한국군, 9월 중순에 전방지역 등에 설치된 악성코드 감염 CCTV 1,300여개 철거
에이아이스페라, CCTV 서버 보안 분석...텔넷 포트 노출 시 비인가자 원격접속 가능
[보안뉴스 김영명 기자] 최근 한국군이 중국 악성코드에 감염된 것으로 추정되는 군 CCTV 1,300여개를 철거했다. 군사 시설과 같은 국가기관에서의 영상 노출은 국가안보와 직결되는 보안 위협으로 매우 심각한 사안이다. 철거된 CCTV는 국내 기업이 설계했으나, 중국 기업이 이를 조립하는 과정에서 임의로 IP를 설정한 것으로 확인됐고, 이로 인해 악성코드에 감염됐을 가능성이 제기됐다.
[이미지=GettyImagesBank]
최근 에이아이스페라(AI스페라)는 인터넷에 노출된 CCTV 장비를 탐지하고 CCTV 서버 보안을 강화하기 위해 위협 인텔리전스를 활용하는 방법을 소개했다.
인터넷 노출된 CCTV 장비, 위협 인텔리전스로 다수 확인돼
CCTV는 보안 감시의 핵심 장비로 사용돼 왔지만 네트워크 연결성이 증가하면서 새로운 사이버 공격의 표적으로 위협받고 있다. 특히 IP 기반의 CCTV 시스템은 외부 인터넷과 연결돼 있어 녹화 영상이 외부에 공개되거나 관리시스템의 접근 권한이 탈취되는 등 다양한 위협에 노출될 수 있다. 지난달에 문제가 불거진 한국군의 전방 지역 등에 설치된 CCTV 정보 유출 사례와 같이 국가안보에 치명적인 보안 위협으로도 연결되어 CCTV 장비의 노출을 예방하고, 외부 접근을 차단하는 등 CCTV 서버 보안을 강화하는 대책을 마련해야 할 필요성이 크다.
▲인증 절차 없이 접속 가능한 CCTV 영상 스트림, 실시간 녹화 장면이 노출되고 있다[사진=에이아이스페라]
위협 인텔리전스 툴을 활용하면 인터넷에 노출된 CCTV 장비를 간단히 확인할 수 있다. 대표적으로 AI스페라에서 제공하는 Criminal IP(크리미널 IP)에서는 외부 네트워크에 연결된 CCTV 장비를 ‘CCTV’ 태그로 분류하고 있다. 크리미널 IP의 애셋 서치(Asset Search)에서 ‘tag: CCTV’를 검색하면 인터넷에 노출된 다수의 CCTV 장비를 확인할 수 있다.
검색 결과에서 title 명이 ‘~Live Image’로 표시된 IP 주소는 애셋 서치 리포트만으로도 실시간 녹화 화면이 스크린샷으로 확인됐다. 물론 직접 CCTV 서버의 IP 주소에 접속해도 어떠한 로그인, 인증 절차 없이 CCTV 영상 스트림에 접속할 수 있었다.
이슈가 된 CCTV 장비에서는 녹화 장면이 노출되고 있을 뿐만 아니라 몇몇 ‘tag: cctv’로 검색된 CCTV 서버에서 텔넷(Telnet) 포트가 외부에 노출되어 있는 것을 확인할 수 있었다. 텔넷은 원격 장비와 통신하기 위해 사용되는 암호화되지 않은 텍스트 기반 프로토콜로, 텔넷 포트가 외부에 노출되면 비인가자의 원격 접속이 가능해지기 때문에 심각한 보안 위협으로 이어질 수 있다.
▲텔넷 포트가 외부 노출되어 있는 CCTV 서버[자료=에이아이스페라]
텔넷 포트 노출의 CCTV 서버 보안 위협 무엇이 있나
텔넷 포트 노출이 CCTV 서버 보안에 영향을 끼치는 몇 가지 위협은 다음과 같다. 첫 번째로, ‘디폴트 패스워드와 무차별 대입 공격’이다. CCTV 장비의 경우 디폴트 패스워드를 사용하는 경우가 많고 텔넷의 인증 절차가 약하거나 없는 경우가 많아 무차별 대입 공격(Brute Force Attack)이 쉽게 발생할 수 있다.
두 번째로 ‘데이터 탈취’다. 텔넷은 암호화되지 않은 프로토콜이기 때문에 사용자가 입력하는 모든 명령과 비밀번호가 평문으로 전송된다. 만약 네트워크 상에서 통신을 감시하는 공격자가 있다면, 쉽게 정보를 가로채고 해당 CCTV 시스템을 장악할 수 있다.
세 번째로 ‘악성코드 감염 및 시스템 장악’이다. 텔넷을 통해 CCTV 서버에 접근한 공격자는 루트 권한을 획득해 시스템을 완전히 제어할 수 있다. 즉 악성코드를 설치하거나 실시간 영상 피드를 유출하거나 CCTV 기능을 무력화할 수 있다는 것을 의미한다. 특히 중요한 감시 영역에서 CCTV 영상이 왜곡되거나 삭제될 경우, 치명적인 보안 사고로 이어질 수 있다.
네 번째로 ‘봇넷(Botnet)으로 악용’이다. 노출된 CCTV 장비는 공격자들이 봇넷으로 활용할 가능성이 커진다. 여러 대의 감염된 CCTV는 디도스(DDoS, 분산 서비스 거부 공격)와 같은 공격에 사용될 수 있으며, 이 경우 CCTV 네트워크뿐만 아니라 다른 네트워크에도 큰 피해를 줄 수 있다. 이는 미라이(Mirai) 봇넷이 대표적으로, 인터넷에 노출된 IoT 장비들을 감염시켜 대규모 사이버 공격을 일으킨 사례다.
다섯 번째로 ‘프라이버시 침해 및 민감 정보 유출’이다. 공격자는 노출된 텔넷 포트를 통해 CCTV 영상 스트림에 접근할 수 있으며, 이를 통해 사생활 침해나 기밀 정보 유출이 발생할 수 있다. 감시 대상이 되는 공간에 따라서는 기업의 영업 기밀, 공공 안전 관련 영상 정보 등이 유출되어 큰 손해로 이어질 수 있다.
위협 인텔리전스 툴을 활용하면 외부에 노출된 CCTV 장비 확인과 노출된 CCTV 영상 스트림, 포트 노출로 인한 보안 위협을 한 번에 확인할 수 있다. 위협 인텔리전스는 실시간으로 변하는 사이버 공격 동향, 악성코드, 취약점을 분석해 보안 위험을 예측하고 선제 대응을 가능하게 하는 도구로, CCTV와 같은 네트워크 장비들은 지속적인 취약점 모니터링과 최신 위협 인텔리전스 데이터를 활용한 신속한 대응전략 수립이 필요하다.
에이아이스페라 보안팀은 “보안 관리자는 위협 인텔리전스 도구를 활용해 노출된 포트, 취약한 소프트웨어 버전, 악성 IP 주소 등을 탐지할 수 있다”며 “이를 바탕으로 신속한 패치 적용, 네트워크 구성 변경, 비정상적인 트래픽 차단과 같은 실질적인 보안 조치를 수행하는 것이 중요하다”고 말했다. 이어 “위협 인텔리전스 도구를 활용하는 등 능동적인 보안 접근 방식은 CCTV 서버뿐만 아니라 전체 시스템의 안전성을 크게 향상시키는 데 필수가 되고 있다”고 강조했다.
[김영명 기자(boan@boannews.com)]
에이아이스페라, CCTV 서버 보안 분석...텔넷 포트 노출 시 비인가자 원격접속 가능
[보안뉴스 김영명 기자] 최근 한국군이 중국 악성코드에 감염된 것으로 추정되는 군 CCTV 1,300여개를 철거했다. 군사 시설과 같은 국가기관에서의 영상 노출은 국가안보와 직결되는 보안 위협으로 매우 심각한 사안이다. 철거된 CCTV는 국내 기업이 설계했으나, 중국 기업이 이를 조립하는 과정에서 임의로 IP를 설정한 것으로 확인됐고, 이로 인해 악성코드에 감염됐을 가능성이 제기됐다.
[이미지=GettyImagesBank]
최근 에이아이스페라(AI스페라)는 인터넷에 노출된 CCTV 장비를 탐지하고 CCTV 서버 보안을 강화하기 위해 위협 인텔리전스를 활용하는 방법을 소개했다.
인터넷 노출된 CCTV 장비, 위협 인텔리전스로 다수 확인돼
CCTV는 보안 감시의 핵심 장비로 사용돼 왔지만 네트워크 연결성이 증가하면서 새로운 사이버 공격의 표적으로 위협받고 있다. 특히 IP 기반의 CCTV 시스템은 외부 인터넷과 연결돼 있어 녹화 영상이 외부에 공개되거나 관리시스템의 접근 권한이 탈취되는 등 다양한 위협에 노출될 수 있다. 지난달에 문제가 불거진 한국군의 전방 지역 등에 설치된 CCTV 정보 유출 사례와 같이 국가안보에 치명적인 보안 위협으로도 연결되어 CCTV 장비의 노출을 예방하고, 외부 접근을 차단하는 등 CCTV 서버 보안을 강화하는 대책을 마련해야 할 필요성이 크다.
▲인증 절차 없이 접속 가능한 CCTV 영상 스트림, 실시간 녹화 장면이 노출되고 있다[사진=에이아이스페라]
위협 인텔리전스 툴을 활용하면 인터넷에 노출된 CCTV 장비를 간단히 확인할 수 있다. 대표적으로 AI스페라에서 제공하는 Criminal IP(크리미널 IP)에서는 외부 네트워크에 연결된 CCTV 장비를 ‘CCTV’ 태그로 분류하고 있다. 크리미널 IP의 애셋 서치(Asset Search)에서 ‘tag: CCTV’를 검색하면 인터넷에 노출된 다수의 CCTV 장비를 확인할 수 있다.
검색 결과에서 title 명이 ‘~Live Image’로 표시된 IP 주소는 애셋 서치 리포트만으로도 실시간 녹화 화면이 스크린샷으로 확인됐다. 물론 직접 CCTV 서버의 IP 주소에 접속해도 어떠한 로그인, 인증 절차 없이 CCTV 영상 스트림에 접속할 수 있었다.
이슈가 된 CCTV 장비에서는 녹화 장면이 노출되고 있을 뿐만 아니라 몇몇 ‘tag: cctv’로 검색된 CCTV 서버에서 텔넷(Telnet) 포트가 외부에 노출되어 있는 것을 확인할 수 있었다. 텔넷은 원격 장비와 통신하기 위해 사용되는 암호화되지 않은 텍스트 기반 프로토콜로, 텔넷 포트가 외부에 노출되면 비인가자의 원격 접속이 가능해지기 때문에 심각한 보안 위협으로 이어질 수 있다.
▲텔넷 포트가 외부 노출되어 있는 CCTV 서버[자료=에이아이스페라]
텔넷 포트 노출의 CCTV 서버 보안 위협 무엇이 있나
텔넷 포트 노출이 CCTV 서버 보안에 영향을 끼치는 몇 가지 위협은 다음과 같다. 첫 번째로, ‘디폴트 패스워드와 무차별 대입 공격’이다. CCTV 장비의 경우 디폴트 패스워드를 사용하는 경우가 많고 텔넷의 인증 절차가 약하거나 없는 경우가 많아 무차별 대입 공격(Brute Force Attack)이 쉽게 발생할 수 있다.
두 번째로 ‘데이터 탈취’다. 텔넷은 암호화되지 않은 프로토콜이기 때문에 사용자가 입력하는 모든 명령과 비밀번호가 평문으로 전송된다. 만약 네트워크 상에서 통신을 감시하는 공격자가 있다면, 쉽게 정보를 가로채고 해당 CCTV 시스템을 장악할 수 있다.
세 번째로 ‘악성코드 감염 및 시스템 장악’이다. 텔넷을 통해 CCTV 서버에 접근한 공격자는 루트 권한을 획득해 시스템을 완전히 제어할 수 있다. 즉 악성코드를 설치하거나 실시간 영상 피드를 유출하거나 CCTV 기능을 무력화할 수 있다는 것을 의미한다. 특히 중요한 감시 영역에서 CCTV 영상이 왜곡되거나 삭제될 경우, 치명적인 보안 사고로 이어질 수 있다.
네 번째로 ‘봇넷(Botnet)으로 악용’이다. 노출된 CCTV 장비는 공격자들이 봇넷으로 활용할 가능성이 커진다. 여러 대의 감염된 CCTV는 디도스(DDoS, 분산 서비스 거부 공격)와 같은 공격에 사용될 수 있으며, 이 경우 CCTV 네트워크뿐만 아니라 다른 네트워크에도 큰 피해를 줄 수 있다. 이는 미라이(Mirai) 봇넷이 대표적으로, 인터넷에 노출된 IoT 장비들을 감염시켜 대규모 사이버 공격을 일으킨 사례다.
다섯 번째로 ‘프라이버시 침해 및 민감 정보 유출’이다. 공격자는 노출된 텔넷 포트를 통해 CCTV 영상 스트림에 접근할 수 있으며, 이를 통해 사생활 침해나 기밀 정보 유출이 발생할 수 있다. 감시 대상이 되는 공간에 따라서는 기업의 영업 기밀, 공공 안전 관련 영상 정보 등이 유출되어 큰 손해로 이어질 수 있다.
위협 인텔리전스 툴을 활용하면 외부에 노출된 CCTV 장비 확인과 노출된 CCTV 영상 스트림, 포트 노출로 인한 보안 위협을 한 번에 확인할 수 있다. 위협 인텔리전스는 실시간으로 변하는 사이버 공격 동향, 악성코드, 취약점을 분석해 보안 위험을 예측하고 선제 대응을 가능하게 하는 도구로, CCTV와 같은 네트워크 장비들은 지속적인 취약점 모니터링과 최신 위협 인텔리전스 데이터를 활용한 신속한 대응전략 수립이 필요하다.
에이아이스페라 보안팀은 “보안 관리자는 위협 인텔리전스 도구를 활용해 노출된 포트, 취약한 소프트웨어 버전, 악성 IP 주소 등을 탐지할 수 있다”며 “이를 바탕으로 신속한 패치 적용, 네트워크 구성 변경, 비정상적인 트래픽 차단과 같은 실질적인 보안 조치를 수행하는 것이 중요하다”고 말했다. 이어 “위협 인텔리전스 도구를 활용하는 등 능동적인 보안 접근 방식은 CCTV 서버뿐만 아니라 전체 시스템의 안전성을 크게 향상시키는 데 필수가 되고 있다”고 강조했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.gif)
.png)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
