 맞췄지만 올림픽이 직면할 미래의 사이버 공격들은 8가지 핵심 영역에서 일어날 것이라고 쿠퍼는 지적했다.

이 영역들은 1)테러리즘 및 납치를 도모하는 것 2)관중을 공황 상태로 만들어 우르르 몰려가게 만드는 것 3)점수 시스템을 조작하는 것 4)다시보기 장치에 사진과 비디오를 바꿔치기 하는 것 5)선수단의 급식 시스템을 조작하는 것 6)모니터링 장치를 해킹하는 것 7)올림픽 엔트리 시스템을 조작하는 것 8)교통 시스템을 방해하는 것 등이다.

쿠퍼는 스포츠 경기에서 인간 심판보다 기술을 사용해 결정하고 이에 의존하는 사례가 많아지고 있다는 점을 지적하면서 “기술로 인해 인간의 결정이 무시되는 사례가 있다는 것을 알고 나서 놀랐다”고 말했다.

쿠퍼는 테니스 경기에 사용되는 전자 판독 기술 ‘호크아이(Hawk-Eye)’를 언급하면서 그 의존성을 사례로 들었다. 테니스닷컴(Tennis.com)이 보도한 바에 따르면, 프로 테니스 협회(Association of Tennis Professionals)는 21세 이하 선수들만 출전하는 ‘차세대 파이널(Next Gen Finals)’ 대회에 호크아이 기술을 완전히 적용할 계획이다.

쿠퍼는 “심판의 판정을 돕는 데 점점 더 많은 기술이 사용되고 있다”고 짚었다. 그만큼 해커들이 시스템에 침입하고 점수 결과를 바꿔놓을 수 있다고 덧붙였다. “더 자동화될수록 공격의 매개가 더 많아진다는 뜻입니다.”

또한, 쿠퍼는 이런 유형의 공격들이 어떤 선수가 올림픽에서 금메달을 받을지 결정할 수 있을뿐더러 해킹 탐지도 더 어렵게 한다는 점에서 위험하다고 경고했다.

선수의 경기 과정에 전자 판독기가 여러 번 개입된다면, 해커는 몰래 침투한 뒤 결과를 바꿔놓을 수 있다. 이겼으면 하는 선수에게 유리하도록, 딱 이길 수 있을 만큼만 결과를 바꿔놓는 것이다.

게다가 선수들은 물리적인 피해를 입을 수도 있다. 사이버 범죄자들이 자동화된 급식 시스템을 조장할 경우, 단백질 음료처럼 개별 운동선수에게 할당된 특정 영양소가 조작될 수 있는 것이다. 어느 올림픽 수영 선수가 글루텐에 알레르기가 있다고 해보자. 사이버 범죄자든 정부 지원을 받는 해커든 그 누군가가 이 선수에게 글루텐이 포함된 단백질 음료를 할당하도록 시스템을 조작한다면, 피해 선수는 경기도 치러보지 못한 채 생사를 넘나들어야 할 수 있다.

올림픽 사이버 보안 위원이자 스포츠 엔터테인먼트 연합 브로드스톤 그룹(Broadstone Group)의 위원장인 더그 아놋(Doug Arnot)에 따르면, 특정 팀이나 선수에 베팅하는 사람들이 승부를 조작해 돈을 벌려는 목적에서 이런 공격을 펼칠 수 있다. 아니면, 모국의 팀이 이기기를 바라는 마음으로 정부 지원을 받거나 ‘애국적인’ 해커들이 이 같은 공격을 펼칠 것으로 보인다.

올림픽에서 5번 메달을 딴 수영선수이자 올림픽 위원인 미시 프랭클린(Missy Franklin)은 운동선수 중에서 물리적인 공격과 사이버 위협에 대해 가장 먼저 우려했던 사람이 자신이라고 밝혔다. 사이버 공격이 경기 결과까지 바꿔놓을지 모른다고 걱정했다는 것이다.

프랭클린은 수영경기에서 가장 먼저 벽을 터치하는 선수를 판단할 때 기술이 사용된다는 점을 지적하면서 “이런 공격은 매우 위협적이다”라고 말했다.

그러나 프랭클린은 수영선수들이 턴을 할 때나 부정 출발을 판단하는 건 인간 심판이라고 덧붙였다.

경기를 경기장 수준에 맞추기
CLTC는 올림픽 경기를 겨냥한 공격을 최소화하기 위해 몇 가지 권고를 발표했다. 그 중 한 가지는 새로운 기술을 추가할 필요가 있는지 질문하고, 그 기술에 대한 장단점 논의를 확대하는 것이다. 새 기술의 도입은 공격당할 구멍을 키우는 일과 같기 때문이다.

모든 기술에 대해 인간 심판을 예비로 배치하는 것도 권고 중 하나다. 경기에 사용된 기술로 결과가 올바르게 나왔는지 판단할 능력을 인간 심판에게 부여해야 한다.

또한, 올림픽 스태프나 위원 등 관계자 전원에세 피싱 같은 사회공학적 공격 등에 대비해 사이버 보안 트레이닝을 진행하는 것도 권고됐다.
[국제부 오다인 기자(boan2@boannews.com)]