‘중국서 내 모습 떠돈다’…IP카메라 해킹 방지하려면?
SBS Biz
입력2017.09.21 10:16
수정2017.09.21 10:16
■ 경제와이드 이슈& '생활경제' - 김영은 에반젤리스트
어제였죠? IP카메라를 해킹해서 개인의 사생활을 엿보고 영상을 무단으로 유포한 일당이 경찰에 검거됐습니다. 그 어느 때보다 IP카메라 보안에 대해 꼼꼼히 살펴봐야할텐데요. 펜타시큐리티의 김영은 매니저 스튜디오에 나왔습니다.
Q. 어제 있었던 사건이죠? IP카메라를 해킹한13명이 경찰 적발 됐습니다. 이 사건은 어떻게 된 건가요?
평범한 직장인과 대학생들이 지난6개월간 가정집과 의류매장에 설치된 IP카메라1400여대를 해킹해서 영상을 녹화해오다가 경찰에 적발된 겁니다.
이들은 쉬운 비밀번호를 쓰는 IP카메라를 노렸고, 시작은 호기심이었는데 생각보다 쉽게 돼서 계속하게 됐다고 합니다.
Q. IP카메라 해킹, 처음 있는 일이 아니죠?
올해에 와서는 올해 초부터 꾸준히 중국의 성인사이트에서 한국 웹캠, 홈IP카메라 해킹 영상이 유출되는 소식들이 끊이질 않았습니다.
한국에서는 반려동물이나 아이들을 확인하기 위해서 값싼IP카메라들을 많이 사용하는 추세라 그런지 기기의 허술한 보안, 그리고 쉬운 비밀번호를 노리는 해커들의 공격으로 많은 개인정보들이 영상으로 유출되었습니다.
IP카메라는, 즉 인터넷이 연결된 카메라인데요. 인터넷이 연결됐다는 건, 역시 해킹이 된다는 겁니다.
예전에는 매장에서 쓰는 방범용 CCTV가 업체에 의뢰해서 녹화되는 형식으로 진행됐다면, 2013년부터는 이용이 간편한 IP카메라를 매장업주가 직접 사용하는 경우가 늘었습니다.
그렇다 보니, 기존의 CCTV처럼 녹화본이 저장되는 것이 아니라, 설치한 앱이나 프로그램을 통해서 실시간으로 스트리밍 서비스를 받게 되는 겁니다.
이후, 2014년은 세계적으로 무선감시카메라 시장 규모가 커진 시기였기때문에 홈IP카메라 해킹문제가 발생했습니다.
우리나라에서도 애완견용 IP카메라를 설치하는 추세였는데요. 당시에 러시아에 서버를 둔 한 사이트에서 홈IP카메라를 해킹해서 한국의 영상을 중계하는 사건도 있었습니다.
또한 2015년에는 중국산 IP카메라가 대거 유입되면서 여러 문제가 생겼는데요.
대표적으로 기기에서 마음만 먹으면 사용자 몰래 제조사가 영상을 훔쳐보거나 기기를 마음대로 통제할 수 있는 백도어, 즉 ‘뒷문’이 발견돼서 문제가 되기도 했습니다.
2016년에도 해외 웹사이트에서 우리나라를 포함한 전세계 웹캠 영상이 대거 노출된 사건이 발생했었는데요.
이번 IP카메라해킹 사건과 가장 비슷하게 1111, 1234같은 변경되지 않는 쉬운 비밀번호를 가진 IP카메라를 위주로 해킹된 사례였습니다.
그런데, 며칠 전 있었던 사건은 전문해커의 소행이 아니어서 더 문제가 됐습니다.
보도되기로는 해킹사건이라고 말을 하는데, 사실은 그저 일반인이 방치되어있는 IP카메라를 불법적으로 염탐한 건데요.
그만큼 IP카메라를 엿보기 쉽다는 거죠. 이렇게 근7년간 계속된 사건들인데 아직까지 해결되지 않았던 겁니다.
Q. 저도 올해 초에 홈IP카메라가 해킹돼서 중국 음란물사이트에 한국인여성의 일상이 올라간다는 소식을 들었던 기억이 있습니다. 이번 일을 계기로 IP카메라에 대한 공포가 한층 더 확산이 되고 있는데요. 그럼, 이번IP카메라 해킹의 가장 큰 원인은 무엇인가요?
이번 사건에서는 비밀번호가 가장 큰 원인이었습니다. 공장에서 IP카메라 제품이 나올 때 자동적으로 설정돼 있는 ID와 비밀번호가 있습니다.
소비자들이 그 ID와 비밀번호를 바꾸지 않고 그냥 사용을 한거죠. 바꾸더라도 굉장히 쉬운 비밀번호로 바꾸고, 바꾸는 빈도는 굉장히 드물었던 겁니다.
하지만 중요한 것은 우리가 단지 소비자를 질책할 수만은 없다는 점입니다.
홈IP카메라같은 경우는 이렇게 생활화 된 지가 얼마 되지 않습니다. 그래서 이 제품을 접하는 소비자들은 아무리 스마트한 소비자들이어도 당연히 정보가 부족했고요, 제조사가 제품이 출시 될 때 어떻게 이 IP카메라의 보안을 지킬 수 있는지 충분히 알렸어야 한다고 봅니다.
혹은 아예 출시 전부터, IP카메라를 만들 때 보안이 철저하게 되어있는 기기를 만들어서 내보냈어야 하는 겁니다.
예를 들어 사용자가 제품을 사서 처음에 인터넷에 연결할 때, ID/PW를 직접 재설정하지 않으면 인터넷에 연결 자체를 못하게 설계하는 것처럼 여러 방법이 있었을 텐데, 그렇지 못했던거죠.
그래서 이번 사건은 기기자체의 문제도 당연히 컸지만, 사용자가 ID와 비밀번호를 설정해두지 않는 것이 그동안 얼마나 무모한 행동이었는지를 알게해 준 사건이 된 겁니다.
Q. 그런데 실제로 이번 사건 같은 IP카메라 해킹은 기술적으로 왜 일어난 건가요?
인터넷의 특징을 생각하시면 됩니다. 노트북이 있으면, 그 노트북을 통해서 제가 인터넷으로 정보를 찾으로 나가게 돼죠.
그런 것처럼 사실 그 인터넷을 통해서 다른 사람들도 제 노트북으로 들어올 수 있습니다. 다만 여러 보안방법으로 그걸 막고 있는 거죠.
인터넷 연결은 양방향의 특성이 있습니다. IP카메라도 마찬가집니다.
노트북 대신에 카메라라는 기기를 통해서 인터넷이 왔다 갔다 하기 때문에 기기에 인터넷 보안이 되어 있지 않다면 당연히 해킹이 되는 겁니다. 이것을 대부분의 사람들이 인지하지 못하고 있는 겁니다.
Q. 그럼 우리가IP카메라 해킹을 방지하기 위해서 가장 쉬운 요령은 무엇이 있을까요?
아무리 보안이 허술한 기기더라도, ID와 비밀번호는 설정하게 돼있습니다. 기기든 사소한 것이라고 생각하실텐데, 이것부터 하는게 중요합니다.
처음 기기를 구매하시면 사용자 설정에 들어가셔서 ID와 비밀번호를 바꿀 수 있습니다. 국내기기든 해외기기든 모두 가능합니다.
그리고 지금까지 일어났던 대부분의 IP카메라해킹은 저가의 IP카메라에서 많이 일어났습니다.
가격도 중요하지만 이 기기를 만드는 회사가 믿을 만한 회사인지도 꼭 체크 하시고 기기를 구매해야 할 겁니다.
Q. 그런데 비밀번호를 교체해도 해킹이 계속되는 경우도 있습니다. 이럴 경우는 어떻게 해야합니까?
대처방안은 기기의 제조사마다 다르지만, 제조사에서 IP카메라에 사용하는 프로그램을 수시로 업데이트하게 할 겁니다.
사용자들은 귀찮아 하지 마시고 이 소프트웨어를 주기적으로 업그레이드 해야하고요.
또 기기에 보면, 바닥 같은 곳에 주로 있는데 (우리가 휴대폰에서 유심칩을 꺼낼 때처럼) 얇은 핀으로 눌러서 작동할 수 있는 초기화 버튼이 있습니다. 주기적으로 초기화를 해서 다시 비밀번호를 설정하면 더 깨끗한 시스템으로 기기를 사용하실 수 있고요.
그래도 해킹이 해결되지 않을 때 우리가 물리적으로 할 수 있는 일은, 집에 오면 전원을 끄거나 혹은 사용하지 않을 때 카메라 렌즈를 천이나 종이로 막아두는 습관도 도움이 될 수 있습니다.
Q. 그럼 기기를 만드는 제조사에서는 어떤 일을 할 수 있을 까요?
IP카메라도 인터넷에 연결된 사물, IoT입니다. ‘보안기능이 내장된 IoT기기를 만들자’라는 과제를 똑같이 생각해야합니다.
이 말은, 출시 전부터 보안기능을 갖춘 IP카메라를 만들어야 한다는 건데요.
기존에는 사용자들이 워낙 저가의, 그래서 수준높은 보안기능을 못 갖춘 IP카메라를 사용하다 보니 해킹이 자주 일어난 겁니다.
IoT기기 제조사들이 추구해야 할 ‘보안내재화’에 대해 전문가의 의견 들어보시죠.
[김승주 / 고려대 사이버국방학과 정보보호대학원 교수 : 설계단계부터 보안을 고려해서 꼭 필요한 보안기능만 남겨두라는 얘기에요. 쓸데 없는 것을 덕지덕지 설치하지 말고, 꼭 필요한 최소한의 보안기능만을 남겨둠으로써 제품을 단순화시키고 그렇게 함으로써 보안기능을 사용하는데 있어서 복잡하지 않게 만든다는 게 ‘Security by Design(보안내재화)’이에요.]
IoT기기들, 이IP카메라도 우리 생활을 편리하게 하기 위해서 만든 기기들입니다.
그런데 제조사들이 그 위험성을 간과하고 이렇게 기본적인 보안도 갖추지 않고 출시를 하면, ‘편리한 건 위험하다’라고 소비자들이 생각하게 되고 제대로 된 IoT기능들을 누리지 못하게 되는 거죠.
그래서 1차적으로는 제조사의 책임이 크고 앞으로의 무게도 클 겁니다.
Q. 정부에서는 이런 문제를 어떻게 접근하고 있습니까?
현재 한국인터넷진흥원에서 IoT기기의 제조사와 사용자를 대상으로 하는 보안 가이드를 만들어서 배포하고 있고, 제조사들에게 출시 전에 기기의 취약점을 테스트 할 수 있는 프로그램을 운영 중입니다.
외국에서는 IoT보안이 워낙 중요하다 보니까, 해킹에 안전한 제품들을 소비자가 선택해서 쓸 수 있게 하자는 얘기가 나오고 있다고 합니다.
정부가 보안성 심의인증을 해서 좋은 제품과 안 좋은 제품을 시장에서 소비자들이 직접 골라 쓸 수 있도록 하자는 건데요.
이렇게 되면 저가라는 이유만으로 제품을 쓰지 않고, 가격대비 성능이 좋은 제품을 사서 쓰게 될 수 있습니다.
국내에서도 여러 기기들에 대해서 이런 보안성심사를 하고 있지만, 아직IoT기기 영역은 이 부분에서는 사각지대에 놓여있는 상황이라고 합니다.
그래서 앞으로 관계당국에서 취약점을 보완할 수 있는 표준과 보안인증제 강화 조치를 하루 빨리 마련해야할 것으로 보입니다.
(자세한 내용은 동영상을 시청하시기 바랍니다.)
어제였죠? IP카메라를 해킹해서 개인의 사생활을 엿보고 영상을 무단으로 유포한 일당이 경찰에 검거됐습니다. 그 어느 때보다 IP카메라 보안에 대해 꼼꼼히 살펴봐야할텐데요. 펜타시큐리티의 김영은 매니저 스튜디오에 나왔습니다.
Q. 어제 있었던 사건이죠? IP카메라를 해킹한13명이 경찰 적발 됐습니다. 이 사건은 어떻게 된 건가요?
평범한 직장인과 대학생들이 지난6개월간 가정집과 의류매장에 설치된 IP카메라1400여대를 해킹해서 영상을 녹화해오다가 경찰에 적발된 겁니다.
이들은 쉬운 비밀번호를 쓰는 IP카메라를 노렸고, 시작은 호기심이었는데 생각보다 쉽게 돼서 계속하게 됐다고 합니다.
Q. IP카메라 해킹, 처음 있는 일이 아니죠?
올해에 와서는 올해 초부터 꾸준히 중국의 성인사이트에서 한국 웹캠, 홈IP카메라 해킹 영상이 유출되는 소식들이 끊이질 않았습니다.
한국에서는 반려동물이나 아이들을 확인하기 위해서 값싼IP카메라들을 많이 사용하는 추세라 그런지 기기의 허술한 보안, 그리고 쉬운 비밀번호를 노리는 해커들의 공격으로 많은 개인정보들이 영상으로 유출되었습니다.
IP카메라는, 즉 인터넷이 연결된 카메라인데요. 인터넷이 연결됐다는 건, 역시 해킹이 된다는 겁니다.
예전에는 매장에서 쓰는 방범용 CCTV가 업체에 의뢰해서 녹화되는 형식으로 진행됐다면, 2013년부터는 이용이 간편한 IP카메라를 매장업주가 직접 사용하는 경우가 늘었습니다.
그렇다 보니, 기존의 CCTV처럼 녹화본이 저장되는 것이 아니라, 설치한 앱이나 프로그램을 통해서 실시간으로 스트리밍 서비스를 받게 되는 겁니다.
이후, 2014년은 세계적으로 무선감시카메라 시장 규모가 커진 시기였기때문에 홈IP카메라 해킹문제가 발생했습니다.
우리나라에서도 애완견용 IP카메라를 설치하는 추세였는데요. 당시에 러시아에 서버를 둔 한 사이트에서 홈IP카메라를 해킹해서 한국의 영상을 중계하는 사건도 있었습니다.
또한 2015년에는 중국산 IP카메라가 대거 유입되면서 여러 문제가 생겼는데요.
대표적으로 기기에서 마음만 먹으면 사용자 몰래 제조사가 영상을 훔쳐보거나 기기를 마음대로 통제할 수 있는 백도어, 즉 ‘뒷문’이 발견돼서 문제가 되기도 했습니다.
2016년에도 해외 웹사이트에서 우리나라를 포함한 전세계 웹캠 영상이 대거 노출된 사건이 발생했었는데요.
이번 IP카메라해킹 사건과 가장 비슷하게 1111, 1234같은 변경되지 않는 쉬운 비밀번호를 가진 IP카메라를 위주로 해킹된 사례였습니다.
그런데, 며칠 전 있었던 사건은 전문해커의 소행이 아니어서 더 문제가 됐습니다.
보도되기로는 해킹사건이라고 말을 하는데, 사실은 그저 일반인이 방치되어있는 IP카메라를 불법적으로 염탐한 건데요.
그만큼 IP카메라를 엿보기 쉽다는 거죠. 이렇게 근7년간 계속된 사건들인데 아직까지 해결되지 않았던 겁니다.
Q. 저도 올해 초에 홈IP카메라가 해킹돼서 중국 음란물사이트에 한국인여성의 일상이 올라간다는 소식을 들었던 기억이 있습니다. 이번 일을 계기로 IP카메라에 대한 공포가 한층 더 확산이 되고 있는데요. 그럼, 이번IP카메라 해킹의 가장 큰 원인은 무엇인가요?
이번 사건에서는 비밀번호가 가장 큰 원인이었습니다. 공장에서 IP카메라 제품이 나올 때 자동적으로 설정돼 있는 ID와 비밀번호가 있습니다.
소비자들이 그 ID와 비밀번호를 바꾸지 않고 그냥 사용을 한거죠. 바꾸더라도 굉장히 쉬운 비밀번호로 바꾸고, 바꾸는 빈도는 굉장히 드물었던 겁니다.
하지만 중요한 것은 우리가 단지 소비자를 질책할 수만은 없다는 점입니다.
홈IP카메라같은 경우는 이렇게 생활화 된 지가 얼마 되지 않습니다. 그래서 이 제품을 접하는 소비자들은 아무리 스마트한 소비자들이어도 당연히 정보가 부족했고요, 제조사가 제품이 출시 될 때 어떻게 이 IP카메라의 보안을 지킬 수 있는지 충분히 알렸어야 한다고 봅니다.
혹은 아예 출시 전부터, IP카메라를 만들 때 보안이 철저하게 되어있는 기기를 만들어서 내보냈어야 하는 겁니다.
예를 들어 사용자가 제품을 사서 처음에 인터넷에 연결할 때, ID/PW를 직접 재설정하지 않으면 인터넷에 연결 자체를 못하게 설계하는 것처럼 여러 방법이 있었을 텐데, 그렇지 못했던거죠.
그래서 이번 사건은 기기자체의 문제도 당연히 컸지만, 사용자가 ID와 비밀번호를 설정해두지 않는 것이 그동안 얼마나 무모한 행동이었는지를 알게해 준 사건이 된 겁니다.
Q. 그런데 실제로 이번 사건 같은 IP카메라 해킹은 기술적으로 왜 일어난 건가요?
인터넷의 특징을 생각하시면 됩니다. 노트북이 있으면, 그 노트북을 통해서 제가 인터넷으로 정보를 찾으로 나가게 돼죠.
그런 것처럼 사실 그 인터넷을 통해서 다른 사람들도 제 노트북으로 들어올 수 있습니다. 다만 여러 보안방법으로 그걸 막고 있는 거죠.
인터넷 연결은 양방향의 특성이 있습니다. IP카메라도 마찬가집니다.
노트북 대신에 카메라라는 기기를 통해서 인터넷이 왔다 갔다 하기 때문에 기기에 인터넷 보안이 되어 있지 않다면 당연히 해킹이 되는 겁니다. 이것을 대부분의 사람들이 인지하지 못하고 있는 겁니다.
Q. 그럼 우리가IP카메라 해킹을 방지하기 위해서 가장 쉬운 요령은 무엇이 있을까요?
아무리 보안이 허술한 기기더라도, ID와 비밀번호는 설정하게 돼있습니다. 기기든 사소한 것이라고 생각하실텐데, 이것부터 하는게 중요합니다.
처음 기기를 구매하시면 사용자 설정에 들어가셔서 ID와 비밀번호를 바꿀 수 있습니다. 국내기기든 해외기기든 모두 가능합니다.
그리고 지금까지 일어났던 대부분의 IP카메라해킹은 저가의 IP카메라에서 많이 일어났습니다.
가격도 중요하지만 이 기기를 만드는 회사가 믿을 만한 회사인지도 꼭 체크 하시고 기기를 구매해야 할 겁니다.
Q. 그런데 비밀번호를 교체해도 해킹이 계속되는 경우도 있습니다. 이럴 경우는 어떻게 해야합니까?
대처방안은 기기의 제조사마다 다르지만, 제조사에서 IP카메라에 사용하는 프로그램을 수시로 업데이트하게 할 겁니다.
사용자들은 귀찮아 하지 마시고 이 소프트웨어를 주기적으로 업그레이드 해야하고요.
또 기기에 보면, 바닥 같은 곳에 주로 있는데 (우리가 휴대폰에서 유심칩을 꺼낼 때처럼) 얇은 핀으로 눌러서 작동할 수 있는 초기화 버튼이 있습니다. 주기적으로 초기화를 해서 다시 비밀번호를 설정하면 더 깨끗한 시스템으로 기기를 사용하실 수 있고요.
그래도 해킹이 해결되지 않을 때 우리가 물리적으로 할 수 있는 일은, 집에 오면 전원을 끄거나 혹은 사용하지 않을 때 카메라 렌즈를 천이나 종이로 막아두는 습관도 도움이 될 수 있습니다.
Q. 그럼 기기를 만드는 제조사에서는 어떤 일을 할 수 있을 까요?
IP카메라도 인터넷에 연결된 사물, IoT입니다. ‘보안기능이 내장된 IoT기기를 만들자’라는 과제를 똑같이 생각해야합니다.
이 말은, 출시 전부터 보안기능을 갖춘 IP카메라를 만들어야 한다는 건데요.
기존에는 사용자들이 워낙 저가의, 그래서 수준높은 보안기능을 못 갖춘 IP카메라를 사용하다 보니 해킹이 자주 일어난 겁니다.
IoT기기 제조사들이 추구해야 할 ‘보안내재화’에 대해 전문가의 의견 들어보시죠.
[김승주 / 고려대 사이버국방학과 정보보호대학원 교수 : 설계단계부터 보안을 고려해서 꼭 필요한 보안기능만 남겨두라는 얘기에요. 쓸데 없는 것을 덕지덕지 설치하지 말고, 꼭 필요한 최소한의 보안기능만을 남겨둠으로써 제품을 단순화시키고 그렇게 함으로써 보안기능을 사용하는데 있어서 복잡하지 않게 만든다는 게 ‘Security by Design(보안내재화)’이에요.]
IoT기기들, 이IP카메라도 우리 생활을 편리하게 하기 위해서 만든 기기들입니다.
그런데 제조사들이 그 위험성을 간과하고 이렇게 기본적인 보안도 갖추지 않고 출시를 하면, ‘편리한 건 위험하다’라고 소비자들이 생각하게 되고 제대로 된 IoT기능들을 누리지 못하게 되는 거죠.
그래서 1차적으로는 제조사의 책임이 크고 앞으로의 무게도 클 겁니다.
Q. 정부에서는 이런 문제를 어떻게 접근하고 있습니까?
현재 한국인터넷진흥원에서 IoT기기의 제조사와 사용자를 대상으로 하는 보안 가이드를 만들어서 배포하고 있고, 제조사들에게 출시 전에 기기의 취약점을 테스트 할 수 있는 프로그램을 운영 중입니다.
외국에서는 IoT보안이 워낙 중요하다 보니까, 해킹에 안전한 제품들을 소비자가 선택해서 쓸 수 있게 하자는 얘기가 나오고 있다고 합니다.
정부가 보안성 심의인증을 해서 좋은 제품과 안 좋은 제품을 시장에서 소비자들이 직접 골라 쓸 수 있도록 하자는 건데요.
이렇게 되면 저가라는 이유만으로 제품을 쓰지 않고, 가격대비 성능이 좋은 제품을 사서 쓰게 될 수 있습니다.
국내에서도 여러 기기들에 대해서 이런 보안성심사를 하고 있지만, 아직IoT기기 영역은 이 부분에서는 사각지대에 놓여있는 상황이라고 합니다.
그래서 앞으로 관계당국에서 취약점을 보완할 수 있는 표준과 보안인증제 강화 조치를 하루 빨리 마련해야할 것으로 보입니다.
(자세한 내용은 동영상을 시청하시기 바랍니다.)
ⓒ SBS Medianet & SBSi 무단복제-재배포 금지
많이 본 'TOP10'
- 1.[단독] 삼성 이재용 독일行…파운드리 챙기기 '미워도 다시 한번'
- 2.보면 무조건 사…편의점에서 사라진 '불닭'
- 3."'어르신 운전중' 표지 붙였더니, 어떤 변화가?
- 4.알면서도 놀라는 지역건보료…대출 받아 집 사면 확 준다
- 5.사별 후 재혼하자 유족연금 딱 끊겼다
- 6.[단독] 허울뿐인 삼성 신인사제도…절대평가 대신 하위고과자 할당
- 7.묵혀둔 은수저 어디있지?…실버바도 품귀
- 8.함평 비트코인 황금박쥐…세금낭비에서 261억 돈벼락
- 9.유리기판 시장 치고 나가는 SK…뒤쫓는 삼성·LG
- 10.'일용직인데, 집에만'…건설현장 없으니 17만명 손놨다