보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

[주말판] 미국의 최고 스포츠 리그 NFL, 어떻게 보호되고 있는가

입력 : 2023-09-16 20:32
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
NFL에도 CISO가 있고, NFL에 소속된 각 팀에도 보안과 IT를 담당하는 사람들이 있다. 이들은 각자의 팀을 보호화고 또 리그 전체를 보호하기 위해 일반 보안 담당자들이 하는 것과 비슷한 일을 조금은 특수한 환경에서 수행한다. 그런 그들에게도 신기술로 인한 위협들이 다가가고 있다.

[보안뉴스 문정후 기자] 미국의 대형 스포츠 리그 중 하나인 NFL의 2023년 시즌이 시작됐다. NFL은 리그 자체적으로 CISO를 임명해 보안을 유지하고 있는데, 그의 이름은 토마스 말도나도(Tomas Maldonado)다. 현재 말도나도는 생성형 인공지능을 활용한 피싱 공격과 인공지능이 만들어낸 딥페이크 영상들을 가장 경계하고 있다. 적어도 이번 시즌이 진행되는 동안에는 이 두 가지에 대한 염려가 해소될 것 같지 않다고 한다.

[이미지 = gettyimagesbank]


말도나도는 리그 전체의 CISO로서, 리그의 데이터와 시스템, 네트워크를 보호한다는 임무를 수행하는 중이다. 과거의 공격, 현재의 공격에서도 리그를 지켜야 하지만 미래의 공격에 대한 대책도 수립해야 한다. 뿐만 아니라 티켓 판매소 및 판매 시스템, 게이트 접근 시스템 등 빠르게 디지털화 되어가는 요소들까지도 보호해야 한다.

“그래서 시즌이 시작되면 저희 팀은 쉬지를 못합니다. 슈퍼볼이나 드래프트 등 대형 이벤트가 있는 날이면 더 그렇고요. 단 한 번의 보안 사건이라도 허용하는 순간 NFL의 브랜드 가치가 하락하게 되니 긴장의 끈을 놓칠 수가 없습니다. 유명 NFL 팀들이 랜섬웨어에 걸린다든지 하는 이유로 경기가 취소되거나 선수들의 경기력이 하락한다고 상상해보세요. 생각만 해도 끔찍합니다.” 말도나도의 설명이다.

NFL과 딥페이크의 위협
이번 시즌 말도나도가 특별히 주목하는 위협이 한 가지 있다. 바로 생성형 인공지능으로 만들어진 가짜 콘텐츠들이다. “NFL 리그가 진행되는 동안 선수들은 팬들의 우상이 됩니다. 수많은 사람들이 자신들의 SNS 채널은 물론 온갖 인터넷 커뮤니티들을 자신의 우상들로 채웁니다. 그들이 한 말 한 마디, 제스처 하나가 큰 뉴스가 되죠. 선수들 개개인이 아니라 팀 자체의 팬도 적게 잡아 수백만이고, 순수하게 게임 자체를 즐겨 NFL을 시청하는 사람은 더 많습니다. 한 마디로 NFL은 콘텐츠가 넘쳐나는 곳이고, 따라서 딥페이크로 공략할 구석이 무수히 많다는 겁니다.”

말도나도는 정계에서 딥페이크라는 기술이 공론화 되었을 때부터 눈여겨봤다고 한다. 가짜로 인물을 만들어 퍼트리는 행위가 스포츠 분야로 넘어오지 않기를 간절히 바랐다고도 말한다. “지금 NFL은 그러한 공격에 매우 취약한 상태라고 할 수 있습니다. 복제할 것은 많은데, 누군가 실제로 그렇게 한다고 한들 막을 방법이 전무하다시피 합니다. 지금이라도 유명 선수의 딥페이크 영상이나 음성을 만들어 어떤 메시지를 팬들에게 전달한다면 잘 통할 겁니다.”

인공지능과 관련된 걱정은 여기서 끝나지 않는다. 인공지능으로 만드는 피싱 콘텐츠 역시 어마어마한 설득력을 가진다는 것도 말도나도가 걱정하는 요소다. 실제로 다크웹에는 생성형 인공지능을 기반으로 한 피싱 이메일 도구들이 돌아다니고 있으며, 인간 피싱 공격자들이 보이던 각종 문법과 철자 오류를 단숨에 없애주고 있다. 이제 피싱 공격을 알아채는 방법에 대한 교육 내용이 바뀌어야 한다. 문법과 철자 오류가 남발하지 않는 메일이더라도 피싱 공격일 수 있다.

“공격자들 사이에서 나타나는 이러한 변화들로부터 안전할 수 있도록 최선을 다하고 있습니다. 공격자들이 너무 뛰어나서 어쩔 수 없었다고 해봐야 아무 소용이 없으니까요. 그들이 우리의 방어 기술에 적응하고 있듯이, 우리도 그들의 공격 기술에 적응해야 합니다. 이 변화의 경주에서는 멈추는 사람이 지게 되어 있습니다. 모든 방면에서 NFL 선수들처럼 달리고 또 달리는 게 우리의 일인 것이죠.”

성숙을 위한 우선순위
달리고 달려야 하는 말도나도와 그의 팀원들이 가장 중요하게 여기는 사업 중 하나는 NFL에 소속된 32개 팀들이 정보 보안이라는 측면에서 보다 성숙해지도록 돕는 것이다. 지난 시즌에도 멈추지 않고 이어져 왔던 사업이다. 이를 위해 말도나도는 가장 먼저 점검하고 완벽히 해야 할 10가지 영역을 지정했는데, 그 중에서도 좀 더 강조되고 있는 건 다음 다섯 가지다.

1) 교육과 훈련을 통한 인지 제고
2) 네트워크 보안
3) 아이덴티티 및 접근 제어
4) 탐지와 대응
5) 사이버 보험

팀들이 이런 영역들에서 점점 강화되어 갈 때, 말도나도가 이끌고 있는 NFL 자체의 보안 팀은 각 클럽들의 리스크를 평가한다. 강화 작업 혹은 성숙도 작업이 어느 영역에서 얼마나 진행되고 있는지를 보기 위해서다. 그래야 팀마다 효율적으로 다음 강화 작업을 진행할 수 있다. “32개 팀에 수행 과제를 주고 수행 평가를 하는 게 저희의 일이라고 할 수 있습니다. 이 평가의 결과는 팀들에 그대로 공개되고, 이는 현재 보안 상태를 가시적으로 볼 수 있게 해 주는 지표가 됩니다.”

지난 수년 동안 NFL의 인프라를 지키고 강화한 것은 시스코(Cisco)라는 업체였다. NFL의 공식 기술 파트너로서 시스코는 NFL이라는 리그 전체의 디지털 뼈대를 구성하고 지원하는 것에 그쳤으나 점점 보안으로까지 역할이 확대됐다. 시스코 보안 분야 부회장인 톰 질리스(Tom Gillis)는 “대형 스포츠 리그의 보안을 담당하는 것이 대단히 낯선 일이 될 거라고 생각했는데 실제로 해보니 그렇지 않았다”고 말한다.

“NFL의 네트워크를 보호하는 것이나 일반 기업들을 보호하는 것이나 비슷했습니다. 데이터를 지키고, 네트워크가 마비되는 사태를 방지한다는 것은 결국 똑같으니까요. 공격자들도 다 비슷했습니다. 소셜엔지니어링으로 속이고, 피싱 이메일로 속이면서 대부분 침투를 시작했거든요. 다만 최근 들어 인공지능을 활용한 공격들이 개발되고 있어 이들의 속임수를 구분한다는 건 더 어려운 일이 되고 있습니다.”

리스크를 기반으로 한 접근법
NFL에 소속되어 있는 팀 중 하나인 클리블랜드 브라운즈(Cleveland Browns)의 경우 IT 부서를 브랜든 커버트(Brandon Covert)가 이끌고 있다. 커버트는 NFL 전체의 보안 프레임워크를 따라 자신의 팀을 보호하는데, 이 프레임워크 덕분에 여러 가지 위협들에 대처할 수 있게 된다고 말한다. “제가 지켜야 할 데이터는 꽤나 방대합니다. 팀 선수들의 의료 기록과 개인정보, 스태프들의 개인정보, 수많은 팬들이 만들어내는 데이터, 팀의 건물들에 구축되어 있는 IT 및 자동화 시스템들에서 나오는 데이터 등이지요. 이런 데이터들이 잘못된 사람들의 손에 들어가면 경기장이라는 건물의 특성상 물리적인 피해가 발생할 수도 있습니다.”

그런데 최근 커버트와 같은 위치의 담당자들이 지켜야 할 데이터가 하나 더 늘어났다. 바로 생체 정보들이다. 클리블랜드 브라운즈 경기장에 얼굴 인식 기능이 도입되었기 때문이다. 이미 NFL 경기장들에서는 이런 움직임들이 활발히 일어나고 있으며, 각 팀들은 다양한 생체 정보를 보호하기 위해 여러 가지 방안을 마련 중에 있다.

커버트는 “직업 특성상 새로운 기술과 위협들이 날마다 늘어나기 때문에 업무량도 그에 비례하여 늘어날 수밖에 없는데, 이걸 하나하나 개별적으로 좇다보면 아무 것도 다룰 수 없게 된다”고 말한다. “그렇기 때문에 리스크를 파악하여, 그것을 기반으로 보안을 강화하는 방식을 채택했습니다. 또한 혼자 다 하려 하지 않고 외부 보안 전문 업체들과 계약을 맺어 일부 보안 업무를 맡기기도 했지요. 예를 들어 최근 저희 팀은 바이너리디펜스(Binary Defense)라는 업체에 탐지와 대응 서비스를 의뢰하여 계약하기도 했습니다.”

바이너리디펜스가 제공하는 서비스 중 하나는 다크웹을 모니터링 하는 것이다. “바이너리디펜스가 매일 다크웹을 둘러보며 저희 팀이나 팀원 혹은 팬들과 관련된 이야기가 나오나 살핍니다. 이렇게 함으로써 보다 빠른 대응을 할 수 있게 되는 것이죠. 팀과 팬의 민감한 정보가 다크웹을 통해 외부로 유출되는 것이 저희가 생각하는 리스크 중 꽤 큰 것에 속하는데, 이걸 해결해주는 회사라 계약을 하게 됐습니다. 계약 자체가 리스크 기반 보안 강화 접근법에 의해 성립된 거라고 볼 수 있습니다.”

글 : 자이 비자얀(Jai Vijayan), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
2023년 주요 보안 위협 가운데, 올해 말까지 가장 큰 피해를 끼칠 것으로 예상되는 위협은?
공급망 공격
다크웹 기반 랜섬웨어 조직
북한/중국/러시아 등 국가 지원 해킹그룹 활동
스마트폰을 노린 보안 위협
OT 타깃 공격
피싱 공격
기타(댓글로)