시설 보호와 범죄 예방용으로 설치된 CCTV 보안성 검토가 시급하다는 지적이다. 인터넷과 연결된 CCTV(IP카메라) 등 보안을 위해 설치한 장비가 오히려 정보 유출과 범죄에 악용된다는 우려다.
3일 관련 업계에 따르면 최근 러시아에 서버를 둔 ‘인서캠’ 사이트에서 국내 800여곳 CCTV 영상이 생중계돼 논란이 일었다. 방송통신위원회는 국내서 인서캠 접속을 차단했다.
인서캠 서비스가 가능한 건 보안에 취약한 CCTV 탓이다. 인서캠은 CCTV 출고 시 설정된 초기(디폴트) 비밀번호를 쓰는 제품을 찾아냈다. 익명 로그인을 허용하는 보안취약점을 이용해 CCTV 영상을 무단으로 세계에 생중계했다.
한국첨단안전산업협회(회장 배영훈)는 정보보호 제품처럼 국내 주요 공공기관과 기반시설에 들어가는 CCTV는 보안성 검토가 절실하다고 밝혔다. 최근 CCTV는 인터넷에 연결된 IP카메라가 대세다. 인터넷과 연결된 CCTV는 해커 먹잇감이다. 무선공유기처럼 해커가 침투할 수 있는 최전방 사물인터넷(IoT) 기기다.
CCTV는 카메라와 임베디드시스템 펌웨어로 구성된다. CCTV 펌웨어가 보안에 취약하다는 게 문제다. CCTV 웹 인터페이스 취약점도 많다. 해커는 인터넷 연결 기기를 찾아주는 검색 엔진 ‘쇼단’과 ‘지맵’ 등을 이용해 CCTV를 찾는다. 펌웨어 취약점을 분석해 영상에 접근하거나 악성코드를 감염시켜 분산서비스거부(DDoS) 공격을 감행할 수 있다. 카스퍼스키랩 분석에 따르면 지난해 4분기 CCTV 900대가 DDoS공격을 위한 봇넷 구성에 사용됐다.
주요 CCTV 보안 취약점도 계속 보고된다. NSHC(대표 허영일)는 지난해 3개월 동안 150여개 IoT 보안 문제점과 함께, 주요 CCTV에서 20여개 신규 보안 취약점을 찾았다. 중국 CCTV 제조사가 의도적으로 넣은 백도어도 발견했다. 이 회사는 지난해 11월 일본에서 열린 IoT 보안 취약점 해킹 대회에서 우승 했다.
허영일 대표는 “인터넷과 연결되는 CCTV가 급증하는데 임베디드시스템 펌웨어는 보안에 매우 허술하다”며 “CCTV에 접근할 때 사용자 인증 과정이 없는 제품부터 웹 인터페이스를 해킹해 화면을 훔쳐보는 취약점에 노출됐다”고 설명했다. 허 대표는 “CCTV도 무선공유기와 마찬가지로 취약점을 찾아도 펌웨어 업데이트가 힘들고 관리 주체가 불명확하다”며 “보안을 고려하지 않은 제품이 상당수”라고 덧붙였다.
CCTV업계는 무분별하게 도입된 제품이 공공기관과 주요시설 보안을 위협한다고 경고했다. 배영훈 한국첨단안전산업협회장은 “해외에서 반제품으로 수입된 CCTV가 국내서 조립돼 국산으로 둔갑한 사례가 관세청에 적발됐다”며 “이런 제품에 백도어가 있을 수 있고 대부분 보안에 취약한 펌웨어인데다 업데이트 관리가 안된다”고 설명했다.
김승주 고려대 정보보호대학원 교수는 “미국 국토안보부는 심지어 관용 차량도 보안성평가 대책을 마련 중”이라며 “우리도 보안제품 범위를 확대해 공공기관과 시설에 들어가는 CCTV를 비롯해 IoT 기기 보안과 평가 대책을 마련해야 한다”고 말했다.
김인순 보안 전문기자 insoon@etnews.com