구글 검색으로 누구나 쉽게 엿볼 수 있어…아이디·비번 ‘admin’ ‘1234’ ‘0000’ 사용자 당장 바꿔라!
국내외 CCTV 영상이 인터넷을 통해 실시간으로 확인되면서 사생활 침해 우려 등이 제기되고 있다. 사진=해외 사이트 ‘인세켐’(insecam) 화면 캡쳐
인터넷 검색엔진 구글에 ‘ip camera korea‘라고 검색 시 나오는 ’인세캠(insecam)‘이라는 사이트가 국내외 CCTV 영상을 이처럼 실시간으로 내보내면서 논란이 일고 있다. 보안·방범 등을 목적으로 설치한 CCTV가 불특정 개인·집단으로부터 해킹당해 그 영상이 인터넷에 공개되고 있는 것. 사생활 침해뿐만 아니라 범죄 발생 우려가 제기되고 있다.
해외 인터넷 사이트 ‘쇼단’(Shodan)도 각종 CCTV 화면을 공공연하게 내보내는 곳 가운데 하나다. 쇼단은 본래 2009년 웹캠, CCTV, 라우터, 서버, 스마트TV 등 인터넷과 연결된 다양한 기기 정보를 제공하고 보안 취약점을 찾기 위해 스위스 출신 프로그래머가 만든 일종의 사물인터넷(IoT) 검색엔진이다. 하지만 업계에선 ‘어둠의 구글’ 등으로 불리며 해킹수단으로 변질되고 있다. 업계 한 관계자는 “사실상 해커들을 위해 열어둔 통로나 마찬가지”라고 평할 정도다.
실제 쇼단 검색창에 ‘netcam country:KR’이나 ‘webcam country:KR’이라고 입력하면 국내 IoT 기기의 IP주소 등을 확인할 수 있다. 이중 보안이 허술하거나 비밀번호 등이 걸리지 않은 IP 주소를 클릭, 접속하면 해당 카메라 영상을 실시간으로 확인하거나 제어할 수 있다.
CCTV 영상 유출 원인을 두고선 여러 분석이 나온다. 업계에선 ‘IP 카메라’(유무선 인터넷에 연결해 사용하는 카메라)의 보급으로 CCTV 영상 송출 방식이 디지털화되면서 이러한 사고가 빈번해졌다고 보고 있다. 과거 동축케이블 선을 통해 전송되던 CCTV 영상이 인터넷망을 통해 대거 전달되고 있는 것. 사용자들은 CCTV가 지닌 고유 IP와 연계된 주소를 인터넷에 입력, 접속해 CCTV 화면을 확인하거나 제어한다. 그러다보니 CCTV가 설치된 인터넷망 보안이 허술할 경우 CCTV 영상은 쉽게 해킹당할 수밖에 없다. 공공기관들은 이를 우려해 해당 인터넷망을 따로 관리하기도 한다.
해외 인터넷 사이트 ‘쇼단’(Shodan)에서 검색된 특정 CCTV IP 주소에 접속한 모습. 실시간으로 CCTV 영상을 확인·제어할 수 있다. 사진=인터넷 사이트 ‘쇼단’ 화면 캡처
사용자가 CCTV를 구매한 뒤 기본 설정된 아이디와 비밀번호를 그대로 사용하면서 보안이 쉽게 뚫리고 있다는 평가도 나온다.
CCTV가 공장에서 생산·출하될 당시 설정된 아이디 ’admin‘과 비밀번호 ’admin‘, ‘1234’, ‘0000’ 등을 변경치 않는 것. 염흥열 순천향대 정보보호학과 교수는 “IP 카메라를 확인하거나 제어할 때 사용하는 앱이나 웹페이지 아이디, 비밀번호 설정을 바꾸지 않을 경우 외부 침입이 더 용이해진다”며 “실제로 이로 인해 발생하는 해킹 사고가 적지 않다”고 설명했다.
제조업자가 CCTV 유지·관리를 위해 일부러 만든 시스템상의 보안 허점, 즉 ‘백도어’가 해킹 수단으로 악용돼 영상이 유출됐다는 분석도 나온다. 백도어는 정상적인 인증 절차 없이 암호 시스템 등에 대한 접근을 가능케 하는 장치다. 사용자가 CCTV 비밀번호나 IP 주소 등을 잊어버릴 경우 백도어를 활용해 이를 알아낼 수 있다. 백도어는 기기에 숨겨진 매뉴얼을 선택하거나 관리자만이 사용하는 아이디·비밀번호를 입력해 활성화할 수 있다. 문제는 백도어가 개인정보를 빼오거나 CCTV 원격 조종 등에도 악용될 수 있다는 것이다. 업계 한 관계자는 “백도어를 활용해 CCTV 등을 해킹한 사례를 모아, 보안 취약점을 분석해 놓은 IPVM(ipvm.com)이라는 해외 사이트가 있을 정도로 문제가 심각하다”라고 지적했다.
지난해 이런 보안 취약점을 노린 불특정 다수가 가정집 등에 설치된 1402대의 IP 카메라에 무단 접속해 개인 사생활 등을 불법 촬영해 인터넷에 유포하는 사건이 발생해 논란이 일기도 했다. 20대 회사원 A 씨 등을 포함한 13명은 지난해 4월부터 9월까지 1402대의 IP카메라에 2354회 무단접속, 속옷 차림이나 나체로 활동하는 여성들의 모습을 녹화해 이를 탈취한 혐의로 검거됐다. 20대 학생 B 씨 등 37명은 이를 인터넷상에 유포한 혐의를 받았다. 이들은 가정집뿐만 아니라 의류매장, 미용실 등에 설치된 IP 카메라를 해킹한 것으로 드러났다. 당시 이들 50명을 검거한 남부지방경찰청은 “IP 카메라가 개인 사생활 유출 경로로 악용될 수 있다”며 “각별한 보안관리 강화가 필요하다”고 역설했다.
경찰청은 CCTV 영상 유출과 관련한 수사를 진행 중이라고 밝혔다. 경찰청 사이버수사과 관계자는 “논란이 되고 있는 인세캠 사이트는 러시아 사이트로 추정하고 있다”며 “해당 사이트에서 이뤄지는 CCTV 영상 유출을 포함해 개인정보를 침해하는 여러 해킹 사례들을 검거하고 유관기관들로부터 협조를 얻어 CCTV 제조 요건 등을 강화하기 위해 노력 중”이라고 설명했다.
과학기술정보통신부와 한국인터넷진흥원(KISA)은 ‘IP 카메라 종합대책’ 일환으로 사물인터넷 제품의 보안 수준을 검토, 보안 등급을 부여하는 보안인증서비스를 지난해부터 도입·시행해 소비자들의 합리적인 소비를 돕고 있다.
하지만 CCTV 해킹으로 발생하는 영상 유출 등에 대한 감시와 제재는 사실상 쉽지 않다. 정부가 제조업체나 유관기관 등에 보내는 CCTV 점검 지침 등이 강제성을 지니지 못하거니와 사전에 악성코드나 백도어 악용 여지 등을 검사하기가 어렵기 때문이다. 한국정보통신기술협회 관계자는 “정보 시스템 등에 허가 없이 접속할 경우, 국가계약법시행령 76조에 따라 사후 조치를 취하는 게 전부”라고 설명했다.
국내 인터넷 관련 업무를 총괄하는 KISA는 사용자들의 각별한 주의가 필요하다고 밝혔다. KISA 관계자는 “CCTV 구매 후 초기 아이디와 비밀번호 설정을 주기적으로 변경하는 것만으로도 보안에 큰 도움이 될 수 있다”며 “카메라와 인터넷 공유기의 펌웨어를 최신으로 업데이트해 악성코드 침투를 방지하고 보안을 강화하기 위해 노력해야 한다”고 말했다.
이성진 기자 reveal@ilyo.co.kr