협업을 통한 비디오 불법 복제 퇴치 강화
제 개인 이메일이 18회 이상 "탈취"(pwned),즉 도난당했다는 사실을알게 되었습니다. 하지만 제 OTT 구독 서비스 중 하나에 로그인하지 못했던 이유가 아이들이 내 인증정보를 공유했기 때문인지, 아니면 계정 탈취 (탈취한 사용자 이름/비밀번호 조합을 수집하여 크리덴셜 스터핑 공격을 통해 이를 테스트하는 것으로 시작되는 킬체인) 때문인지 알지 못합니다.
아이들을 위해 후자였기를 바랍니다. 저를 위해서라면 전자였으면 좋겠습니다. 오늘날의 생활은 복잡합니다.
OTT, DTC, SVOD, AVOD, vMVPD, PSB 등 명칭에 상관없이 비디오 스트리밍 업계는 Netflix가 처음 스트리밍을 시작한 2007년 이후 가장 큰 범죄 위협을 경험하고 있습니다.
이유는 분명합니다. 지난 4년 동안 비디오 스트리밍은 'TV 시청'이라는 기본 형태로 성장했고 작년 전 세계 가입자가 11억 명에 이르렀습니다. 수십 년 동안 영화 산업의 매출을 빼앗아 온 비디오 불법 복제 행위는 가입자와 함께 급증했으며, 이제 공격자들에게 온라인 뱅킹 시스템 못지않은 돈벌이 수단이 되고 있습니다. (그리고 인증정보 공유가 만연해 훨씬 쉽습니다.)
얼마나 수익을 올리고 있는지 Akamai가 조사해본 결과, 미국에서 비디오 불법 복제로 벌어들이는 수익이 연간 10억 유로를 상회하는 것으로 밝혀졌습니다. 아시아 지역의 신뢰할 수 있는 추정치를 얻기는 어렵지만, 일부 국가의 불법 복제 행위 가담자 비율이 45%에 달한다는 사실을 데이터를 통해 알 수 있습니다.
세계 최대의 스포츠 저작권 라이센서인 미디어 그룹 beIN의 CEO 유세프 알-오바이들리(Yousef Al-Obaidly)는 이 상황을 요약하면서 2019년 10월에 이렇게 경고했습니다.
“불법 복제가 세계 곳곳으로 그리고 사회의 모든 분야로 확산되어 화려한 미디어 권리라는 버블이 터지기 직전입니다. 우리는 이제 독점 방송권이 사실상 완전히 비독점적인 세상에 살고 있으며, 우리 업계는 준비가 전혀 되어있지 않은 것이 현실입니다. 특히 업계와 권리 보유자는 마치 몽유병 환자처럼 재정 절벽을 향해 계속 걸어가고 있습니다. 우리 업계의 경제적 모델은 수정될 것입니다.”
엔터테인먼트 산업과 경제 전반에 피해를 주는 불법 복제
작년에 GIPC(Global Innovation Policy Center)는 전 세계의 온라인 불법 복제로 인해 미국 경제는 매년 299억 달러에서 710억 달러의 매출 손실을 입는 것으로 추정했습니다. 특히 범위가 지나치게 넓다면 이런 추정치는 적당히 회의적인 시각으로 바라보아야 합니다. 결국 세부적인 내용이 중요합니다. 그러나 미디어 및 엔터테인먼트 사업자의 수익뿐 아니라 실제 비용이 있다는 사실은 분명합니다. GIPC 회장 겸 CEO인 데이비드 허시먼(David Hirschmann)은 2019년에 이렇게 말했습니다. “디지털 비디오 불법 복제는 미국 경제에 막대한 손실을 초래하면서 콘텐츠 프로덕션 회사부터 디지털 유통 혁명을 주도하고 있는 혁신적인 기술 회사에 이르는 기업들에 결국 피해를 줍니다.” 또한 GIPC 보고서는 디지털 비디오 불법 복제가 미국의 일자리에 미치는 영향을 평가하여 이로 인해 매년 23만에서 56만 개의 일자리가 없어졌다는 사실을 발견했습니다.
위협의 규모가 상당한 이유 중 하나는 불법 복제가 이처럼 광범위한 양상을 보이기 때문입니다. 다음과 같이 콘텐츠의 실시간 또는 온디맨드 스트리밍 여부에 따라 공격 기법의 범위에 대한 이와 같은 수준 높은 전망을 검토해보세요.
라이브 이벤트 및 채널 Simulcast 공격 기법
비디오 재생 소프트웨어 또는 Android OS 조작
재생 중에 화면 녹화 또는 화면 공유 세션 도중 캡처
셋톱 박스에 연결된 HDCP 스트리퍼를 사용하여 암호화 해제된 비디오 가로채기
크리덴셜 스터핑 공격을 통해 정상적 시청자 정보에 접속 및 사용
재양자화와 같은 워터마킹을 제거하기 위한 비디오 조작
VPN(Virtual Private Network)을 사용하여 시장에서 비디오 전송
온디맨드 공격 기법
데이터 센터 침해를 통한 사용자 인증정보, 암호화 키, 비디오 콘텐츠 도난
프리랜서 및 정규직 직원의 사용자 ID를 도용하여 다양한 시스템을 통해 비디오에 접속
물리적 자산을 녹화(현재는 감소함)하여 공유 및 배포
다양한 프로덕션 시스템에 대한 시스템 해킹을 통해 비디오 자산에 직접 접속
정상적인 소스를 통한 콘텐츠 리핑
영화 촬영 시스템
위장 공격을 이용한 직접 도난
앞으로의 방향: 효과적인 공동 대응 및 퇴치 계획
7년 전에 스트리밍과 보안이 교차하는 분야에서 제가 처음 일하기 시작했을 때 업계는 그들이 직면한 위협에 대해 충분히 논의하지 않았습니다. 보안은 사적인 문제였습니다. 이제 불법 복제의 영향으로 인해 새로운 경로가 형성되고 있습니다.
2020년 10월에 Academy of Motion Picture Arts and Sciences는 불법 복제로부터 기업을 보호하는 방안의 사례를 이야기했습니다. Academy의 국제 회원들은 스트리밍 플랫폼인 Academy Screening Room을 통해 다가오는 시상식 시즌에 후보로 오른 영화를 시청합니다. 그러나 온라인도 취약합니다. Academy는 Brightcove, NAGRA, BuyDRM, Akamai 등 4개 회사의 도움을 받아 지적 재산을 도난으로부터 보호하면서도 회원들에게는 편리한 접속을 제공할 수 있었습니다.
1년 후에 또 다른 협력이 발표되었습니다.이번에는 3개의 클라우드 및 보안 회사가 협력해 규제 대상 방산업체와 소프트웨어 공급업체가 AWS에서 ATO(Authorization To Operate) 컴플라이언스를 간소화할 수 있도록 지원했습니다. 2021년 10월 1일에 발표된 이 이니셔티브는 FASTTR(Faster ATO with Splunk, Telos, and ThreatAlert for Regulated Markets)이라고 하며, 클라우드로의 시스템 전환 등을 지연시킬 수 있는 ATO 컴플라이언스 인증을 획득하는 데 드는 시간과 비용을 줄이는 것을 목표로 하고 있습니다. 또한 FASTTR은 기업이 변화하는 정부 보안 규정을 보다 쉽게 준수할 수 있도록 함으로써 결국 보호를 강화하는 것을 목표로 하고 있습니다.
예방과 대응은 별개의 문제입니다. Akamai의 고객사 중 한 곳이 사례 공유에 동의했으며, 이러한 유형의 의사 소통이 퇴치 노력에 매우 중요합니다. 여러 국가에서 TV, 영화 및 스포츠 저작권을 배포하는 대표적인 기업으로서 이 고객사는 라이브 이벤트 프로그램에서 무려 40%의 불법 복제율에 직면하고 있었습니다. 대표적인 공격으로는 다음과 같은 것이 있었습니다.
Thop TV 및 Oreo TV와 같은 사이트의 링크 공유와 토큰 수집
정상 서비스의 요구사항을 우회할 수 있는 Android 애플리케이션 패키지(APK) 파일 변조
시청자가 지리적 제한을 우회할 수 있는 VPN 프록시 남용
이 배포사는 업계를 위한 모델을 제공하는 대응 계획으로 불법 복제 억제를 위한 여정을 시작했습니다. 다음 세 가지 원칙이 이 계획의 지침을 제공합니다.
솔루션은 대규모로 작동하고 급증하는 로그인을 관리할 수 있어야 합니다.
다양한 공격 기법에 대한 실시간 상황 인식이 리니어 규모로 작동해야 합니다.
솔루션은 몇 주가 아닌 몇 분 내에 불법 복제 활동을 식별하고 제거해야 합니다.
Akamai는 공격자들이 사용하는 기법의 범위와 방어 조치에 대한 전환 능력을 고려해 이 고객사와 함께 360도 접근 방식을 개발함으로써 제로 트러스트 프레임워크를 스트리밍 아키텍처에 적용했습니다. 결국 이러한 퇴치 노력은 성공적이었습니다. 몇 일 동안 진행된 대규모 행사가 끝날 무렵 이 회사는 불법 복제를 75% 줄일 수 있었습니다.
비디오 스트리밍 서비스가 승리할 수 있다는 사실은 희소식입니다. Academy Screening Room을 보호했던 벤더사들 간의 협력은 그 어떤 단일 벤더사에게도 해결책이 없는 것 같을 때 어떤 일이 발생할 수 있는지 보여줍니다. 이러한 협력 정신이 스트리밍 서비스 및 저작권 구매자로 확대되면(이들이 콘텐츠 경쟁을 벌이지만, 보안에는 협력하면) 우리는 불법 복제 행위와의 전쟁에서 승리하기 시작합니다.
Akamai가 미디어 및 엔터테인먼트 업계를 어떻게 지원하는지에게 감사의 말을 전합니다.
