[보안뉴스 윤서정 기자] 최근 발생한 성형외과 감시 영상 유출사건으로 인해 영상 감시 시스템의 보안성에 대한 기업들의 관심이 커지고 있다. 이에 시놀로지는 기업이 CCTV 영상 유출 방지에 주의해야 할 방안으로 △시스템 보안 △연결 보안 △권한 관리 보안을 제시하며, 기업의 영상 감시 시스템 보안성 자가 진단에 도움을 주고 있다.
▲권한 설정 시 기업이 고려해야 할 최소 권한 원칙[자료=시놀로지]
셸리 추 시놀로지 세일즈 매니저는 “최근 몇 년간 일어난 영상 감시 보안사건을 보면 대부분 정기적으로 장비·시스템의 보안 업데이트를 수행하지 못하거나 부정확한 접근 권한 설정이 원인인 경우가 대부분”이라며, 시놀로지의 감시 시스템 배치 경험을 바탕으로 시스템 보안, 전송 보안 및 권한 보안의 세 가지 측면에서 단계적으로 보안 감시 시스템을 개선하는 것을 추천했다.
영상 감시 시스템의 안전을 유지하는 첫 단계는 IP 카메라와 VMS(영상관리 시스템 : Video Management System)의 정기적 업데이트 여부를 확인하는 것이다. 기업은 보안 감시 서비스 제공업체를 선택할 때 업체의 정기적 보안 권고 사항 발표 여부와 안전성 업데이트 출시 여부, 신속한 카메라 펌웨어 업데이트 지원 여부를 살펴봐야 한다. 예를 들어, 시놀로지는 자사 보안사건대응팀(Security Incident Response Team)을 구성해 다양한 CVE 취약점에 능동적으로 대처할 수 있고 24시간 내로 업데이트를 제공하므로, 고객들을 보안 위협으로부터 보호할 수 있다.
다음으로, 기업은 IP 카메라와 영상 관리 시스템 간에 전송 또는 클라이언트 측과 영상 관리 시스템 간의 액세스 안전 여부를 확인해야 한다. 카메라나 영상 감시 시스템을 구매할 때는 HTTPS 또는 실시간 전송 보안 프로토콜(SRTP)와 같은 암호화 기능의 제공 여부와 보안 통신 프로토콜을 통한 연결 및 접근 기능 지원을 확인해야 데이터 전송 시의 악의적인 막힘 또는 도난을 피할 수 있다.
또한, 기업은 최소 권한 원칙(PoLP : Principle of Least Privilege)을 지켜야 하며, 시스템 관리자, 유지자 또는 사용자에게 각자 필요로 한 최소 권한만 제공하고 다단계 인증 방법을 통해 악의적인 무차별 대입 공격으로 인한 권한 취득을 방지해야 한다. 기업은 CCTV 영상 암호화, 이중 인증 등의 고급 기능을 통해서 권한 관리의 보안성을 강화할 수 있다. 범죄자가 시스템을 통해 영상을 획득하거나 설비를 훔쳐 가도 암호키와 고급 권한 계정의 동의가 없다 보니 영상 파일을 열 수 없기 때문이다.
마지막으로, 내부 직원들의 영상 재녹화와 감시 영상 유출에 대한 우려가 있다면, 실시간 영상 화면에 사용자 식별 워터마크가 삽입될 수 있는 보안 서비스 업체를 선택해 효과적으로 내부 직원의 영상 유출을 방지할 수 있다. 시놀로지는 프라이버시 마스킹 기능을 제공해 영상 녹화 시 특정 영역에 마스킹을 설정할 수 있으며, 영상 시청을 원하는 경우 암호키를 다시 입력해야 화면을 볼 수 있어 고의적인 영상 유출을 방지할 수 있다.
셸리 추 매니저는 “만약에 앞서 제시한 보안 감시 시스템 보안성을 점검할 수 없다면, 보안성으로 유명하거나 원스톱 솔루션과 간편한 사용자 인터페이스를 갖춘 서비스 제공자를 선택하는 것을 권유한다”며, “그러면 내부에 전문적인 보안기술자가 없더라도 영상 감시 시스템의 보안성을 지속해서 보장할 수 있을 것”이라고 말했다.
[윤서정 기자(sw@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>