에이아이스페라, 외부 노출된 자동차 번호판 인식 시스템 서버 발견...철저한 관리 필요성 당부
[보안뉴스 김영명 기자] 최근 차량번호 인식기(License Plate Recognition, LPR)로 인한 보안사고가 증가하고 있다. 차량번호 인식기(자동차 번호판 인식 시스템)란 디지털 카메라와 적외선 조명 장치를 이용해 차량 번호판을 촬영하고, 획득한 영상에서 번호판의 문자 및 숫자를 자동으로 인식하는 판독 과정을 거쳐 번호판을 텍스트화하는 DB 시스템이다. LPR은 보통 주차장 차량 관리를 자동화하는데 사용되고 있다.
▲차량번호 이미지가 노출된 번호판 인식 시스템 서버[자료=에이아이스페라]
에이아이스페라는 최근 외부에 노출된 자동차 번호판 인식 시스템에 대해 개인정보 유출 가능성이 있다며 이를 사례와 함께 분석해 발표했다. 효율적인 주차장 관리에 있어 큰 역할을 하는 자동차 번호판 인식 시스템이 외부에 노출되면 개인정보를 포함한 민감 정보가 유출될 수 있어 주의해야 한다는 것. 에이아이스페라의 CTI 검색엔진 Criminal IP에서는 민감한 정보가 외부에 공개된 번호판 인식 시스템의 서버들을 발견할 수 있었다.
서버를 분석했을 때 배너 정보에 ‘LPRimage’라는 문자열을 포함하고 있는 자동차 번호판 인식 시스템 서버는 이달 초까지 총 36개 서버가 발견됐다. 해당 쿼리로 검색된 시스템들은 대체로 디렉토리 리스팅이 허용되는 취약점이 발견됐으며, 일반적으로 잘 알려져 있지 않은 서비스 포트를 사용하고 있다는 점을 알 수 있다.
외부에 노출된 시스템 서버는 해킹, 데이터 유출 및 조작 등의 공격 대상이 되기 쉬우며, 실제로 검색된 서버 가운데에는 별도의 인증 과정 없이 접속이 가능한 서버도 있었다. 해당 서버에서는 아래와 같이 촬영된 차량번호 이미지가 저장된 LPRimage 폴더를 발견할 수 있었다는 게 에이아이스페라 측의 설명이다.
▲노출된 자동차 번호판 인식 시스템에서 발견된 날짜 별 차량번호 이미지 폴더[자료=에이아이스페라]
개인정보 보호법 상 차량번호는 개인정보로 취급되고 있다. 물론 차량번호만으로 개인을 특정하는 것은 어렵지만, 다른 정보와 결합하여 특정 개인을 유추할 수 있는 정보는 개인정보에 포함되고 있다. 자동으로 저장된 이미지만으로도 차량번호, 차종, 색상, 위치 정보를 파악할 수 있기 때문에 악의적인 목적으로 기타 다른 정보들을 조합할 경우 특정 개인을 알아낼 수 있다.
에이아이스페라 관계자는 “차량번호가 타인의 개인정보에 해당한다는 인식이 필요하다”며 “지금까지 다뤘던 다른 IT 장비 및 서버와 마찬가지로 개인정보가 제3자에게 노출되지 않도록 시스템의 취약점과 노출 여부를 상시 관리할 필요가 있다”고 말했다.
[김영명 기자(boan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>