[출처 : MBC 방송 캡처]
세계인의 축제라고 할 수 있는 2018 러시아 월드컵이 어느덧 막바지에 접어 들고 있습니다. 우리나라는 아쉽게도 16강에 진출하지는 못했지만, 마지막 독일전의 짜릿한 승리로 대한민국을 열광하게 만들었습니다. 이러한 큰 대회의 성공적인 개최는 보이지 않는 곳에서 정말 다양한 분야의 전문가가 사고의 방지를 위해 노력한 결과일 것입니다.
[도쿄올림픽 출처 : http://mdesign.designhouse.co.kr]
대회의 성공적인 진행을 위한 철저한 준비에도 불구하고 크고 작은 보안 관련 이슈는 발생하기 마련인데요. 2020년 도쿄 올림픽을 앞둔 일본 역시 올림픽의 성공적인 개최를 위해 다방면의 노력을 하고 있습니다. 이번 글에서는 기존 월드컵 및 올림픽에서 발생한 보안 관련 이슈와 이에 대응하여 도쿄올림픽을 준비하는 IT 기업들에 대해 살펴보려고 합니다.
첫 번째 사건은 2014년 브라질 월드컵에서 일어난 이슈입니다. 당시 국내 KBS 기자들이 AD카드(출입증)를 돌려쓰며 국제적 망신을 당한 적이 있습니다.
큰 대회 일수록 테러 등의 위협은 지속적으로 존재하기 때문에 관제/출입제어는 로컬에서 매우 중요한 이슈입니다. 출입제어를 위해 승인된 관계자 들에게만 출입 확인용 AD카드의 발급이 이루어지며 AD 카드의 불법적인 사용은 엄격히 금지되고 있습니다.
[Fan ID 출처 : https://www.fan-id.ru/index.html 캡쳐]
2018 러시아 월드컵에선 관제/출입제어 강화를 위해 관계자뿐만 아니라 일반 관객들에게도 처음으로 ‘Fan ID 제도’를 도입하였습니다. Fan ID는 관람권 구매 후 별도로 신분 정보가 들어있는 전자 플라스틱 카드를 발급을 받아야 경기장 입장을 할 수 있도록 제한한 제도입니다. 주최측에게는 출입 관제의 편리함을, 관람객에게는 해당 카드에 무비자 혜택 및 교통 특혜를 주면서 1석 2조의 효과를 가져왔습니다.
하지만 이러한 전자 플라스틱 카드의 경우 복제, 유출, 돌려쓰기 등의 보안적 허점에서 자유롭지 못합니다. 그래서 일본에서는 이에 대한 해결 방안으로 도쿄 올림픽의 관제/출입제어를 원활하게 하기 위해 얼굴인식을 사용할 것이라고 하였습니다.(재팬타임즈, 2017년 12월 24일)
[NEC NeoFace : 출처 : https://www.nec.com 캡쳐]
이미 많은 유저들이 스마트폰을 통해 얼굴 인식 시스템을 접해왔습니다. 얼굴 인식 시스템은 애플의 ‘페이스 아이디’를 시작으로 새로이 화두로 떠오른 기술입니다. 도쿄 올림픽 조직위원회는 얼굴 인식 시스템이 테러 위험에 대한 보안 강화 및 ID 도용, 도난 등의 이슈를 해결하고 보안에 의한 출입/관제의 대기시간을 줄일 수 있을 것이라 설명하였습니다. 올림픽 기간 중에 사용할 기술은 NEC(닛폰 전기 주식회사)가 설계하였으며, 2016년 브라질 올림픽 기간에 공항에서 시험적으로 적용한 적이 있습니다. 이 기술은 성형수술을 받은 사람이나 일란성 쌍둥이 조차도 구별할 수 있는 정확한 시스템이라고 <재팬타임즈>는 설명 하였습니다. 도쿄 올림픽에서 얼굴 인식 시스템이 관제/출입제어 측면에서 어떠한 보안적 효과와 편리함을 가져올지 기대됩니다.
[평창올림픽악성코드 출처 : http://www.ahnlab.com/kr/site/securityinfo/secunews/secuNewsView.do?seq=27165 캡쳐]
두 번째 사건은 지난 2월 우리나라에서 열린 평창올림픽에서 발생한 사건입니다. 올림픽 개회식이 열리던 2월 9일 해커의 사이버 공격으로 인해 IPTV 영상 전송과 공식 홈페이지 운영이 일시적으로 중지된 일이 있었습니다. 차후 분석가들의 결과 리포트에 따르면 인터넷서비스 도메인에 접속할 수 있는 수십 개의 계정이 유출되었으며, 악성코드 파일 안에 해당 정보를 삽입하여 공격하는 방식이 사용됐다고 합니다. 또한 올림픽 기간 동안 정부기관을 사칭한 메일에 악성코드가 삽입된 실행프로그램 및 문서가 발송되어 많은 이용자 들에게 피해를 주기도 했습니다.
[CDR 출저 : https://www.jiransecurity.com/products/sanitox 캡쳐]
일본은 2020 도쿄올림픽 개최에 앞서 이러한 위협에 대한 방안을 마련하였습니다. 대표적으로 2015년 10월부터 개인정보보호 강화 및 모든 지자체에 망 분리와 무해화 도입을 의무화 하였습니다. 이 중 악성코드 제거 관련 기술인 ‘콘텐츠 악성코드 무해화’ (CDR(Content Disarm & Reconstruction))라는 기술이 있는데요. CDR은 미국의 정보 기술 연구 및 자문회사인 가트너에서 보안 관련 공격에 대한 대응방안 중 하나로 소개되었습니다. 악성코드를 통한 대부분의 공격은 문서 내에 액티브 콘텐츠를 활성화 시키는 방법으로 이루어집니다. CDR은 문서 내에 숨어있는 액티브 콘텐츠(매크로, 자바스크립트, 플래시, 하이퍼링크, 액티브X 등)를 원천 차단(무해화)시키고 안전한 파일로 재조합 하는 기술을 말합니다. 즉 백신 프로그램들이 탐지하지 못할 수 있는 신, 변종 위협 요소의 싹을 아예 제거하는 방식입니다.
[소프트캠프 출처 : http://www.softcamp.co.kr/bbs/board.php?bo_table=news_2&wr_id=357&bo_page_rows=&period=?]
이번 Japan IT Week Tokyo에 참가한 국내 기업들 중에서도 소프트캠프, 지란지교시큐리티 등이 2020년 도쿄 올림픽 관련 보안 관련 맞춤 전략으로 현지 기업들과 합작하여 CDR 솔루션을 홍보하고 있었습니다.
소프트캠프의 CDR 솔루션인 실덱스(SHIELDEX)는 일본의 망 분리 규정을 준수하는 솔루션으로 이러한 일본의 니즈를 잘 파악하여 좋은 호응을 얻고 있다고 합니다.
지금까지 올림픽/월드컵에서 발생한 보안 관련 이슈와 이에 대응하는 방안에 대해 알아 보았습니다. 전세계의 축제인 만큼 안전 및 보안관련 이슈는 계속 발생하며, 이에 따른 기술에 발전도 계속 이루어 질 것으로 보입니다.
조만간 우리나라도 올림픽을 단독으로 개최하여 보안관련 사고가 없는 그 날을 기다리며 이 글을 마무리 하도록 하겠습니다.
[더 보기] 이수시스템의 출입 관리 시스템 GateIn과 위치기반 제어 시스템 Npass