베이징 동계 올림픽이 시작됐다. 그러나 이번 올림픽을 앞두고 개인 기기와 주요 기반시설의 사이버 보안 모두 적신호가 켜졌다.
해외 테크 매체 테크리퍼블릭은 다수 사이버 보안 전문가가 선수단용 건강 검진 앱이 심각한 개인 데이터 손실과 보안 위험성을 유발할 수 있다고 발표한 소식을 보도했다.
캐나다 토론토대학교 시티즌랩(Citizen Lab) 연구팀은 선수단의 코로나19 건강 정보 공유 앱 ‘마이 2022(My2022)’가 해커 세력의 선수 계정 탈취에 취약하다는 조사 결과를 공개했다.
시티즌랩은 보고서를 통해 “마이2022의 보안 결함은 구글의 원하지 않는 소프트웨어 정책(Unwanted Software Policy)과 애플의 앱스토어 가이드라인을 위반하는 데다가 중국 현지 사이버 보안 법률과 프라이버시 보호 유지를 위한 국가 표준 규정도 위반한다”라며, 보안 문제를 지적했다.
연구팀은 SSL 인증 유효와 실패와 데이터 전송 암호화 기술 부재라는 심각한 문제를 발견했다. 특히, “SSL 인증 요소 5가지의 취약점이 마이2022로 전송되는 사용자의 민감한 인구 정보, 여권번호, 여행 기록 및 건강 정보 탈취에 악용될 수 있다. 게다가 마이2022는 ‘tmail.beijing2022.cn’의 SSL 인증 유효화 과정을 검증하지 않아, 해커 세력이 피해자의 음성 오디오나 파일 첨부물에 접근할 수 있다”라고 설명했다.
로그리듬(LogRhythm)의 수석 보안 관리자 제임스 카더(James Carder)는 해커 세력이 블랙메일이나 문자를 악용해 선수단의 계정을 탈취할 수 있다고 경고했다.
카더는 “중국과 같이 프라이버시 보호 인식이 낮은 국가를 방문할 때는 기업용 노트북이나 개인 휴대전화를 가져가지 않는다. 대신 대포폰을 사용한다”라며, 국가 차원의 사이버 보안 대비 수준이 낮다는 점에서 피해가 더 심각해질 수 있다고 주장했다.
그는 이번 올림픽에 출전하는 선수 모두 물리적 보안과 함께 사이버 보안에 각별히 신경 써야 한다고 강조했다.
세일포인트(SailPoint) 제품 관리 부사장인 벤 코디(Ben Cody)는 베이징을 방문하는 선수단을 비롯한 올림픽의 모든 관계자가 꼭 필요한 때만 블루투스를 통해 네트워크에 접속해야 하며, 와이파이를 사용할 때나 셀룰러 데이터를 사용할 때나 무조건 VPN을 함께 사용해야 한다고 설명했다.
그는 “개인 기기에서 기업용 애플리케이션으로 계정을 로그아웃하는 것을 고려해야 한다”라고 덧붙였다.
더 나아가 매체는 이번 올림픽 기간에 선수 개인의 보안 이외에도 주요 기반시설도 사이버 보안 위험에 취약할 것이라고 분석했다.
매체는 2018년 평창 동계올림픽 당시 올림픽 조직 위원회가 올림픽 현장의 사물인터넷(IoT) 시설을 겨냥한 사이버 공격으로 피해를 보았으며, 올림픽 조직 위원회의 피해가 프랑스 IT 서비스 공급사와 스키 리조트 2곳에도 고스란히 영향을 미쳤다는 점에 주목했다.
IoT 보안 전문 기업 클레로티(Claroty)의 최고 제품 관리자인 그랜트 게이어(Grant Geyer)는 올림픽의 주요 기반 시설이 해커의 대규모 공격 대상이 될 확률이 높다고 전했다.
해커 세력이 주요 기반 시설을 공격 대상으로 삼으려는 가장 큰 이유는 의사 결정 담당자의 중요한 사안 관리가 어려워지면서 문제를 신속히 해결해야 한다는 압박이 커져 결과적으로 감정적인 대응을 할 확률이 높기 때문이다.
게이어는 수처리 시설과 폐기물 처리장, 호텔 등 공공 시설, 주요 제조 시설의 IoT 보안 위험성이 심각해졌다고 주목하며, 이번 올림픽에서도 기반 시설을 겨냥한 공격에 안심할 수는 없다고 보았다.
그러나 일각에서는 이번 동계 올림픽이 다른 때보다 사이버 보안 측면에서 상대적으로 안전할 것이라는 전망을 제기했다. 미국 사이버 보안 기업 레코디드 퓨처는 그동안 주요 사이버 공격을 개시한 중국이 이번 올림픽의 개최국이라는 점과 러시아, 북한, 이란 등 전 세계 사이버 공격 주요 국가 모두 중국과 우호관계를 형성했다는 점에서 베이징 올림픽 현장에 공격을 개시할 확률이 낮다고 분석했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
