[보안뉴스 김성미 기자] 공공시장은 물론 민수시장에서 거래되는 보안 카메라의 해킹방지를 위한 보안이 강화되고 있다.
연초에는 공공기관 납품용 IP 카메라에 대한 보안 규정을 강화하는 ‘한국정보통신기술협회(TTA)의 보안인증(IP 카메라와 NVR 보안 TTA Verified Ver.1 시험인증(이하 공공기관용 TTA 보안인증))’이 마련되더니, 이어 3월에는 민수시장용 보안 카메라의 보안규정을 강화하기 위한 포석이 깔렸다.
KC 인증을 통해 IP 카메라 보안을 강화하기 위한 ‘단말장치 기술기준 일부 개정(안)’이 개정돼 행정 예고됐고, 유선분야 적합성평가를 위한 시험·평가 항목을 정하는 ‘방송통신기자재 등의 적합성평가에 관한 고시’가 한창 개정 중에 있다.
이로 인해 업계는 단순한 보안규정 항목 하나가 추가됨에도 2개의 적합성평가를 통과해야만 KC 인증을 받게될 수도 있다며 시간과 비용이 2배로 드는 것 아닌가 하는 우려를 나타내고 있다.
[사진=dreamstime]
IP 카메라 보안 규정 강화 이유는
IP 카메라의 보안규정이 강화되고 있는 이유는 최근 몇 년간 발생한 IP 카메라 해킹 사건 때문이다.
국내 주요 IP 카메라 해킹 사건으로는 지난해 9월 경찰이 IP 카메라 1,402대를 무단 접속해 불법 촬영하고 영상을 유포한 50명을 검거한 사례와 이보다 앞선 2016년 1월 발생한 영상 해킹 사이트 러시아 인세캠에 IP 카메라 영상이 불법 유출돼 무단 생중계된 것을 꼽을 수 있다. 러시아 인세캠 사건은 비밀번호 변경없이 사용하고 있는 전 세계 126개국 2만여개의 IP 카메라를 해킹한 것으로 한국 소재 500여대 IP 카메라도 해킹돼 영상이 노출됐다.
이처럼 IP 카메라에 무단 접속해 영상을 불법 촬영하거나 유포하는 사례가 늘어남에 따라 사생활 유출 등 국민 불안과 국가안보가 위협받고 있다는 인식이 확산되자 정부는 지난해 9월 국무회의에서 보고된 ‘디지털 성범죄(몰래 카메라) 피해방지 종합 대책’에 ‘IP 카메라 등 영상촬영기기 보안강화’ 과제를 포함시켰다.
이어 지난해 12월말에는 IP 카메라 전 단계에서 보안을 강화해 해킹 사고를 예방하고, 관련 영상 및 안전산업 육성도 병행하는 내용의 ‘범정부 IP 카메라 종합 대책’을 마련했다. IP 카메라 전 단계란 제조와 수입, 유통과 이용에 이르는 과정 전부를 가리킨다.
이 종합 대책은 크게 3가지 주요 전략으로 구성돼 있는데 ①제조·수입 단계에서 보안성을 갖춘 제품이 제조되고 수입되도록 제도화하고 ②구매·이용 단계에서는 해킹 위협을 사전에 점검·탐지하고 해킹 사고 발생시 신속한 조치와 대응을 할 수 있도록 하는 한편 ③IP 카메라를 지능형으로 고도화해 관련 산업을 육성하는 것이다. 공공기관용 TTA 보안인증과 KC 유선인증 보안규정이 마련된 것은 이 전략들 중 ①에 해당하는 후속 조치다.
고시 개정과 행정예고… 보안 법제화 과정
복수의 전문가에 따르면 IP 카메라 해킹 사고 예방은 초기 비밀번호만 안전하게 관리돼도 대부분 예방이 가능한데, 지금까지 발생한 IP 카메라 해킹 사고는 대부분 비밀번호를 설정하지 않았거나 ‘0000’ 혹은 ‘1234’ 등 알기 쉬운 초기 비밀번호를 변경하지 않고 사용해 발생했다.
이를 볼 때 초기 비밀번호 보안성 강화는 중요하다. 소비자도 이를 인지하고 아이디와 비밀번호를 설정을 실천해야 예방할 수 있다. 하지만 국내 민수시장에서 거래되는 IP 카메라는 대부분 아이디와 패스워드 설정에 취약해 문제가 되고 있다.
한국인터넷진흥원(KISA)이 지난해 10월 국내 판매실적이 높은 IP 카메라를 대상으로 보안 현황을 조사한 결과, 29.9%에 이르는 IP 카메라가 아이디와 패스워드 설정에 취약한 것으로 파악됐다. 특히, 해외 제조 제품(36.1%)이 국내 제조 제품(21.9%)보다 보안에 취약했다.
정부는 이런 결과에 따라 앞으로 IP 카메라를 제조·판매·수입하는 업체는 단말기마다 초기 비밀번호를 다르게 설정하거나 이용자가 변경하도록 하는 동작 기능 탑재를 의무화하기로 했다. 또한, IP 카메라 해킹 방지에 필수적인 보안사항을 ‘IP 카메라 보안 체크리스트’로 제정해 제조·수입 업체를 대상으로 이행을 권고하기로 했다.
보안성이 높은 제품의 생산과 이용을 촉진하기 위한 IP 카메라 등 사물인터넷(IoT) 제품에 대한 보안 인증제도도 시행할 방침이다. 중장기적으로는 정보통신망법 적용대상에 IoT 기기에 대한 규정을 신설해 보안 요소에 대한 법제화를 추진한다.
이와 함께 국내 시장에 유통 중인 IP 카메라 제품에 대한 정기적 실태 조사를 통해 보안 기준을 충족하지 않은 제품은 관련 기준을 갖추도록 유도할 계획이다. IP 카메라의 보안 취약점 신고포상제 등을 통해 IP 카메라의 보안 취약점 수집을 확대하고, 제조사와 협력을 통한 보안 패치 개발 및 이용자가 알기 쉬운 조치 방법도 안내하기로 했다.
특히, IP 카메라 등 IoT 제품에서 침해 사고와 관련된 보안 취약점이 발견될 경우 제조사가 의무적으로 보완 조치를 취하게 해 유사 취약점으로 인한 사고가 재발하지 않게 할 방침이다.
TTA 보안인증과 KC 유선인증평가의의 차이
국정원과 TTA가 IP 카메라 보안을 위한 ‘공공기관용 TTA 보안인증’을 먼저 내놓고 각 부처와 산하 지방자치단체(지자체)와 공공기관에 권고 공문을 발송하면서 일부 공공시장 영상보안장비 발주가 사실상 정지되었고 영상보안업체의 매출이 급감하는 등 혼선이 빚어졌다.
이 사태는 4월 중순 국정원이 다시 오남용 방지 공문을 내려 보내면서 일단락됐다. 그러나 3월 21일 과기부와 전파연구원이 KC 인증에 보안규정을 담기 위한 사전조치로 ‘단말장치 기술 기준’과 ‘방송통신기자재 등의 적합성평가에 관한 고시’를 개정해 행정 예고한 것이 뒤늦게 업계에 알려지면서 또 다른 혼선이 빚어지고 있다.
공공기관용 TTA 보안인증에 이미 부담감을 느끼고 있는 업계가 한발 늦게 나온 KC 보안규정에 느낀 부담은 상상 이상이었다. 이미 받고 있던 KC 인증인데 고시 개정으로 비밀번호 항목 하나를 검증하기 위해 추가로 유선분야 적정성평가 전체를 새로 받아야 한다면 무엇보다 비용이 증가할 것이라는 예측 때문이었다.
업계 분위기는 행정 예고 후 지난 5월 21일까지 2달간 전파연구원 웹사이트(www.rra.go.kr)의 전자공청회 페이지에서 쉽게 파악할 수 있다. 91개의 코멘트(총 94개, 이중 2개 의견은 찬성에서 반대로 수정)가 모두 이번 정부 조치에 대한 반대, 문제점 지적, 개선방향 제시 등의 의견을 담고 있다.
이곳을 창구로 업계는 유선분야 적합성평가 대신 기존에 받았던 전자파적합성(EMC) 평가에 비밀번호 조항을 추가하거나 비밀번호 항목만 원 포인트 평가, 비밀번호 항목에 대한 자기적합성 선언을 하는 방법을 대안으로 제시했다.
정부가 각각 공공시장과 전체 내수시장에 유통되는 IP 카메라에 대한 개별 보안 대응책을 마련하자 영상보안업계가 가장 우려하는 것은 이로 인한 인한 제조비용 증가다. 공공기관용 TTA 보안인증은 공공기관에 보안 카메라를 납품하지 않는 업체는 신경 쓰지 않아도 되는 ‘임의 인증’이지만, KC 인증은 한국시장에 제품을 유통하려면 반드시 받아야 하는 ‘강제 인증’이라 업계의 반발도 크고 관심도 더욱 뜨겁다.
업계도 대승적인 관점에서 보안 카메라를 위한 ‘보안’이 필요하다는데 동의한다. 다만 국내외 시장 경쟁이 심화되며 이익을 내기 어려운 가운데 업계의 부담과 충격을 줄이면서 공익도 챙기는 정책 방향으로 나아가길 바라고 있다. 업계 일각에서는 보안인증뿐 아니라 여러 가지 CCTV 인증을 하나로 통합한 인증제도 단일화를 요구하는 입장도 있다. 정부와 업계의 조율이 필요한 시점이다.
‘강력한’ TTA 보안인증… 공공시장 진출하려면 ‘필수’
앞에서도 얘기했지만 ‘공공기관용 TTA 보안인증’은 임의 인증으로 권고사항이지만 공공기관을 대상으로 하기에 보다 강력한 보안을 요구한다. IP 카메라가 해킹과 정보유출 등 사이버 위협에 대비해 65개 정보보안 규격을 충족하는지를 인증한다.
게다가 국정원이 권고하는 인증인 덕에 공무원이나 공공기관 납품 영상보안업체 사이에서는 권고가 아닌 ‘필수’인증으로 각인됐다. 아직까지 이 인증을 획득한 업체와 제품은 하나도 없지만 어느 한 제품이라도 이 인증을 획득하면 도입 우선 장비로 고려될 가능성이 높다.
실제로 지난 1월 말 국정원 공문이 내려오자 일부 지자체와 공공기관에서는 영상보안장비 도입을 위한 시방서에 공공기관용 TTA 보안인증을 획득한 장비를 조건으로 명시해 기존 업체들의 공급 루트가 막히는 사태가 벌어졌다. 이런 전례가 인증을 우선 획득한 소수의 기업이 시장을 선점할 것이란 가능성에도 무게를 실어주고 있다.
TTA CCTV 시험·인증 서비스에 ‘보안인증’ 추가
공공기관용 TTA 보안인증은 과기부와 TTA가 2015년 말부터 실시해 온 ‘CCTV 시험·인증 서비스 사업’에 추가된 인증 서비스다. CCTV 업체간 장비 규격이 달라 상호연동이 되지 않았던 기업 등 수요처의 불편을 해소하고 CCTV의 객관적 품질 검증을 위해 마련됐다.
먼저 장비 성능인증 시험규격을 만들어 시행하기 시작했고, 올해부터 공공기관용 TTA 보안인증 시험규격을 새로 도입했다.
TTA CCTV 시험규격은 ①영상보안 시스템 상호연동 TTA Verified 인증기준 ②영상보안 시스템용 풀-HD급 IP 카메라 TTA Verified 인증기준 ③영상보안 시스템용 NVR TTA Verified 인증기준 ④영상보안 시스템용 IP 카메라 보안 TTA Verified 인증기준 ⑤영상보안 시스템용 NVR 보안 TTA Verified 인증기준 ⑥영상보안 시스템용 통합관제시스템(VMS)간 상호연동 TTA Verified 인증기준 ⑦영상보안 시스템용 UHD급 IP 카메라 TTA Verified 인증기준 ⑧지능형 CCTV 영상분석 시스템 경보 기록 방법 등 8개다.
이들 시험인증은 기업 및 수요처의 요구에 따라 수행하는 임의 인증으로, 과기부는 이 시험·인증이 제조사에서는 이 인증시험을 제품의 품질에 대한 홍보 수단으로 활용하고, 수요처에서는 타사 장비간 상호연동이 가능하고 고품질과 신뢰성이 확보된 제품을 선택할 수 있어 유지비용을 절감할 수 있는 긍정적인 효과를 낼 것으로 기대하고 있다.
공공기관용 TTA 보안인증 획득 절차와 방법
공공기관용 TTA 보안인증을 받으려면 인증 시험에서 모든 기준 항목을 통과해야 한다.
TTA는 인증 기준과 시험 서비스를 처음 접하는 업체를 대상으로 인증시험 전에 개발지원 시험을 진행할 것을 권장하고 있는데 이는 국내 중소기업을 대상으로 하는 무료 서비스라 활용해 보는게 유리하다.
필수는 아니지만 인증시험과 동일한 기준과 방법으로 수행되는 모의고사나 다름없어 개발지원 시험에서 미리 결과를 확인하는 것이 안전하다. 인증시험을 통과하지 못하는 경우(Fail) 시험이 중단되거나 상황에 따라 시험이 종료될 수도 있다. 인증시험은 최대 2번의 기회만 제공된다.
시험 접수는 TTA의 해당 시험 웹페이지(http://test.tta.or.kr)에서 세부시험별로 각각 신청해야 한다. 시험을 신청한 후에는 해당 장비에 대한 KC 인증서(방송통신기자재 등의 적합등록 필증)를 TTA로 보내야 하는데, 해당 서류는 국산 제조 제품에 대한 최소한의 증빙 자료로 활용된다.
시험의뢰업체(제조사)의 온비프(ONVIF : Open Network Interface Forum) 회원 자격은 필수다. 상호연동 시험에서 ‘ONVIF Conformance Test Tool’ 결과에 대한 현장 구동 및 결과 확인이 필요한데 온비프 회원에 한해 사용 자격이 있다.
공공기관용 TTA 보안인증 서비스는 정부 과제로 수행되는 것으로 조건부 무료다.
국내 중소 제조사의 경우 누적 진행건수 30건(2016년 1월 이후)을 초과하거나 연 진행건수 6회(2018년 3월 이후)를 넘기면 비용(장비당 400만원)이 발생한다. 중소기업이 아니면 누적 진행건수 20건(2016년 1월 이후) 초과 또는 연 진행건수 4회(2018년 3월) 초과분부터 비용(장비당 600만원)이 필요하다. 외산 업체는 장비당 1,500만원이 부과된다.
파생모델은 별도의 시험 없이 인증을 받을 수 있다. 동일 소프트웨어를 쓰는 모델은 상호연동성, 보안 시험이 면제되고 장비에 대한 시험이 진행돼 인증비용이 절반으로 줄고 소요시간도 단축된다. 시험 일정이 확정되면 시료를 TTA에 전달하면 되며, 시험은 기본적으로 보안 기능과 일반 기능, 상호연동 분야로 나눠 진행되기 때문에 빠른 진행을 위해서는 시료(제품) 3대가 필요하다.
개발지원 시험에는 공공기관용 보안기능은 1~3일이며, 일반기능은 1일, 상호연동은 1일이 소요된다. 개발지원 시험에 각 기업의 연구·개발 인력이 참여하면 Fail 결과와 대처방법, 디버깅 작업을 더 원활하게 진행할 수 있다. 인증시험에는 최적의 경우 약 2주가 소요된다. 성적서·인증서 발급 등 행정 처리에는 추가로 1주가 필요하다.
KC 인증에 추가된 CCTV 보안규정… 진행 추이따라 대응해야 할 ‘강제인증’
영상보안업체들은 그동안 KC 인증을 받아 오고 있었기 때문에 이번 법 개정으로 인한 변화에 대한 반발이 특히 거셌다.
과기부와 전파연구원은 범부처 IP 카메라 종합 대책에 따라 후속 조치를 해온 것이라지만 업계 입장에선 엎친 데 덮친 격이라서다. 공공기관용 TTA 보안인증에 놀란 가슴을 진정시키기도 전에 ‘단말장치 기술기준 일부 개정(안)(단말장치 기술기준)’ 행정 예고에도 대응해야 했다.
개정 단말장치 기술기준 주요 골자는 ①제2조에 제8호 및 제9호를 신설해 ‘영상정보처리기기’에 CCTV와 IP 카메라 포함 ②제4장 제15조 3을 신설해 인터넷 프로토콜(IP)을 기반으로 영상정보를 조회·전송할 수 있으며 기기 제어 기능을 가진 영상정보처리기기는 유·무선망에 최초로 접속할 경우에 비밀번호를 설정하거나 변경해 사용할 수 있는 기능을 갖춰야 한다는 것이다. IP 카메라 보안성 확보를 위해서다.
업계는 법 개정에 따라 기존에 영상보안장비는 ‘방송통신기자재 등의 적합성평가에 관한 고시(방송통신기자재적합성평가제도)에 따른 4개의 적합성평가에서 전자파적합성(EMC) 평가만 받으면 KC 인증을 받을 수 있었으나, 단말장치 기술기준 개정에 따라 간단한 비밀번호 설정 확인을 위한 유선분야 적합성평가까지 모두 받아야 KC 인증을 받게 됐다고 보고 있다.
방송통신기자재적합성평가제도는 제조·수입·판매되는 기자재를 대상으로 운영자와 이용자의 안전과 서비스 향상을 위해 평가하는 제도로, 적용기자재를 분류해 EMC·무선·유선·전자파 인체보호 등 4개 항목에 대한 적합성평가 적용 분야를 정한다.
영상보안업계는 그동안 국내에 유통하는 전기전자 제품이라면 반드시 받아야 하는 EMC 평가를 받아 KC 인증을 받았다. EMC 평가는 전자파 장애를 주거나 전자파로부터 영향을 받는 유무선 기자재에 모두 적용되는 기준이다.
단말장치 기술기준은 방송통신설비 운영자와 이용자의 안전과 방송통신 서비스 품질향상을 목적으로 하는 유선분야의 적합성평가 기준이다. 과기부가 이번에 신설한 IP 카메라의 초기 비밀번호 설정 항목은 단말장치 기술기준에 추가된 조항이다.
업계의 우려에 대해 과기부는 업계 충격을 최소화하는 방안을 찾을 테니 지켜봐 달라는 입장이다. 이번 행정 예고도 단말장치 기술기준과 방송통신기자재 등의 적합성평가에 관한 고시를 일부 개정하는 것이며 실제로 유선분야 적합성평가를 통해 IP 카메라 보안을 강화하는 것은 앞으로 행정 예고와 규제심사, 관보게재, 유예기간을 거쳐 2019년 초에나 본격 시행된다는 설명이다.
과기부 관계자는 “단말장치 기술기준 개정을 통해 IP 카메라에 대한 유선분야 적합성평가를 위한 시험·평가 항목을 정하는 방송통신기자재적합성평가제도가 개정돼야 시험방식이 확정되고 유선인증 적용범위 등 세부내용도 결론이 난다”며 “사업자 부담을 최소화할 방안을 마련해 고시를 개정할 수 있도록 전파연구원 등 관계 기관과 협의하고, 1~2달 내 관련 업계를 대상으로 공청회를 마련해 업계 의견을 청취할 계획”이라고 밝혔다.
[김성미 기자(sw@infothe.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>