루브르 박물관 도난 사건, 낡은 IT 시스템이 문제였나?

지난달 발생한 파리 루브르 박물관의 대담한 도난 사건은 단순한 범죄를 넘어, 박물관의 오래된 IT 시스템 문제점을 드러내는 계기가 되었습니다. 가구 리프트를 이용한 침입은 충격적이었지만, 그 이면에는 10년 이상 해결되지 못한 소프트웨어 업데이트 문제가 숨어 있었습니다. 이번 사건을 통해 문화재 보안의 중요성과 함께 IT 시스템 관리의 중요성이 다시 한번 부각되고 있습니다.

도난 사건 개요와 초기 대응

10월 19일, 도둑들은 가구 리프트를 이용해 루브르 박물관 2층 창문을 통해 침입하여 보석 8점을 훔쳐 달아났습니다. 프랑스 문화부에 따르면, 창문과 보석 진열장에 설치된 경보 시스템은 정상적으로 작동했고, 경찰은 3분 이내에 현장에 도착했습니다. 하지만 이번 사건을 계기로 박물관 보안 시스템 전반에 대한 재검토가 이루어졌습니다. 문화부 감사관실은 초기 조사 결과를 발표하며 새로운 관리 규정과 보안 정책, 건물 외곽에 추가 보안 카메라 설치, 그리고 연말까지 모든 보안 프로토콜 및 절차의 긴급 업데이트를 권고했습니다. 하지만 보고서의 자세한 내용은 아직 공개되지 않았습니다.

오래된 IT 시스템 문제점

프랑스 언론 리베라시옹의 보도에 따르면, 루브르 박물관의 IT 시스템 문제는 이미 2014년과 2017년 감사에서 드러났습니다. 2014년 감사 당시 박물관 사무 자동화 네트워크는 윈도우 2000을 사용하고 있었는데, 마이크로소프트는 이미 2010년에 해당 운영체제에 대한 보안 업데이트를 중단한 상태였습니다. 또한, 감사 보고서는 "LOUVRE"라는 비밀번호로 설정된 비디오 감시 서버와 "THALES"라는 비밀번호로 설정된 탈레스의 비디오 감시 애플리케이션을 지적했습니다. 프랑스 국가 정보 시스템 보안국은 당연히 더 복잡한 비밀번호 사용, 개발사가 지원하는 버전으로 소프트웨어 마이그레이션, 그리고 취약점 패치를 권고했습니다. 하지만 박물관은 이러한 권고 사항을 따랐는지 여부에 대한 질문에 응답하지 않았습니다.

계속되는 보안 문제

2017년 프랑스 국립 보안 및 사법 고등 연구소에서 진행된 감사에서는 "일부 워크스테이션이 더 이상 효과적인 보안을 보장하지 않는 구식 운영 체제(Windows 2000 및 Windows XP)를 사용하고 있다"는 사실이 밝혀졌습니다. 마이크로소프트는 윈도우 XP에 대한 지원을 2014년에 종료했습니다. 리베라시옹은 또한 박물관이 감사를 실시한 이후 공개 입찰 및 기타 공공 조달 문서도 조사했습니다. 그 결과 아날로그 비디오 감시, 디지털 비디오 감시, 침입 감지 및 접근 제어를 위한 시스템이 꾸준히 누적되면서 루브르 박물관의 보안에 20년의 기술 부채가 누적된 것으로 나타났습니다. 일부 시스템은 시간이 지남에 따라 쓸모없게 되어 업데이트하거나 교체해야 했습니다.

소프트웨어 업데이트의 중요성

탈레스는 2003년에 루브르 박물관에 Sathi라는 시스템을 공급했지만, 2019년 2월에는 더 이상 지원하지 않았습니다. 심지어 올해 중반까지도 8개의 Sathi 애플리케이션이 업데이트할 수 없는 소프트웨어 목록에 올라 있었습니다. 루브르 박물관의 윈도우 문제는 최소 2021년까지 계속되었고, 다른 문서에서는 여전히 마이크로소프트 윈도우 서버 2003을 실행하는 컴퓨터에서 Sathi를 사용하고 있는 것으로 나타났습니다. 루브르 박물관의 오랜 소프트웨어 문제가 이번 도난 사건에 직접적인 영향을 미쳤는지는 알 수 없지만, 문화부 감사관실 보고서는 불충분한 감시 시스템과 20년에 걸친 침입 위험 과소평가를 포함한 여러 보안 실패를 지적했습니다.

결론

루브르 박물관 도난 사건은 단순히 운이 나빴던 사건이 아니라, 오랫동안 방치되어 온 IT 시스템 관리의 부실함이 초래한 결과일 수 있습니다. 이번 사건을 계기로 문화재 보안에 대한 인식 제고와 함께, 낡은 IT 시스템 개선 및 지속적인 업데이트의 중요성을 깨달아야 합니다. 더욱 안전한 문화유산 보존을 위해 IT 시스템 투자와 관리에 더욱 힘써야 할 것입니다.