어린 자녀나 반려 동물의 안전을 지키기 위해 설치한 IP카메라가 사생활 침해 도구로 사용되고 있다. 소중한 가족을 지키기 위해 IP 카메라를 설치하지만, IP 카메라에는 보안 설정을 따로 해야 하고, 최신 펌웨어로 업그레이드해야 한다는 것은 사람들이 잘 알지 못한다. 최근 IP카메라의 유출 실태와 한국인터넷진흥원이 제공하는 IP카메라 보안설정 가이드를 소개한다.
최근 서울 강남 성형외과 IP카메라 영상이 온라인 사이트에 유출되면서 사회적인 이슈가 된 바 있다. 경찰 등에 따르면 온라인 커뮤니티에 강남 한 성형외과 진료 장면이 담긴 내부 IP 카메라 영상이 올라왔고 사생활 침해의 소지가 있는 영상이 포함되어 우려가 되고 있다..
IP카메라 보급이 확대되면서 보안 위협에 대한 관심도 높아지고 있다. 하지만 정부가 IP카메라 보안 취약점을 점검한 결과 사용자 인증 없이 촬영·저장된 영상에 접근이 가능하거나, 영상 송출 과정이 암호화되지 않는 등 곳곳에 구멍이 뚫린 것으로 확인되었다.
한국인터넷진흥원에 따르면 IP카메라 등 사물인터넷(IOT) 보안 취약점 관련 신고 건수는 2020년 141건에서 2022년 333건으로 급증했다. 하영제 국민의힘 의원실이 한국인터넷진흥원(KISA)으로부터 제출 받은 ‘취약한 IP카메라에 대한 운영 실태 조사’에 따르면 IP카메라는 ▷비밀번호 ▷영상정보 보호조치 ▷감사기록 생성 및 저장 ▷펌웨어 업데이트 기능 등에서 보안 취약점이 발견됐다.
IP카메라 보안수칙
IP카메라는 인터넷을 통해 원거리에서 PC나 스마트기기를 통해 영상을 확인하고 녹화할 수 있는 기기이다. IP카메라는 일반 CCTV보다 가격이 저렴하며 DVR 등 녹화기 없이도 운영이 가능한 네트워크 카메라이기 때문에 사업장의 보안과 가정의 베이비캠, 출근 후 혼자 있을 애완동물 모니터링 등 다양한 분야에 활용되고 있다.
하지만 IP카메라를 잘못 사용하는 경우 모르는 사람이 내 카메라를 훔쳐보고, 이야기를 듣는 등 사생활 유출로 이어질 수 있다. 그렇다면 IP 카메라를 안전하게 사용하기 위해서는 어떻게 해야 할까? 한국인터넷진흥원 보호나라에서는 다음과 같이 IP카메라 보안수칙을 제시하고 있다.
첫째, 비밀번호를 주기적으로 변경해야 한다. 기기 구매 시 설정된 초기 ID, 비밀번호는 웹 검색만으로 쉽게 노출되어 누구나 접속이 가능하다. 따라서 처음 사용 시 ID와 비밀번호는 꼭 변경하고, 주기적으로 영문 대/소문자, 숫자, 특수문자를 혼합하여 8자리 이상 패스워드를 주기적으로 변경해야 한다.
둘째, 게스트 모드 활성화 여부를 확인해야 한다. 관리자 계정을 완벽하게 설정했더라도, 게스트 모드를 활성화하는 경우, 누구나 IP카메라에 접근하여 영상을 확인할 수 있다. IP카메라에서 게스트 모드를 지원하는지 확인하고 사전에 인가된 사용자만 접근할 수 있도록 이를 비활성화하도록 권고하고 있다.
셋째, IP카메라와 연결되는 기기의 보안을 강화해야 한다. IP카메라와 인터넷을 연결해주는 공유기 영상 확인을 위한 PC 또는 스마트폰의 취약점으로 인해 IP카메라 정보가 노출 될 수 있다. 관련 기기의 패스워드 설정, 백신 사용 및 최신 보안 업데이트 후 사용을 권고한다.
넷째, 사용하지 않을 때는 전원을 차단하는 게 좋다. 취약점이 존재하는 IP카메라를 사용하지 않을 때도 네트워크에 연결된 상태로 켜두는 경우 비인가자에 의해 영상이 송출될 수 있다. 집에 사람이 있는 경우 IP카메라 연결이 꼭 필요하지 않을 때는 전원을 끄는 게 좋다.
다섯째, IP카메라 펌웨어 업그레이드를 자주해야 한다. IP카메라의 취약한 부분을 업데이트하는 최신 펌웨어가 나왔지만 업데이트를 하지 않는 경우 공격자가 취약점을 이용하여 IP카메라를 의도치 않게 조작 할 수 있다. IP카메라의 기능 개선, 취약한 부분을 개선하는 펌웨어 업데이트를 주기적으로 확인하고 업데이트해야 한다.
정부 대책에도 IP카메라 여전히 취약
2017년 종합 대책 마련 당시 정부는 비밀번호에 맞춰 제도를 정비했다. IP카메라 해킹사고 상당수가 초기에 설정된 0000, 1234와 같은 알기 쉬운 비밀번호를 계속해서 사용하면서 발생했기 때문이다. 이에 2019년 2월부터 단말장치 기술기준 개정을 통해 IP카메라 비밀번호 설정 또는 변경을 의무화하고, 해당 기능이 없을 시 국내 유통을 금지했다.
문제는 비밀번호 설정 외에 다른 취약점들도 다수 발견됐다는 것이다. 앞서 예로 든 ‘취약한 IP카메라에 대한 운영 실태 조사’ 보고서에 따르면 B2C와 B2B제품의 39%가 취약한 상태인 것으로 나타났다. ▷네트워크 전송 과정 암호화 조치 미비 ▷사용자 인증 없이 촬영 중인 영상정보 접근 가능 ▷저장 또는 백업된 영상정보 보호 미비 중 1개 이상 해당 되는 제품들이 279개에 달했다.
IP카메라의 경우 일반 CCTV와 달리 유·무선 네트워크를 통해 스마트폰 등 연결된 단말 기기를 통해 영상 송출이 가능하다. 네트워크를 타고 영상이 전달되는 과정이 암호화되어 있지 않으면, IP카메라를 해킹하지 않고도 영상 정보를 유출할 수 있어 위험하다. 이러한 점 때문에 전문가들은 IP카메라 보안 사고 방지를 위해 영상 송출 과정 암호화, 로그 기록 생성·보관 의무화 등 보다 강력한 조치가 필요하다는 의견을 개진하고 있다.