과기정통부·KISA 조사...IP 카메라 전수조사 아닌 사용설명서상 초기 비밀번호만 확인
단종 제품도 대거 포함된 것으로 드러나... 정확하지 않은 정보로 이미지 실추 우려
[보안뉴스 원병철 기자] 국감에서 IP 카메라 취약점 논쟁이 불붙었다. 과학기술정보방송통신위원회 변재일 의원(더불어민주당)이 15일 보도자료를 통해 국내 유통 중인 400개 IP 카메라 중 126개가 보안이 취약하다고 주장한 것. 그러면서 변 의원 측은 그 증거로 지난 6월 과기정통부와 한국인터넷진흥원(KISA)이 실시한 ‘IP 카메라 실태조사’ 자료를 내세웠다.
[이미지=iclickart]
하지만 본지 취재 결과 이번 조사결과는 IP 카메라의 취약점 문제가 아니었다. IP 카메라의 기기적 문제나 소프트웨어상 취약점이 아닌, 단순히 IP 카메라의 비밀번호가 유추하기 쉬운 비밀번호이거나 비밀번호를 바꾸도록 하지 않은 것을 ‘취약점’으로 본 것이다. 더욱이 단종된 제품을 확인하거나 공식 테스트가 아닌 사용설명서에 비밀번호 설정 내용이 없다는 이유만으로 취약하다고 단정지은 경우도 있는 등 사실과 많이 다른 것으로 드러났다.
CCTV, 그중에서도 IP 카메라의 경우 보안과 안전으로 인해 대중적인 인지도가 높아지며 시중에서 쉽게 구할 수 있게 됐지만, 아이러니하게도 IP 카메라가 해킹을 당해 사용자의 보안과 안전을 위협받게 됐다. 특히, 국내에서 인기를 끌었던 애완동물용 IP 카메라가 해킹을 당해 개인 사생활이 고스란히 온라인에 공개되면서 정부 차원에서 이를 해결하려는 움직임이 진행됐다.
당시 문제가 됐던 사안도 이번 취약점 조사처럼 단순한 초기 비밀번호 때문이었다. 해커가 해킹을 통해 비밀번호를 탈취하거나 크리덴셜 스터핑(Credential Stuffing) 공격처럼 다른 곳에서 입수한 계정정보(아이디와 비밀번호)로 비밀번호를 알아낸 것이 아닌, 제품을 처음 구입할 때 사용하는 아이디와 비밀번호를 그대로 사용해서 계정을 탈취당한 사건이었다.
과기정통부는 이러한 IP 카메라 해킹을 막기 위해서 KC 인증에 비밀번호 설정을 포함하는 ‘단말장치 기술기준 일부 개정안’을 마련하고 행정예고했다. IP 카메라의 잦은 해킹이 단순한 비밀번호에 따른 것이라고 판단했기 때문이다.
이러한 가운데 15일 과학기술정보방송통신위원회 변재일 의원실에서 발표한 IP 카메라의 해킹 취약 보도자료는 해당 개정안이 마련될 때 조사됐던 자료를 바탕으로 하고 있다. 과기정통부와 KISA는 지난해 말 범정부 대책으로 발표한 ‘IP 카메라 종합대책’의 일환으로 우리나라에 유통 중인 IP 카메라 53개 제조사, 400개 제품을 대상으로 공장 출하 시 초기에 설정된 ID 및 비밀번호의 취약점을 조사했다. 그 결과 국내 제조사(18개) 제품 156개 중 보안 취약점이 확인된 제품은 48개(30.8%)로 확인됐고, 해외 제조사(35개) 제품 244개 중 78개(32%) 제품에서 취약점이 발견됐다고 밝힌 것이다.
그러나 여기서 말하는 취약점이란 앞서 설명한 것처럼 네트워크나 제품 설계상 취약점이 아닌 단순한 초기 계정정보, 즉 아이디와 비밀번호를 말한다. 즉, 0000이나 1234와 같은 누구나 유추할 수 있는 비밀번호를 그대로 사용함으로써, 누구나 IP 카메라 관리자 사이트에 접근해 IP 카메라 영상을 엿보거나 IP 카메라를 탈취해 사용할 수 있는 상황이 발생할 가능성이 크다는 얘기다.
물론 이러한 단순한 비밀번호를 그대로 사용하는 것은 문제가 있다. 때문에 에스원과 한화테크윈 같은 기업들은 처음 제품을 사용할 때 반드시 비밀번호를 변경해야 다음 단계로 넘어가도록 하는 등의 조치를 취하고 있다.
그런데 이번 조사결과에는 이러한 부분이 배제되어 있다. 본지가 취재한 결과 이번 조사결과에서 106개의 제품 중 9개가 취약한 것으로 발표된 한화테크윈의 경우, 문제가 된 9개 제품은 비밀번호 변경 조치를 하기 전에 이미 단종된 제품으로 밝혀졌다. 하지만 일부 재고가 남아 온라인상에서 유통됐고, 그 제품의 사용설명서를 과기정통부와 KISA가 입수하면서 취약한 제품으로 공개된 것이다.
27개 제품이 조사돼 27개 제품 모두가 취약한 제품으로 판명난 아이디스도 황당하다는 입장이다. 이미 초기 비밀번호 대응은 모두 마쳤지만, ‘사용설명서’인 만큼 사용상 필요한 부분만 서술하고 비밀번호에 대한 설명을 넣지 않았을 뿐인데, 갑자기 취약한 제품이 되어 버렸다는 것이다. 더욱이 27개 제품 가운데 13종은 이미 단종된 제품이라는 설명이다.
물론, 초기 아이디와 비밀번호를 그대로 사용하면서 생기는 문제는 분명 많이 발생했고, 이것들만 변경하면 해킹 등 피해를 대부분 막을 수 있는 것도 사실이다. 그것을 알기에 과기정통부가 ‘단말장치 기술기준 일부 개정안’을 마련했고, 이를 시행하기 위해 업계와 충분한 소통을 진행했다. 하지만 정부에서 해결책으로 내놓은 개정안을 시행하기도 전에 ‘IP 카메라 취약점’이라고 발표한 부분은 성급했다는 지적이다. 게다가 ‘취약점’이 강조된 탓에 IP 카메라 자체가 못쓸 물건이 된 것처럼 보이는 것도 아쉬운 부분이다.
변재일 의원은 이번 결과발표를 하면서 “IP 카메라를 비롯해 각종 정보통신 서비스에 대해 보안취약점을 점검하고 있는 과기정통부와 KISA는 그 결과를 업체나 제조사에게만 통보하는데 그칠 것이 아니라, 국민들이 제품과 서비스를 이용하는데 보안 취약점에 대한 정보를 참고할 수 있도록 그 결과를 공개해야 한다”고 강조했지만, 정확한 사실에 부합되지 않은 정보를 공개하고, 언론에 제공함으로써 보안업체들의 이미지를 실추시키고, 국민들에게 IP 카메라에 대한 불신을 키웠다는 점에서 적지 않은 후유증이 남을 것으로 보인다.
[원병철 기자(boanone@boannews.com)]
단종 제품도 대거 포함된 것으로 드러나... 정확하지 않은 정보로 이미지 실추 우려
[보안뉴스 원병철 기자] 국감에서 IP 카메라 취약점 논쟁이 불붙었다. 과학기술정보방송통신위원회 변재일 의원(더불어민주당)이 15일 보도자료를 통해 국내 유통 중인 400개 IP 카메라 중 126개가 보안이 취약하다고 주장한 것. 그러면서 변 의원 측은 그 증거로 지난 6월 과기정통부와 한국인터넷진흥원(KISA)이 실시한 ‘IP 카메라 실태조사’ 자료를 내세웠다.
[이미지=iclickart]
하지만 본지 취재 결과 이번 조사결과는 IP 카메라의 취약점 문제가 아니었다. IP 카메라의 기기적 문제나 소프트웨어상 취약점이 아닌, 단순히 IP 카메라의 비밀번호가 유추하기 쉬운 비밀번호이거나 비밀번호를 바꾸도록 하지 않은 것을 ‘취약점’으로 본 것이다. 더욱이 단종된 제품을 확인하거나 공식 테스트가 아닌 사용설명서에 비밀번호 설정 내용이 없다는 이유만으로 취약하다고 단정지은 경우도 있는 등 사실과 많이 다른 것으로 드러났다.
CCTV, 그중에서도 IP 카메라의 경우 보안과 안전으로 인해 대중적인 인지도가 높아지며 시중에서 쉽게 구할 수 있게 됐지만, 아이러니하게도 IP 카메라가 해킹을 당해 사용자의 보안과 안전을 위협받게 됐다. 특히, 국내에서 인기를 끌었던 애완동물용 IP 카메라가 해킹을 당해 개인 사생활이 고스란히 온라인에 공개되면서 정부 차원에서 이를 해결하려는 움직임이 진행됐다.
당시 문제가 됐던 사안도 이번 취약점 조사처럼 단순한 초기 비밀번호 때문이었다. 해커가 해킹을 통해 비밀번호를 탈취하거나 크리덴셜 스터핑(Credential Stuffing) 공격처럼 다른 곳에서 입수한 계정정보(아이디와 비밀번호)로 비밀번호를 알아낸 것이 아닌, 제품을 처음 구입할 때 사용하는 아이디와 비밀번호를 그대로 사용해서 계정을 탈취당한 사건이었다.
과기정통부는 이러한 IP 카메라 해킹을 막기 위해서 KC 인증에 비밀번호 설정을 포함하는 ‘단말장치 기술기준 일부 개정안’을 마련하고 행정예고했다. IP 카메라의 잦은 해킹이 단순한 비밀번호에 따른 것이라고 판단했기 때문이다.
이러한 가운데 15일 과학기술정보방송통신위원회 변재일 의원실에서 발표한 IP 카메라의 해킹 취약 보도자료는 해당 개정안이 마련될 때 조사됐던 자료를 바탕으로 하고 있다. 과기정통부와 KISA는 지난해 말 범정부 대책으로 발표한 ‘IP 카메라 종합대책’의 일환으로 우리나라에 유통 중인 IP 카메라 53개 제조사, 400개 제품을 대상으로 공장 출하 시 초기에 설정된 ID 및 비밀번호의 취약점을 조사했다. 그 결과 국내 제조사(18개) 제품 156개 중 보안 취약점이 확인된 제품은 48개(30.8%)로 확인됐고, 해외 제조사(35개) 제품 244개 중 78개(32%) 제품에서 취약점이 발견됐다고 밝힌 것이다.
그러나 여기서 말하는 취약점이란 앞서 설명한 것처럼 네트워크나 제품 설계상 취약점이 아닌 단순한 초기 계정정보, 즉 아이디와 비밀번호를 말한다. 즉, 0000이나 1234와 같은 누구나 유추할 수 있는 비밀번호를 그대로 사용함으로써, 누구나 IP 카메라 관리자 사이트에 접근해 IP 카메라 영상을 엿보거나 IP 카메라를 탈취해 사용할 수 있는 상황이 발생할 가능성이 크다는 얘기다.
물론 이러한 단순한 비밀번호를 그대로 사용하는 것은 문제가 있다. 때문에 에스원과 한화테크윈 같은 기업들은 처음 제품을 사용할 때 반드시 비밀번호를 변경해야 다음 단계로 넘어가도록 하는 등의 조치를 취하고 있다.
그런데 이번 조사결과에는 이러한 부분이 배제되어 있다. 본지가 취재한 결과 이번 조사결과에서 106개의 제품 중 9개가 취약한 것으로 발표된 한화테크윈의 경우, 문제가 된 9개 제품은 비밀번호 변경 조치를 하기 전에 이미 단종된 제품으로 밝혀졌다. 하지만 일부 재고가 남아 온라인상에서 유통됐고, 그 제품의 사용설명서를 과기정통부와 KISA가 입수하면서 취약한 제품으로 공개된 것이다.
27개 제품이 조사돼 27개 제품 모두가 취약한 제품으로 판명난 아이디스도 황당하다는 입장이다. 이미 초기 비밀번호 대응은 모두 마쳤지만, ‘사용설명서’인 만큼 사용상 필요한 부분만 서술하고 비밀번호에 대한 설명을 넣지 않았을 뿐인데, 갑자기 취약한 제품이 되어 버렸다는 것이다. 더욱이 27개 제품 가운데 13종은 이미 단종된 제품이라는 설명이다.
물론, 초기 아이디와 비밀번호를 그대로 사용하면서 생기는 문제는 분명 많이 발생했고, 이것들만 변경하면 해킹 등 피해를 대부분 막을 수 있는 것도 사실이다. 그것을 알기에 과기정통부가 ‘단말장치 기술기준 일부 개정안’을 마련했고, 이를 시행하기 위해 업계와 충분한 소통을 진행했다. 하지만 정부에서 해결책으로 내놓은 개정안을 시행하기도 전에 ‘IP 카메라 취약점’이라고 발표한 부분은 성급했다는 지적이다. 게다가 ‘취약점’이 강조된 탓에 IP 카메라 자체가 못쓸 물건이 된 것처럼 보이는 것도 아쉬운 부분이다.
변재일 의원은 이번 결과발표를 하면서 “IP 카메라를 비롯해 각종 정보통신 서비스에 대해 보안취약점을 점검하고 있는 과기정통부와 KISA는 그 결과를 업체나 제조사에게만 통보하는데 그칠 것이 아니라, 국민들이 제품과 서비스를 이용하는데 보안 취약점에 대한 정보를 참고할 수 있도록 그 결과를 공개해야 한다”고 강조했지만, 정확한 사실에 부합되지 않은 정보를 공개하고, 언론에 제공함으로써 보안업체들의 이미지를 실추시키고, 국민들에게 IP 카메라에 대한 불신을 키웠다는 점에서 적지 않은 후유증이 남을 것으로 보인다.
[원병철 기자(boanone@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
_m.jpg)
.jpg)
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
