사이버 위협, 핵티비즘, 사이버 스파이 활동이 급증하면서 파리 올림픽은 역대 최대 규모 사이버 보안 리스크의 중심지가 될 것으로 전망되고 있다. 주의해야 할 사항과 대책을 소개한다.
전 세계 선수들이 금메달을 놓고 경쟁하는 가운데 사이버 범죄자들은 이를 해킹, 공격, 악용하기 위한 계획을 세밀하게 조정하고 있다. 2024 파리 올림픽에는 사상 최대의 사이버 보안 리스크가 도사리고 있을 가능성이 높다.
IDC 유럽 보안 서비스 리서치 매니저인 리처드 서스턴은 “최근 몇 년 동안 사이버 범죄와 위협이 급증했다. 이번 올림픽은 스포츠뿐만 아니라 지구상에서 가장 큰 이벤트다. 따라서 다양한 이유로 공격자들의 표적이 될 것”이라고 말했다.
파리 올림픽의 네트워크 인프라 서비스 기업인 시스코(Cisco)에 따르면 코로나19로 인해 연기된 2021년 도쿄 올림픽의 사이버 공격은 4억 5,000만 건에 달했다. 시스코는 파리 올림픽과 패럴림픽을 겨냥한 공격이 8배 이상 증가할 것으로 예상했다.
올림픽에 앞서 발표된 IDC 연구 보고서는 “2024 파리 올림픽은 역사상 사이버 혼란의 가능성이 가장 높은 이벤트가 될 것”이라고 밝히면서 복잡한 위협 환경과 위협 행위자들이 공격을 실행하기 가장 쉬운 환경을 갖춘, ‘연결성이 역대 최대인 올림픽’이라고 언급했다.
생성형 AI 시대의 첫 번째 올림픽인 만큼 이런 환경은 대부분 인공지능에 의한 결과다.
AI 위협 및 도구
생성형 AI는 이미 올림픽과 관련해 정교한 명예 훼손 캠페인에 사용됐다. 러시아의 허위 정보 집단인 스톰1679는 지난해 톰 크루즈의 딥페이크가 등장하는 AI 생성 동영상을 제작했다. 2013년 개봉한 액션 영화 ‘백악관 최후의 날(Olympus Has Fallen)’을 패러디한 ‘올림픽 최후의 날(Olympics Has Fallen)’ 영상은 파리 올림픽을 앞두고 국제올림픽위원회(IOC)를 비방하기 위해 크루즈의 이미지와 목소리를 합성했다.
인텔471의 수석 인텔리전스 분석가인 애슐리 제스는 사이버 범죄자들이 올림픽 전후로 멀버타이징과 SEO 중독 공격을 위해 AI를 무기화(weaponize)하고 있다고 경고했다. 그는 “최근 누군가 챗GPT를 사용해 검색 엔진을 최적화하는 웹사이트 구축 방법을 공유해 악성 웹사이트를 검색 결과 상단에 노출시켰다. 이 방법은 수백 개의 웹사이트를 동시에 활용하고 있었다”라고 밝혔다.
이 AI 기반 전술은 가짜 올림픽 티켓 웹사이트를 온라인 검색 상단에 노출시키는 데도 사용될 수 있다고 제스는 덧붙였다. 티켓 사기를 막기 위해 올림픽 조직위는 합법적 티켓 웹사이트 한 곳을 지정했다. 그러나 6월까지 프랑스 당국이 웹상에서 적발한 사기성 올림픽 티켓 사이트는 총 338곳이었다.
핵티비즘과 사이버 스파이 활동
사이버 범죄자들은 올림픽을 주제로 한 이메일과 웹사이트를 클릭 미끼로 삼아 피싱이나 랜섬웨어 공격 등 금전적 이득을 취하는 공격을 감행하지만, 핵티비스트들은 정치적, 사회적 명분을 갖고 파리 올림픽을 노릴 수 있다. 현재 우크라이나와 가자 지구의 지정학적 분쟁으로 인해 파리 올림픽은 핵티비스트의 공격에 특히 취약한 상황에 놓일 가능성이 있다.
캐나다 사이버 보안 센터(CCCS)의 책임자 사미 쿠리는 “핵티비스트는 주로 개최국이나 조직을 곤란하게 하기 위해 인프라를 대상으로 웹사이트 훼손이나 서비스 거부 공격을 할 가능성이 높다. 수십억 명이 올림픽을 시청하기 때문에 그들은 이 기회를 이용할 것”이라고 경고했다.
그는 또한 “핵티비즘은 올림픽 인프라 공격에만 그치지 않을 수 있다. 파리 올림픽의 맥락에서는 프랑스에 대한 공격일 수도 있지만 우크라이나를 지지하는 다른 국가와 정부에 대한 공격일 수도 있다”라고 말했다.
2016년 열린 리우데자네이루 올림픽 당시 해킹 단체인 ‘어나니머스(Anonymous) 브라질’의 디도스 공격으로 여러 브라질 정부 웹사이트가 다운됐는데, 이는 경찰과 군의 리우 빈민가 장악에 반대하는 디지털 항의 시위였다.
올여름 파리는 국가가 후원하는 사이버 스파이 활동의 주요 표적이 되고 있다. 이는 핵티비즘과 마찬가지로 정치적 동기를 가지지만, 특정 정부의 조정, 자금 지원 또는 제재를 받는다는 점이 다르다. CCCS는 지난 5월 올림픽 사이버 스파이 활동의 위험성에 대해 공지하면서, 우크라이나 침공 이후 러시아가 IOC와 국제축구연맹(FIFA)을 비롯한 여러 국제 스포츠 단체로부터 금지 조치를 받은 것이 보복성 사이버 스파이 활동을 부추길 수 있다고 지적했다.
리우 올림픽에서도 벌어졌던 사이버 스파이 활동은 제임스 본드 영화에서나 나올 법한 양상이었다. 당시 세계반도핑기구(WADA)의 관계자가 리우 호텔의 와이파이를 이용해 WADA 데이터베이스에 로그인하자 해커들은 그 로그인 정보를 훔쳤다. 몇 주 후 러시아 사이버 스파이 그룹 팬시베어가 미국 체조 선수 시몬 바일스와 테니스 스타 비너스, 세레나 윌리엄스 등 리우 올림픽에 출전한 선수 125명 이상의 WADA 기밀 의료 기록을 공개했다.
경기 보호
프랑스 정보보안청(ANSSI)은 파리 올림픽의 사이버 안전을 지키기 위한 대대적인 작업을 감행하고 있다. 2023년 중반부터 정부, 보안 및 스포츠 생태계 전반의 여러 이해관계자와 함께 인식 개선 세미나와 위기 계획 훈련을 진행했다. IDC 보고서에 따르면 파리 올림픽 사이버 보안 서비스 및 운영은 “올림픽 전용 SOC뿐만 아니라 전 세계 최대 17개 SOC에서 제공될 수 있다”라고 밝힌 에비던(Eviden, 올림픽 주요 IT 통합업체인 아토스의 사업부)이 관리하고 있다.
이는 2020년 도쿄 올림픽을 앞두고 일본 사이버 보안부 장관 사쿠라다 요시타카가 했던 실언과는 사뭇 다른 모습이다. 그는 올림픽 개최 2년 전까지도 컴퓨터를 사용하지 않았고 USB 드라이브의 작동 방식에 대해 잘 모른다고 인정한 바 있다.
수년간의 계획에도 불구하고 어떤 일이든 일어날 수 있다. 2018년 평창 동계 올림픽 직전에는 러시아 국가가 후원하는 해커들이 올림픽디스트로이어(Olympic Destroyer)라는 이름의 멀웨어 공격을 감행했다. 올림픽 공식 웹사이트와 경기장 와이파이를 마비시키고 방송 운영과 현장 뉴스 미디어 센터에 혼란을 일으켰으며, 일부 관중은 입장권을 출력할 수 없어 개막식장에 입장하지 못했다.
파리 올림픽은 이미 사이버 재난을 겪을 뻔했다. 지난 19일 크라우드스트라이크 업데이트 결함으로 전 세계 일부 은행, 항공사, 미디어 매체가 마이크로소프트 기반 시스템에서 장애를 겪었기 때문이다. 하지만 파리 올림픽 조직위는 올림픽 운영에 영향이 거의 없었으며 일부 유니폼과 인증서를 전달하는 데 그쳤다고 밝혔다.
서드파티 리스크
크라우드스트라이크 사태는 악의적인 사이버 공격이 아니었지만, 올림픽에서 서드파티 리스크 문제를 다시 한번 부각시켰다. 올여름 올림픽을 직접 겨냥한 사이버 공격을 성공적으로 막아낸다고 해도, 데이지 체인 어딘가에서 악의적인 사이버 공격으로 인해 IT 벤더 중 하나가 피해를 입는다면 파리 올림픽은 여전히 차질을 빚을 수 있다.
퍼듀 대학교의 정보 보증 및 보안 교육 연구 센터(CERIAS) 명예 이사인 유진 스패포드는 “기본적으로 올림픽 통신이나 보안 또는 주문 처리를 위한 인프라와 클라우드의 일부에 서드파티 소프트웨어가 있다. 이런 소프트웨어가 다운되거나 공격을 받으면 파급 효과가 매우 클 수 있다”라고 지적했다.
스패포드는 가장 즉각적인 리스크가 “어떤 식으로든 파리 또는 올림픽과 관련된 조직의 IT 인프라’에 있다고 말했다. 여기에는 올림픽의 직접 공급업체와 파트너뿐만 아니라 1,000만 명에서 1,500만 명으로 추산되는 파리 방문객을 대상으로 한 호텔 및 기타 관광 사업체까지 포함된다.
IDC의 서스턴은 파리 올림픽이 프랑스 파리나 올림픽 자체의 경계를 넘어 사이버 리스크의 수준을 높인다는 점을 전 세계 사이버 보안팀이 인식해야 한다고 말했다. 올림픽을 노린 피싱, 멀웨어, 랜섬웨어가 확산될 뿐만 아니라 모든 국가와 업계의 사이버 보안팀이 여름 휴가를 떠나며 인력이 부족할 수 있다고 말했다. 게다가 TV와 소셜 미디어에서 24시간 올림픽을 보도하면 현업 직원이 사이버 사기와 해커를 피할 수 있는 기회가 줄어들 수 있다.
서스턴은 “직원들이 올림픽 관련 스트리밍을 하거나 업무와 동시에 웹 커버리지를 확인할 수도 있다. 이런 순간에 보안이 느슨해진다. 그렇기 때문에 조직은 올림픽 기간 동안 변화할 수 있는 위협을 인지하고 있어야 한다”라고 조언했다.
파리 올림픽이 큰 사이버 보안 문제없이 치러지더라도 뒤에서 일하는 사람들이 시상대에 오를 일은 없다. 하지만 침묵이야말로 진정한 금이 될 수 있다.
SOC팀이 할 수 있는 일
사이버 리스크가 높은 파리 올림픽 기간 동안 전 세계 SOC팀을 위한 팁은 다음과 같다.
• 지정학적 이벤트를 모니터링하고, 이런 이벤트로 인해 조직(또는 파트너 및 공급업체)이 올림픽 관련 핵티비스트 사이버 공격의 표적이 돼 IT 시스템에 파급 효과가 미칠 수 있음을 인지해야 한다고 인텔471의 제스는 말했다.
• IDC의 서스턴은 기업이나 조직이 올림픽 공급망에서 중요한 역할을 하는 기업과 관계를 맺고 있다면 사이버 위협에 더욱 주의를 기울여야 한다고 조언했다.
• 퍼듀 대학의 스패포드는 백업 계획, 대체 서비스, 대체 서버, 핫 스페어에 대한 모의 훈련이나 기타 테스트를 수행해 의도한 대로 작동하는지 확인해야 한다고 말했다.
• 스패포드는 조직 전체에 올림픽 관련 피싱, 클릭 미끼, 사기 및 사기 캠페인과 그 수법에 대한 인식을 개선해야 한다고 덧붙였다.
• CCCS의 쿠리는 인터넷에 연결된 인프라와 운영 체제가 최신 상태이고 패치가 돼 있는지, 모든 직원이 MFA를 통해 강력한 비밀번호를 사용하고 있는지 확인해야 한다고 조언했다.
• 공급업체나 파트너로서 올림픽과 직접 연관된 회사일 경우 사이버 사고는 파리 올림픽이 열리는 시간대에 발생할 가능성이 높다. 따라서 대회 기간 중 야간이나 주말에 경계를 늦춰선 안 된다. dl-ciokorea@foundryco.com
