공공시설 보안 위협하는 중국산 IP카메라

887 2017.11.06 09:05

첨부파일

짧은주소

본문

저렴한 가격을 무기로 정부 시설물에 확산되고 있는 중국산 IP카메라의 보안 수준이 일반인도 해킹할 수 있을 정도로 크게 취약한 것으로 확인됐다. 사생활 영상 유출 창구로 지목된 중국산 IP카메라가 국가 중요 시설 등 공공영역으로 확산되면서 국가 안전관리에 구멍이 뚫릴 수 있다는 우려가 나오고 있다.



동아일보가 3일 유튜브 등에 공개된 중국 A사의 IP카메라 백도어(Back Door·개발자가 사후관리 등을 위해 의도적으로 열어 놓은 통로) 접속 영상을 재현한 결과, 국내 국공립대학 실험실과 공용 놀이터, 대학 캠퍼스 등 공공영역의 방범용 촬영카메라 영상 상당수가 해킹 시도에 무방비였다. 무작위로 선정한 IP카메라를 해킹하는 데 걸린 시간은 불과 30초 안팎. 일부 화면에는 앞서 다른 누군가가 해킹에 성공한 증거로 남겨놓은 ‘HACKED’ 메시지가 표시돼 있었다.



IP카메라는 관리자와 유선으로 연결된 기존 폐쇄회로(CC)TV와 달리 무선망으로 연결돼 어디서나 실시간 영상을 확인할 수 있는 일종의 ‘네트워크 카메라’다. 다른 나라에 있는 카메라라도 인터넷주소(IP주소)만 알면 제3자의 접근이 얼마든지 가능한 구조다.

 



▼ 명령어 복사해 붙이면 외국서도 엿봐 ▼



해킹 방법은 누구나 따라할 수 있을 정도로 간단하다. IP주소 검색엔진에서 보안이 허술한 IP카메라 주소를 골라서 복사한 뒤 IP 주소창에 알파벳, 숫자, 특수문자 등으로 된 ‘37자(字)’의 명령어를 붙이면 PC와 스마트폰 화면을 통해 엿보기가 가능하다. 여기에 비밀번호 초기화 프로그램을 쓰면 실시간 영상도 볼 수 있다. 초기화 프로그램은 IP카메라 개발자 포럼 홈페이지에서 누구나 무료로 구할 수 있다.



문제는 이런 IP카메라가 사생활 침해를 넘어 범죄나 국가시설 염탐에 악용될 수 있다는 점이다. 중국산 제품은 국내 대기업 제품의 3분의 1, 중소기업 제품의 50∼60% 수준으로 저가 공세를 통해 시장을 넓혀 가고 있다.



본보 확인 결과 이번 해킹 시도에 뚫린 중국산 제품은 정부과천청사, KTX 역사(광주 송정역), 발전소(태안 서부발전) 등 국가 중요 시설에서도 사용되고 있었다. 지방자치단체가 주관하는 방범용 카메라 설치 사업에서도 2014년부터 올해까지 중국산 제품 3000대 이상이 도입됐다. 정부과천청사에서는 장차관실 앞 복도 등 주요 연결동선에 제품이 설치돼 있어 해킹될 경우 국가 주요 인사 동태가 노출될 위험이 있다. KTX 역사와 발전소에 설치된 제품들은 각각 이용객 이동 경로와 시설물 주변 등을 비추고 있어 테러에 악용될 가능성이 제기된다.



해당 시설의 보안 담당자들은 내부망을 이용하기 때문에 문제없다는 입장이다. 정부과천청사 관계자는 “입찰 설명회 때 문제가 된 중국산 제품을 사용하면 안 된다는 의견이 나왔지만 기술평가 성능 검증을 통과했다”면서 “내부폐쇄망을 이용해 해킹 위험은 없다”고 말했다. 서부발전 관계자는 “내부망에서 별도망으로 분리해 보안을 강화하고 있다”고 말했다.



하지만 전문가들은 내부망 사용만으로 안심할 수 없다고 지적한다. 대통령직속 4차산업혁명위원회 사이버보안 위원인 이희조 고려대 컴퓨터학과 교수는 “내부망을 써도 개발·유통단계에서 IP카메라 관련 소프트웨어에 악성코드를 심는 등의 조작을 하면 외부망처럼 쉽게 해킹할 수 있다”고 지적했다.



IP카메라 해킹 문제가 국내에서는 사생활 침해 등 민간영역에서 주로 문제가 되고 있지만 해외에서는 사이버 보안 이슈로 확전 양상을 띠고 있다. 올 5월 미 국토안보부가 중국산 IP카메라의 보안 취약점을 지적했고, 연방조달처도 이를 공급 금지 품목으로 선정했다. 영국은 중국산 IP카메라를 자국 시설에 대한 스파이 창구로 의심하고 있다. 영상보안매체 IPVM이 올 9월 전 세계에 설치된 해당 회사 제품 수천 대를 무작위로 점검한 결과, 62%에서 해킹에 성공했다. 과학기술정보통신부는 지난달 IP카메라 보안 강화를 위한 민관협력회의를 열어 이용자 보안수칙 강화 등 대책을 내놨지만 공공기관 보안 문제는 논의되지 않은 것으로 알려졌다.



오세기 한국첨단안전산업협회 사무총장은 “검증되지 않은 중국산 등 외국산 제품은 지역 정보와 시민 이동 정보 등 정치군사적 정보를 빼가는 창구로 활용될 수 있다”며 “정부나 공공기관에서만이라도 해킹 우려가 적은 국산품 활용을 의무화해야 한다”고 주장했다.



국산업체의 경우 해킹 경로로 악용될 소지가 있는 백도어를 아예 만들지 않거나 자체 보안 검증을 강화하고 있다. 보안업계 관계자는 “국산품은 인력이 충분하고 사후관리가 용이해 굳이 백도어를 만들 필요가 없다”고 말했다. 최근 경기남부지방경찰청과 경남지방경찰청이 적발한 해킹 사건의 IP카메라(각각 1400대, 2600대) 모두 저가의 외국산이었다.

 
0
좋아요!
댓글목록

등록된 댓글이 없습니다.

댓글쓰기
Note: 댓글은 자신을 나타내는 얼굴입니다. 무분별한 댓글, 욕설, 비방 등을 삼가하여 주세요.
자동등록방지 숫자를 순서대로 입력하세요.

KMUG 매거진