Home > 전체기사
국감 달군 ‘IP 카메라 취약점’ 팩트체크해보니...“사실과 달라”
  |  입력 : 2018-10-16 12:10
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
과기정통부·KISA 조사...IP 카메라 전수조사 아닌 사용설명서상 초기 비밀번호만 확인
단종 제품도 대거 포함된 것으로 드러나... 정확하지 않은 정보로 이미지 실추 우려


[보안뉴스 원병철 기자] 국감에서 IP 카메라 취약점 논쟁이 불붙었다. 과학기술정보방송통신위원회 변재일 의원(더불어민주당)이 15일 보도자료를 통해 국내 유통 중인 400개 IP 카메라 중 126개가 보안이 취약하다고 주장한 것. 그러면서 변 의원 측은 그 증거로 지난 6월 과기정통부와 한국인터넷진흥원(KISA)이 실시한 ‘IP 카메라 실태조사’ 자료를 내세웠다.

[이미지=iclickart]


하지만 본지 취재 결과 이번 조사결과는 IP 카메라의 취약점 문제가 아니었다. IP 카메라의 기기적 문제나 소프트웨어상 취약점이 아닌, 단순히 IP 카메라의 비밀번호가 유추하기 쉬운 비밀번호이거나 비밀번호를 바꾸도록 하지 않은 것을 ‘취약점’으로 본 것이다. 더욱이 단종된 제품을 확인하거나 공식 테스트가 아닌 사용설명서에 비밀번호 설정 내용이 없다는 이유만으로 취약하다고 단정지은 경우도 있는 등 사실과 많이 다른 것으로 드러났다.

CCTV, 그중에서도 IP 카메라의 경우 보안과 안전으로 인해 대중적인 인지도가 높아지며 시중에서 쉽게 구할 수 있게 됐지만, 아이러니하게도 IP 카메라가 해킹을 당해 사용자의 보안과 안전을 위협받게 됐다. 특히, 국내에서 인기를 끌었던 애완동물용 IP 카메라가 해킹을 당해 개인 사생활이 고스란히 온라인에 공개되면서 정부 차원에서 이를 해결하려는 움직임이 진행됐다.

당시 문제가 됐던 사안도 이번 취약점 조사처럼 단순한 초기 비밀번호 때문이었다. 해커가 해킹을 통해 비밀번호를 탈취하거나 크리덴셜 스터핑(Credential Stuffing) 공격처럼 다른 곳에서 입수한 계정정보(아이디와 비밀번호)로 비밀번호를 알아낸 것이 아닌, 제품을 처음 구입할 때 사용하는 아이디와 비밀번호를 그대로 사용해서 계정을 탈취당한 사건이었다.

과기정통부는 이러한 IP 카메라 해킹을 막기 위해서 KC 인증에 비밀번호 설정을 포함하는 ‘단말장치 기술기준 일부 개정안’을 마련하고 행정예고했다. IP 카메라의 잦은 해킹이 단순한 비밀번호에 따른 것이라고 판단했기 때문이다.

이러한 가운데 15일 과학기술정보방송통신위원회 변재일 의원실에서 발표한 IP 카메라의 해킹 취약 보도자료는 해당 개정안이 마련될 때 조사됐던 자료를 바탕으로 하고 있다. 과기정통부와 KISA는 지난해 말 범정부 대책으로 발표한 ‘IP 카메라 종합대책’의 일환으로 우리나라에 유통 중인 IP 카메라 53개 제조사, 400개 제품을 대상으로 공장 출하 시 초기에 설정된 ID 및 비밀번호의 취약점을 조사했다. 그 결과 국내 제조사(18개) 제품 156개 중 보안 취약점이 확인된 제품은 48개(30.8%)로 확인됐고, 해외 제조사(35개) 제품 244개 중 78개(32%) 제품에서 취약점이 발견됐다고 밝힌 것이다.

그러나 여기서 말하는 취약점이란 앞서 설명한 것처럼 네트워크나 제품 설계상 취약점이 아닌 단순한 초기 계정정보, 즉 아이디와 비밀번호를 말한다. 즉, 0000이나 1234와 같은 누구나 유추할 수 있는 비밀번호를 그대로 사용함으로써, 누구나 IP 카메라 관리자 사이트에 접근해 IP 카메라 영상을 엿보거나 IP 카메라를 탈취해 사용할 수 있는 상황이 발생할 가능성이 크다는 얘기다.

물론 이러한 단순한 비밀번호를 그대로 사용하는 것은 문제가 있다. 때문에 에스원과 한화테크윈 같은 기업들은 처음 제품을 사용할 때 반드시 비밀번호를 변경해야 다음 단계로 넘어가도록 하는 등의 조치를 취하고 있다.

그런데 이번 조사결과에는 이러한 부분이 배제되어 있다. 본지가 취재한 결과 이번 조사결과에서 106개의 제품 중 9개가 취약한 것으로 발표된 한화테크윈의 경우, 문제가 된 9개 제품은 비밀번호 변경 조치를 하기 전에 이미 단종된 제품으로 밝혀졌다. 하지만 일부 재고가 남아 온라인상에서 유통됐고, 그 제품의 사용설명서를 과기정통부와 KISA가 입수하면서 취약한 제품으로 공개된 것이다.

27개 제품이 조사돼 27개 제품 모두가 취약한 제품으로 판명난 아이디스도 황당하다는 입장이다. 이미 초기 비밀번호 대응은 모두 마쳤지만, ‘사용설명서’인 만큼 사용상 필요한 부분만 서술하고 비밀번호에 대한 설명을 넣지 않았을 뿐인데, 갑자기 취약한 제품이 되어 버렸다는 것이다. 더욱이 27개 제품 가운데 13종은 이미 단종된 제품이라는 설명이다.

물론, 초기 아이디와 비밀번호를 그대로 사용하면서 생기는 문제는 분명 많이 발생했고, 이것들만 변경하면 해킹 등 피해를 대부분 막을 수 있는 것도 사실이다. 그것을 알기에 과기정통부가 ‘단말장치 기술기준 일부 개정안’을 마련했고, 이를 시행하기 위해 업계와 충분한 소통을 진행했다. 하지만 정부에서 해결책으로 내놓은 개정안을 시행하기도 전에 ‘IP 카메라 취약점’이라고 발표한 부분은 성급했다는 지적이다. 게다가 ‘취약점’이 강조된 탓에 IP 카메라 자체가 못쓸 물건이 된 것처럼 보이는 것도 아쉬운 부분이다.

변재일 의원은 이번 결과발표를 하면서 “IP 카메라를 비롯해 각종 정보통신 서비스에 대해 보안취약점을 점검하고 있는 과기정통부와 KISA는 그 결과를 업체나 제조사에게만 통보하는데 그칠 것이 아니라, 국민들이 제품과 서비스를 이용하는데 보안 취약점에 대한 정보를 참고할 수 있도록 그 결과를 공개해야 한다”고 강조했지만, 정확한 사실에 부합되지 않은 정보를 공개하고, 언론에 제공함으로써 보안업체들의 이미지를 실추시키고, 국민들에게 IP 카메라에 대한 불신을 키웠다는 점에서 적지 않은 후유증이 남을 것으로 보인다.
[원병철 기자(boanone@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 2
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 5월 31일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)
      

코오롱베니트
CCTV

인콘
통합관제 / 소방방재

현대틸스
팬틸트 / 카메라

코맥스
홈시큐리티 / CCTV

시큐인포
CCTV / NVR

한화테크윈
CCTV 카메라 / 영상감시

티제이원
PTZ 카메라

대명코퍼레이션
DVR / IP카메라

동양유니텍
IR PTZ 카메라

하이크비전 코리아
CCTV / IP / NVR

한국하니웰
CCTV / DVR

원우이엔지
줌카메라

포소드
CCTV / 통합관제

다후아 코리아
CCTV / DVR

씨앤비텍
통합보안솔루션

지케이테코
출입통제 / 얼굴인식

아이디스
DVR / IP / VMS

보쉬시큐리티시스템즈
CCTV / 영상보안

이화트론
DVR / IP / CCTV

경인씨엔에스
CCTV / 자동복구장치

테크스피어
손혈관 / 차량하부 검색기

트루엔
IP 카메라

슈프리마
출입통제 / 얼굴인식

에스카
CCTV / 영상개선

두현
DVR / CCTV / IP

테크어헤드
얼굴인식 소프트웨어

옵티언스
IR 투광기

엔토스정보통신
DVR / NVR / CCTV

구네보코리아
보안게이트

비전정보통신
IP카메라 / VMS / 폴

디케이솔루션
메트릭스 / 망전송시스템

씨오피코리아
CCTV 영상 전송장비

KPN
안티버그 카메라

세종텔레콤
스마트케어 서비스

진명아이앤씨
CCTV / 카메라

티에스아이솔루션
출입 통제 솔루션

아이엔아이
울타리 침입 감지 시스템

에프에스네트웍스
스피드 돔 카메라

엔클라우드
VMS / 스위치

케이제이테크
지문 / 얼굴 출입 통제기

사라다
지능형 객체 인식 시스템

알에프코리아
무선 브릿지 / AP

신우테크
팬틸드 / 하우징

일산정밀
CCTV / 부품 / 윈도우

엘림광통신
광전송링크

이노뎁
VMS

새눈
CCTV 상태관리 솔루션

창우
폴대

케이티앤씨
CCTV / 모듈 / 도어락

유시스
CCTV 장애관리 POE

지에스티엔지니어링
게이트 / 스피드게이트

인터코엑스
영상 관련 커넥터

두레옵트로닉스
카메라 렌즈

씨큐리티에비던스
카메라

유진시스템코리아
팬틸트 / 하우징

대산시큐리티
CCTV 폴 / 함체 / 랙

더케이
투광기 / 차량번호인식

글로넥스
카드리더 / 데드볼트

포커스에이치앤에스
지능형 / 카메라

휴컴스
PTZ 카메라 / 줌카메라

카티스
출입통제 / 외곽경비

세환엠에스
시큐리티 게이트

대원전광
렌즈

유니온커뮤니티
생체인식 / 출입통제

화인박스
콘트롤박스 / 배전향