최근 싱가포르에서 홈 CCTV 해킹으로 인한 영상 유출 사고 발생
관리자 계정 설정 등 사용자 주의와 함께 제조사의 시큐어코딩 등도 필요
[보안뉴스 이상우 기자] 오늘날 가정에서 인터넷에 연결할 수 있는 기기는 수없이 많다. PC나 스마트폰뿐만 아니라 TV, 냉장고, 로봇 청소기, 공기청정기 등의 백색가전은 물론, 이제는 전등이나 보일러 같은 비가전 제품까지 인터넷에 연결되는 세상이다. 당연한 이야기지만, 인터넷에 연결하는 기기를 허술하게 관리하면 해커의 공격대상이 된다. 과거에는 PC나 스마트폰 정도가 공격 대상이었다면, 이제는 IoT 가전·비가전 제품으로 확대된 셈이다. 특히, 이러한 기기는 우리 생활과 밀접하게 연관돼 있는 만큼, 해킹에 노출될 경우 기존과는 다른 형태의 피해가 발생할 수도 있다.
이는 먼 훗날의 이야기가 아니며, 지금 우리가 직면한 위협이다. 최근 싱가포르에서는 가정용 CCTV(홈 CCTV) 해킹사고가 발생했으며, 이를 통해 유출된 영상이 불법 음란사이트에서 유통되는 등 추가적인 피해를 일으키고 있다. 보안을 위해 설치한 제품이 보안을 위협하고 있는 상황이다.
[이미지=utoimage]
사실 홈 CCTV 같은 IoT 기기가 보안에 취약하다는 건 몇 년 전부터 꾸준히 제기돼 왔으며, IoT 검색 엔진에서 보안 설정이 제대로 되지 않은 제품의 정보가 그대로 노출된다는 점 역시 수없이 보도됐다. 하지만, 아직도 이와 관련한 사고가 발생하는 것을 보면 제조사의 보안 설계나 사용자의 보안의식 수준은 아직 제자리에 있다는 지적이다.
홈 CCTV는 외출 시 외부인의 침입이나 사고 발생을 감지하고, 혼자 있는 반려동물이나 아이를 모니터링하는 등 안전을 위해 주로 사용하는 제품이다. 일반적인 CCTV와 달리 고성능 설치형 카메라나 저장장치(DVR, NVR 등)가 없어도 적당한 가격의 IP 카메라와 클라우드 저장소만 있으면 충분하다. 인터넷에 연결된다는 특징 때문에 자신의 스마트폰을 이용해 먼 곳에서도 실시간 장면을 확인할 수 있는 만큼 활용도가 높으며, 특히 안 쓰는 스마트폰에 애플리케이션 하나만 설치하면 스마트폰을 IP 카메라처럼 활용할 수도 있어 마음만 먹으면 누구나 쉽게 이런 시스템을 구축할 수 있다.
하지만 구축이 쉬운 만큼 보안에 대해 놓치는 부분도 쉽게 생긴다. IP 카메라나 홈 CCTV는 ‘폐쇄회로TV(CCTV)’라는 이름을 쓰지만, 실제로는 인터넷에 연결된 장비인 만큼 외부에서 해킹을 통한 침입도 가능하다. 홈 CCTV가 해킹되면 자신의 생활이 타인에게 말 그대로 생중계 된다. 이에 유무선 공유기 및 IP 카메라에 대한 접근 권한을 확실하게 설정하고, 개인의 사생활이 유출되지 않도록 신경써야 한다.
그렇다면 홈 CCTV 보안을 높이기 위해 어떤 조치를 해야 할까? 우선 ID와 비밀번호를 제대로 설정해 접근 권한을 관리해야 한다. 대부분의 저가형 제품은 출고 시 관리자 ID와 비밀번호가 ADMIN/1234567890처럼 단순하게 돼 있는 경우가 많으며, 홈페이지에서 쉽게 내려받을 수 있는 사용자 설명서에도 제품별 기본 관리자 ID/PW가 노출돼 있다. 뿐만 아니라 이러한 기본 설정도 없어 IP 주소만 알면 관리 페이지나 모니터링 페이지에 접근해 영상정보를 유출하는 것이 가능하다. 이 때문에 처음 설치 시 사용 설명서를 잘 숙지하고, 관리자 계정 및 비밀번호를 설정해 외부인이 접근할 수 없도록 해야 한다.
▲대부분의 매뉴얼에는 이러한 비밀번호가 노출돼 있다[이미지=보안뉴스]
관리자 페이지 혹은 관리용 앱을 통해 펌웨어 업데이트를 주기적으로 확인하고, IP 카메라 자체의 보안 취약점을 개선하는 것 역시 중요하다. 또한, 카메라와 원격으로 연결해 촬영 장면을 모니터링 할 수 있는 기기도 잘 관리해야 한다. 자신이 사용하는 스마트폰이나 PC라도, 이러한 기기가 해킹된다면 자신이 카메라를 통해 볼 수 있는 장면을 해커 역시 볼 수 있다는 점을 명심할 필요가 있다.
이러한 IP 카메라는 신뢰할 수 있거나 잘 알려진 제조사의 제품을 선택하는 것 역시 중요하다. 유명 기업 제품의 경우 설치 및 네트워크 연결 단계에서부터 사용자가 직접 관리자 ID와 비밀번호를 설정하도록 사용하기 쉬운 UI로 구성하며, IP 화이트리스트/블랙리스트를 통한 외부 사용자 접근권한 관리 등 보안 기능 역시 잘 갖춰진 경우가 많다. 특히, 제조사가 폐업하면 보안 취약점을 개선하는 펌웨어 업데이트 등도 지원받을 수 없는 만큼 신뢰할 수 있는 제조사 제품을 선택하는 것이 좋다.
촬영 데이터를 어떤 곳에 저장하는지도 잘 확인해야 한다. SD카드 등 로컬 저장소에 이를 기록한다면 주기적으로 카드를 분리해 불필요한 영상을 제거해야 한다. 만약 클라우드 저장소를 이용하는 제품이라면 어떤 클라우드 저장소에 보관하는지도 중요하다. 정체를 알 수 없는 클라우드에 가정의 모습이 그대로 담긴 영상을 저장할 수는 없는 노릇이다. 또한, 클라우드 저장소에 저장된 영상 역시 SD카드처럼 주기적으로 확인하고, 필요 없는 영상은 바로 삭제하는 것이 좋다.
카메라를 사용하지 않을 때는 네트워크 연결을 끊고, 카메라 전원을 꺼야 한다. 이러한 제품을 사용하는 목적은 집을 비우는 동안 발생할 수 있는 사고를 예방하기 위해서다. 이에 자신의 모든 생활을 녹화해 기록할 생각이 아니라면 귀가 후에는 끄는 것이 좋다.
▲사용하지 않는 IoT 기기는 전원을 끄고 네트워크 연결을 끊어 외부 접근을 차단하는 것이 좋다[이미지=utoimage]
제조사 역시 제조 및 설계 단계에서부터 사용자가 자연스럽게 보안에 신경 쓸 수 있도록 해야 한다. 가령 동일한 관리자 ID/PW를 설정해 출고하는 대신, 각 제품마다 무작위로 생성해 적용한다면 사용자가 별도로 설정하지 않더라도 크리덴셜 스터핑(Credential stuffing) 같은 무작위 대입에 의한 공격을 예방할 수 있다.
관리 페이지나 모니터링 페이지에 접근하기 위해서 전용 앱과 QR코드를 이용하는 제품도 있다. 같은 네트워크에 연결한 스마트폰을 통해 QR코드를 생성하고, 이를 IP 카메라에 비춰야 인증되는 방식으로, 인증된 기기만 해당 카메라에 접근할 수 있다. 이러한 설치과정 중에 보안 설정을 추가하면, 사용자는 자연스럽게 보안 준수사항을 지킬 수 있다.
이 밖에 관리자 페이지를 개발할 때도 시큐어코딩을 적용하는 것은 물론, 펌웨어 업데이트 시 이를 사용자에게 알리거나 안전한 공급망을 통해 자동으로 배포할 수 있는 방식 역시 개발·도입해야 한다.
[이상우 기자(boan@boannews.com)]
관리자 계정 설정 등 사용자 주의와 함께 제조사의 시큐어코딩 등도 필요
[보안뉴스 이상우 기자] 오늘날 가정에서 인터넷에 연결할 수 있는 기기는 수없이 많다. PC나 스마트폰뿐만 아니라 TV, 냉장고, 로봇 청소기, 공기청정기 등의 백색가전은 물론, 이제는 전등이나 보일러 같은 비가전 제품까지 인터넷에 연결되는 세상이다. 당연한 이야기지만, 인터넷에 연결하는 기기를 허술하게 관리하면 해커의 공격대상이 된다. 과거에는 PC나 스마트폰 정도가 공격 대상이었다면, 이제는 IoT 가전·비가전 제품으로 확대된 셈이다. 특히, 이러한 기기는 우리 생활과 밀접하게 연관돼 있는 만큼, 해킹에 노출될 경우 기존과는 다른 형태의 피해가 발생할 수도 있다.
이는 먼 훗날의 이야기가 아니며, 지금 우리가 직면한 위협이다. 최근 싱가포르에서는 가정용 CCTV(홈 CCTV) 해킹사고가 발생했으며, 이를 통해 유출된 영상이 불법 음란사이트에서 유통되는 등 추가적인 피해를 일으키고 있다. 보안을 위해 설치한 제품이 보안을 위협하고 있는 상황이다.
[이미지=utoimage]
사실 홈 CCTV 같은 IoT 기기가 보안에 취약하다는 건 몇 년 전부터 꾸준히 제기돼 왔으며, IoT 검색 엔진에서 보안 설정이 제대로 되지 않은 제품의 정보가 그대로 노출된다는 점 역시 수없이 보도됐다. 하지만, 아직도 이와 관련한 사고가 발생하는 것을 보면 제조사의 보안 설계나 사용자의 보안의식 수준은 아직 제자리에 있다는 지적이다.
홈 CCTV는 외출 시 외부인의 침입이나 사고 발생을 감지하고, 혼자 있는 반려동물이나 아이를 모니터링하는 등 안전을 위해 주로 사용하는 제품이다. 일반적인 CCTV와 달리 고성능 설치형 카메라나 저장장치(DVR, NVR 등)가 없어도 적당한 가격의 IP 카메라와 클라우드 저장소만 있으면 충분하다. 인터넷에 연결된다는 특징 때문에 자신의 스마트폰을 이용해 먼 곳에서도 실시간 장면을 확인할 수 있는 만큼 활용도가 높으며, 특히 안 쓰는 스마트폰에 애플리케이션 하나만 설치하면 스마트폰을 IP 카메라처럼 활용할 수도 있어 마음만 먹으면 누구나 쉽게 이런 시스템을 구축할 수 있다.
하지만 구축이 쉬운 만큼 보안에 대해 놓치는 부분도 쉽게 생긴다. IP 카메라나 홈 CCTV는 ‘폐쇄회로TV(CCTV)’라는 이름을 쓰지만, 실제로는 인터넷에 연결된 장비인 만큼 외부에서 해킹을 통한 침입도 가능하다. 홈 CCTV가 해킹되면 자신의 생활이 타인에게 말 그대로 생중계 된다. 이에 유무선 공유기 및 IP 카메라에 대한 접근 권한을 확실하게 설정하고, 개인의 사생활이 유출되지 않도록 신경써야 한다.
그렇다면 홈 CCTV 보안을 높이기 위해 어떤 조치를 해야 할까? 우선 ID와 비밀번호를 제대로 설정해 접근 권한을 관리해야 한다. 대부분의 저가형 제품은 출고 시 관리자 ID와 비밀번호가 ADMIN/1234567890처럼 단순하게 돼 있는 경우가 많으며, 홈페이지에서 쉽게 내려받을 수 있는 사용자 설명서에도 제품별 기본 관리자 ID/PW가 노출돼 있다. 뿐만 아니라 이러한 기본 설정도 없어 IP 주소만 알면 관리 페이지나 모니터링 페이지에 접근해 영상정보를 유출하는 것이 가능하다. 이 때문에 처음 설치 시 사용 설명서를 잘 숙지하고, 관리자 계정 및 비밀번호를 설정해 외부인이 접근할 수 없도록 해야 한다.
▲대부분의 매뉴얼에는 이러한 비밀번호가 노출돼 있다[이미지=보안뉴스]
관리자 페이지 혹은 관리용 앱을 통해 펌웨어 업데이트를 주기적으로 확인하고, IP 카메라 자체의 보안 취약점을 개선하는 것 역시 중요하다. 또한, 카메라와 원격으로 연결해 촬영 장면을 모니터링 할 수 있는 기기도 잘 관리해야 한다. 자신이 사용하는 스마트폰이나 PC라도, 이러한 기기가 해킹된다면 자신이 카메라를 통해 볼 수 있는 장면을 해커 역시 볼 수 있다는 점을 명심할 필요가 있다.
이러한 IP 카메라는 신뢰할 수 있거나 잘 알려진 제조사의 제품을 선택하는 것 역시 중요하다. 유명 기업 제품의 경우 설치 및 네트워크 연결 단계에서부터 사용자가 직접 관리자 ID와 비밀번호를 설정하도록 사용하기 쉬운 UI로 구성하며, IP 화이트리스트/블랙리스트를 통한 외부 사용자 접근권한 관리 등 보안 기능 역시 잘 갖춰진 경우가 많다. 특히, 제조사가 폐업하면 보안 취약점을 개선하는 펌웨어 업데이트 등도 지원받을 수 없는 만큼 신뢰할 수 있는 제조사 제품을 선택하는 것이 좋다.
촬영 데이터를 어떤 곳에 저장하는지도 잘 확인해야 한다. SD카드 등 로컬 저장소에 이를 기록한다면 주기적으로 카드를 분리해 불필요한 영상을 제거해야 한다. 만약 클라우드 저장소를 이용하는 제품이라면 어떤 클라우드 저장소에 보관하는지도 중요하다. 정체를 알 수 없는 클라우드에 가정의 모습이 그대로 담긴 영상을 저장할 수는 없는 노릇이다. 또한, 클라우드 저장소에 저장된 영상 역시 SD카드처럼 주기적으로 확인하고, 필요 없는 영상은 바로 삭제하는 것이 좋다.
카메라를 사용하지 않을 때는 네트워크 연결을 끊고, 카메라 전원을 꺼야 한다. 이러한 제품을 사용하는 목적은 집을 비우는 동안 발생할 수 있는 사고를 예방하기 위해서다. 이에 자신의 모든 생활을 녹화해 기록할 생각이 아니라면 귀가 후에는 끄는 것이 좋다.
▲사용하지 않는 IoT 기기는 전원을 끄고 네트워크 연결을 끊어 외부 접근을 차단하는 것이 좋다[이미지=utoimage]
제조사 역시 제조 및 설계 단계에서부터 사용자가 자연스럽게 보안에 신경 쓸 수 있도록 해야 한다. 가령 동일한 관리자 ID/PW를 설정해 출고하는 대신, 각 제품마다 무작위로 생성해 적용한다면 사용자가 별도로 설정하지 않더라도 크리덴셜 스터핑(Credential stuffing) 같은 무작위 대입에 의한 공격을 예방할 수 있다.
관리 페이지나 모니터링 페이지에 접근하기 위해서 전용 앱과 QR코드를 이용하는 제품도 있다. 같은 네트워크에 연결한 스마트폰을 통해 QR코드를 생성하고, 이를 IP 카메라에 비춰야 인증되는 방식으로, 인증된 기기만 해당 카메라에 접근할 수 있다. 이러한 설치과정 중에 보안 설정을 추가하면, 사용자는 자연스럽게 보안 준수사항을 지킬 수 있다.
이 밖에 관리자 페이지를 개발할 때도 시큐어코딩을 적용하는 것은 물론, 펌웨어 업데이트 시 이를 사용자에게 알리거나 안전한 공급망을 통해 자동으로 배포할 수 있는 방식 역시 개발·도입해야 한다.
[이상우 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
