또 불거진 IP카메라 해킹, 해결방법 없나

수 년 전부터 계속 발생..개발 때부터 보안 고려해야

(지디넷코리아=손경호 기자)최근 인터넷과 연결된 IP카메라가 해킹돼 사생활이 노출되고 이 과정에서 불법녹화된 영상이 음란 사이트에 공유되는 사건이 발생했다.

경기남부경찰청 사이버수사대에 따르면 피의자들은 1천402대 IP카메라에 2천354회 무단접속해 훔쳐보기를 시도하는가하면 이를 통해 불법녹화된 영상이 인터넷에 유포되면서 심각한 문제로 불거졌다.

문제가 된 IP카메라가 설치된 장소는 가정집에 더해 의류매장, 미용실 등이다.

그동안 인터넷과 연결되는 IP카메라는 가정에서는 물론 기업 등에서도 시설관리용으로 사용 중이다. 이 기기가 보안에 취약하다는 사실은 이미 수 년 전부터 문제로 지적됐다.

2015년 국내 보안회사 NSHC의 보안기술연구팀인 레드얼럿은 카이스트 시스템보안연구실과 공동으로 분석한 결과 중국 유명 CCTV 제조사 두 곳이 국내에 판매 중인 일부 IP카메라에서 녹화된 영상정보를 유출시킬 수 있는 백도어가 심어져 있다는 사실을 확인해 논란이 되기도 했다.

제조사가 마음만 먹으면 자사 클라우드 서버에서 국내 곳곳에 설치된 IP카메라에 촬영되는 영상을 확인할 수 있게 되는 것이었다. 심지어 IP카메라를 원격으로 조종하는 일까지 가능했었다.

이에 더해 중국 내에서는 IP카메라를 훔쳐볼 수 있는 불법 소프트웨어까지 유통되고 있다. 현지 외신에 따르면 188위안(약 3만원)만 지불하면 이러한 소프트웨어를 구매할 수 있는 것으로 확인됐다. 더구나 내가 원하는 사람의 IP카메라에 대한 IP주소록 목록까지 불법 판매되고 있는 실정이다.

현재로서는 주로 문제가 되는 중국산 IP카메라에 대해서는 뾰족한 보안수단을 찾기가 어려운 상황이다.

정부가 지난 7월 발표한 홈-가전 IoT 보안가이드에 따르면 IP카메라를 포함한 IoT기기 개발사들은 기기를 개발하는 단계에서부터 보안성을 검토하도록 안내하고 있다.

안전하게 펌웨어를 만드는 시큐어코딩에 더해 보안취약점을 제거하는 등 소프트웨어 보안에 더해 외부에서 함부로 IoT 기기에 접근하지 못하게 막는 물리적 보안, 정기적인 보안 업데이트, 내부 데이터들이 위변조됐는지 여부를 확인하는 무결성 검증 등에 더해 인증, 암호화, 전송되는 데이터에 대한 보호 등을 핵심으로 한다.

그러나 국내는 물론 중국에서 개발, 유통되는 IP카메라에 대한 보안대책은 제조사가 지키지 않으면 이후 비슷한 사건이 발생하더라도 사용자가 주의하는 것 외에는 뾰족한 대응책을 마련하기 쉽지 않은 상황이다.

최근 사건에 대해 경기남부지방경찰청 사이버수사대 임지환 경정은 "문제가 된 IP카메라 대부분이 저가 중국산인 것으로 확인됐다"고 밝혔다.

경찰은 "IP카메라 사용자들이 제품 출시 당시 설정된 초기 비밀번호를 안전한 비밀번호로 재설정하고 주기적으로 변경해야하며 기기가 최신 소프트웨어 상태가 되도록 유지해야한다"고 당부했다.

KISA IoT혁신센터 IoT보안기술팀 박창열 팀장은 "IP카메라를 포함한 IoT 기기는 개발할 때부터 보안성을 고려하는 수밖에 없다"며 "국내든 중국 제조사들이든 보안성을 높이라고 강제할 수 없는 상황"이라고 밝혔다. 자발적인 협조가 필요하다는 설명이다.

이와 관련 국내외 보안회사들은 IoT기기에 보안칩을 추가로 넣어 위변조를 막거나 IoT 기기들로부터 받은 정보를 송수신하는 네트워크 단에서 보안 기능을 강화할 필요가 있다고 강조하고 있는 추세다.

NSHC 레드얼럿 하동주 이사는 "IP카메라와 같은 IoT 기기는 아무리 잘 만들어도 취약점이 나오게 된다"며 "이를 해결하기 위해 제조사단에서 정기적인 보안 업데이트가 필요하며 정부 등 믿을 수 있는 기관에서 포트 스캐닝(인터넷 스캐닝) 등 방법을 통해 취약할 수 있는 기기들을 미리 찾아내 모니터링하면서 관리할 필요가 있다"고 강조했다.

손경호 기자(sontech@zdnet.co.kr)