TTESays

[TE머묾] 루브르박물관 도난 사건

문가용 기자

Published: 10:32, 21 Oct 2025 (Updated: 08:12, 12 Nov 2025)

💡

Editor's Pick
- 루브르박물관에서 사라진 8점의 보물
- 사람 많은 백주대낮에 버젓이 벌어진 일이라 충격
- 박물관 측 안전 조치는 '애매'

겨우 7분 걸렸다. 그 유명한 루브르박물관에서 영화 같은 도난 사건이 발생하는 데 말이다. 그것도 관람객이 빽빽하게 몰린 일요일 아침 9시 반이었다. 강도들은 이삿짐을 내리는 데 쓰는 사다리차를 타고 박물관 2층으로 침투한 뒤, 전시 케이스들을 부수고, 그 안에 들어 있던 여덟 점의 보물들을 들고 도망갔다. 밖에는 오토바이를 탄 2인조가 이미 대기 중이었고, 사다리차를 타고 내려간 강도는 차를 버려두고 오토바이에 올라 사라졌다.

경비의 관점에서 애매함 투성
루브르박물관의 경비가 허술했을까? 답은 ‘애매하다’이다. 일단 잘한 점부터 꼽아보자. 강도들이 사다리차 위에서 2층 창문을 깼을 때 이미 경보 시스템이 울리기 시작했다. 보석들이 담겨져 있는 유리 상자를 두들겼을 때도 경보가 요란하게 울렸다고 전해진다. 실내에 있던 경비들도 곧바로 행동을 취하며 현장으로 달려갔다. 다만 범인들의 현장으로부터의 도주가 더 빨랐을 뿐이었다.

애매한 건, 경비들이 재빠르게 행동을 취했는데, 그것이 ‘범인 잡기’나 ‘보석 되찾기’가 아니었다는 것이다. 루브르박물관 경비들이 비상 상황에서 취해야 할 첫 번째 행동은 관람객 보호라고 매뉴얼에 나와 있다고 한다. 실제로 이들이 경비가 울리자마자 한 건 관람객을 안전한 곳에 대피시키고, 박물관 밖으로 나가게 안내한 것이었다. 그러니 경보 소리를 신호로 달리기 시작한 범인들에 닿을 수가 없었다. 대신 관람객이나 루브르직원들 중 다친 사람은 한 명도 없다. 다행이지만 애매하다.

못한 점은 무엇일까? 강도들의 대형 사다리차가 박물관 게이트를 통과해 2층 창문 옆에 주차하기까지 박물관 측에서는 아무런 제지를 하지 않았다고 알려져 있다. 누가, 왜, 어떤 확신을 가지고 이 차를 통과시켰을까? 아직 밝혀지지 않은 내용이다. 하지만 뉴욕타임즈는 “파리 시민들이 짐을 옮길 때 자주 사용하는 차량이라 파리 거리에서 흔히 볼 수 있다”고 설명한다. 너무 많이 보이는 물건이라 아무도 의심하지 않았을 가능성이 있다. 애매하다.

프랑스 내무부 장관 로랑 뉘네즈(Laurent Nunez)는 이번 사건 후 언론 인터뷰를 통해 “방어 인력과 시설을 확충할 계획이었다”고 밝히며 “경계 강화 시스템과 차세대 감시 카메라와 경비실” 등을 언급했다. 이 말과, 강도들의 사다리차 이용 사실 때문에 여론은 ‘계획만 세우지 말고 진작 하지 그랬냐’로 기울고 있기도 하다. 하지만 계획을 세우고 실행하는 결정권자들이 이 시점에 강도 사건이 일어날 줄 상상이나 했겠는가.

운영상의 문제가 논란이 되고 있기도 하다. 루브르는 이미 오래 전부터 직원 부족 문제에 시달려 온 시설이다. 큐레이터나 비즈니스 운영, 박물관 관리 인력은 물론 경비 인력까지도 모자란 상황임을 관계자 모두가 알고 있었다. 이 문제는 루브르이기 때문에 더욱 도드라졌다. 프랑스 최고 박물관이자 프랑스 문화 그 자체인지라 사시사철 관람객이 북적대는 곳이니 인력 부족이 더 심각하게 느껴진 것이기도 하다. 경비 인력을 진작 늘렸다면 상황이 달라졌을까? 애매하다.

각 전시 아이템에 대한 보안 수준이 상이했다는 점도 지적되고 있다. 한 마디로 진귀하고 유명한 작품은 더 삼엄하게 보호하고, 그보다 좀 떨어지는 보물들의 보호 장치는 덜 강력했다는 것이다. <모나리자>의 경우 온도와 습도 변화까지 고려한 상자 속에 간직되어 있는데, 그 상자는 모든 면이 방탄 유리로 되어 있다고 한다. 이번 강도들이 처음 마주친 게 <모나리자>였다면 ‘유리를 깨고 집어들어 튄다’는 단순 무식 강도론이 통하지 않았을 것이다. 안타깝게도 이번에 사라진 보물들은 단순 디스플레이용 유리 속에 보관돼 있었다.

가치에 따라 보호의 정도를 달리하는 건 운영 효율을 높이는 현명한 방법 중 하나다. 하지만 루브르박물관 정도에 입점될 정도의 문화재라면, 이야기가 달라진다. 심지어 경비 인력이 고질적으로 부족했다면 더더구나 차등을 두어서는 안 됐다. 사람을 더 쓸 것이 아니었다면 기술적인 보호 장치라도 일괄적으로 강화하는 게 더 현명한 박물관 운영법이었다.

물리 보안, 정보보안과 통한다
이 사건은 정보보안 사건이 아니지만, 여러 모로 겹친다. 정보보안이라는 것도 백신이나 방화벽 등 솔루션 한두 개로 하는 게 아니기 때문이다. 그러한 기술에 더해 사업 전체 운영과, 사람과 사회 기저에 깔려 있는 인식(혹은 무의식), 문화적 흐름과도 밀접하게 관련돼 있다.

보안을 중요시 여기는 조직들 혹은 보안 규정이 삼엄한 산업에 속한 조직들은 보안 사고별 시나리오를 마련해 좋지 않은 일에 대비한다. 이런 사건이 터지면 이 사람에게 연락하고, 저런 사건이 터지면 비상회의를 소집하는 등의 ‘매뉴얼’이다. 하지만 이 매뉴얼이라는 것은 양날의 검이 되기도 한다. 이를 하나의 고정된 규칙으로 받아들이는 순간 그 검은 스스로를 겨누는 것이 될 수도 있기 때문이다.

루브르박물관의 경우, 매뉴얼은 사람 보호에 초점이 맞춰져 있었다. 그래서인지 그 방향에서의 결과는 훌륭했다. 물리적으로 보호 장치를 깨고 도주한다는 범행 시나리오는 매뉴얼에 없던 것일까? 지금 시점에서 최선은, 이번 강도 사건과 같은 시나리오를 매뉴얼에 추가하는 것일 테다. 즉, ‘안전 매뉴얼’은 공격 방법이 무궁무진 하기에 수시로 변경하고 최신화할 수 있다는 걸 이해해야 한다는 의미다. 각종 창의적 공격 방법을 고안해 내는 정보보안 세계에서 이는 더욱 중요한 개념이 된다. 사고 대응법은 주기적으로 점검하고 최신식으로 바꿀 수 있어야 한다.

보안 강화는 사업적 운영의 중요한 주제라는 것도 깊이 받아들일 필요가 있다. 아직 많은 CEO들이 보안을 담당자 소관으로만 여기고 있다. 그래서 회사 전체의 인력난이나 일별 사용자 수 등의 사업적 지표들이 보안과 직접적으로 연결된다는 걸 놓친다. 예산을 감축해야 할 때 보안이 1순위에 꼽히는 경우도 적지 않은데, 이것만 봐도 아직 보안을 사업 아이템으로서 바라보는 시선이 부족하다는 걸 알 수 있다. 보안과 관련된 지표도 사업에 참고하는 CEO들이 계속해서 늘어나야 한다.

익숙한 것들에 경계심을 갖지 않으려는 인간의 심리도 공격자들의 단골 공격 표적이다. 강도들의 트럭이 백주대낮에 박물관 바로 옆에 불법주차를 할 수 있었던 건, 그들의 트럭이 투명했기 때문일 가능성이 높아 보인다. 투명하다는 건, 보이지 않는다는 거다. 거기에 그 트럭이 있었지만, 모든 파리 시민들이 매일 여러 번 봐었던 것이라, 오히려 없는 거나 마찬가지였다. 익숙함은 눈을 가린다.

사이버 공격자들도 익숙한 소재들을 가지고 사용자들의 눈을 가린다. 그들은 구글과 MS를 사칭하고, 옆자리 동료를 사칭하고, 방금 출근한 딸을 사칭한다. 공포심을 자극하며 협박할 때도 있지만, 매일 익숙하게 사용하는 인터페이스와 얼굴과 목소리를 평범하게 노출시키는 것만으로 피해자들은 속는다. 속아서 누르면 안 되는 버튼을 누르고, 보내면 안 될 돈을 보낸다.

익숙함에 대한 반격은, 확인으로부터 시작된다. 그 확인은 의심에 뿌리를 두고 있고, 의심은 부지런함을 연료 삼는다. 하지만 부지런함을 강제할 수는 없는 노릇이다. 부지런하지 않아도 적재적소에서 의심할 수 있으려면, 확인 행위가 문화로서 굳어져야 한다. 집에 들어와 자동으로 손 씻고, 사람 만나기 전 자동으로 양치하는 게 귀찮은 일거리로 받아들여지는 사람이 별로 없는 것처럼, 확인이 문화가 되면 절로 부지런해진다. 그러면서 익숙함을 악용하려는 시도는 더 복잡하고 어려워질 것이다.

그래서 제로트러스트라는 개념이 오래 전부터 보안 업계에서는 화자가 되고 있다. 이것을 보안 업계에서만 가지고 있어서는 안 된다. 더 퍼트려야 한다. 초인종 누른 사람을 단추구멍을 통해 한 번 더 확인하는 것처럼, 내게 내 신용카드를 전달하는 우체부가 나의 신원을 묻고 또 묻는 것처럼, 우리는 삶의 더 많은 부분에서 확인을 일삼아야 한다. 그렇게 됐을 때 어쩌면 제로트러스트 도입의 노력은 더 빠르게 결실을 맺을 수도 있다.