CloudPNG

ºC

logo
IT/바이오

IP카메라 해킹 12만대 파장…정부, 강제 보안기준 추진 나선다

임서진 기자
입력

인터넷 기반 감시 장비인 IP카메라 보안이 허술한 상태로 방치되며 심각한 사생활 침해와 성착취 범죄의 통로로 악용되고 있다. 최근 해킹 피의자들이 침입한 것으로 확인된 12만여 대의 IP카메라 상당수가 공격자들에게 널리 알려진 아이디와 비밀번호, 혹은 지나치게 단순한 조합을 사용하고 있었던 것으로 드러났다. 정부는 IP카메라를 가정과 사업장뿐 아니라 의료기관, 공공시설까지 아우르는 생활 인프라로 보고, 후속 보안대책을 통해 제품 설계 단계부터 이용 단계까지 전 주기 규제를 강화하겠다는 방침을 내놨다. 업계와 보안 전문가들은 이번 조치가 사실상 네트워크 카메라 산업의 최소 보안 기준을 끌어올리는 계기가 될 수 있다는 평가와 함께, 이용자 스스로의 보안 인식 제고도 병행돼야 한다고 지적한다.

 

IP카메라는 유무선 인터넷에 연결해 영상과 음성을 실시간으로 전송·저장하는 네트워크 카메라로, 가정의 베이비 모니터와 반려동물 관찰용 기기에서부터 소상공인 매장, 병원 수술실, 산후조리원, 수영장, 학교, 공공시설 안전관리까지 쓰임새가 빠르게 확산됐다. 문제는 많은 제품이 출고 당시 설정된 기본 계정과 비밀번호를 그대로 쓰거나, 숫자 나열 등 쉬운 패턴을 유지한 채 인터넷에 상시 노출되고 있다는 점이다. 정부 조사에 따르면 이번에 해킹 피해에 노출된 12만여 대의 IP카메라는 대부분 이런 취약 설정을 공통적으로 안고 있었다.

과학기술정보통신부, 개인정보보호위원회, 방송미디어통신위원회, 경찰청은 7일 이 같은 상황을 계기로 지난해 11월 발표했던 IP카메라 보안강화 방안의 후속대책을 확정해 본격 추진한다고 밝혔다. 관계부처 합동으로 마련된 기존 방안은 제조·수입 단계, 유통 단계, 이용 단계별로 보안 수준을 높이는 내용을 담고 있으나, 이후에도 IP카메라 해킹과 영상 유출 사건이 이어져 상당수 국민이 여전히 위험에 노출돼 있다는 판단에서다.

 

기술적 측면에서 보면 IP카메라 해킹은 주로 인터넷에 개방된 장비의 관리 포트와 원격 접속 기능을 노려 진행된다. 공격자는 대량의 IP 주소를 자동으로 스캔한 뒤, 공장 출하 시 설정된 기본 계정 정보나 과거 유출된 계정 목록을 대입하는 방식으로 접속을 시도한다. 비밀번호 복잡도가 낮거나 일정 횟수 이상 오입력 시 접속을 차단하는 기능이 없다면, 자동화된 무차별 대입 공격의 성공 가능성이 크게 높아진다. 이번에 정부가 제시한 비밀번호 기준과 접속 차단 요구 사항은 이런 자동화 공격의 성공률을 구조적으로 떨어뜨리기 위한 조치로 해석된다.

 

정부는 피해자 보호와 2차 피해 차단에 우선 집중한다. 해킹된 IP카메라 영상을 토대로 제작된 성착취물에 대해선 삭제와 유통 차단을 지속 추진하고, 피해자의 법률 지원과 의료·심리 상담을 지원하는 체계를 가동한다. 특히 대규모 영상 유출이 발생했거나 노출 위험이 큰 사업장을 대상으로는 개인정보보호법 위반 여부에 대한 우선 조사를 실시해 관리 책임을 명확히 할 계획이다. 동시에 IP카메라 해킹과 영상 유출, 불법 촬영물 및 성착취물 유통 사이트 운영, 불법 영상물 구입·소지 행위 전반에 대한 수사도 강화한다는 방침이다.

 

현장 보안 수준을 실제로 끌어올리기 위한 인식 제고와 사전 점검도 병행된다. 다중이용시설에 IP카메라를 설치·유지보수하는 업체들이 참고할 수 있도록 IP카메라 설치·운영 보안 가이드를 제작해 배포하고, 오프라인 설명회도 열어 가이드의 내용을 현장에서 적용할 수 있도록 할 예정이다. 이 가이드에는 초기 비밀번호 강제 변경, 원격 접속 포트 설정, 펌웨어 업데이트 관리, 영상 저장 장치 분리 등 구체적 조치가 포함될 가능성이 크다.

 

또 범죄 악용 우려가 큰 업종을 대상으로 개인정보보호법상 안전성 확보 조치 의무를 반복적으로 고지하고, 업종별로 필요한 IP카메라 보안수칙을 지속 안내한다. 디지털 기기 활용이 익숙지 않은 고령자와 농어민 등 디지털 취약계층에 대해서는 온라인 공지가 아닌 현장 중심의 직접 안내 방식으로 보안수칙을 전달한다는 계획이다. 농촌이나 고령층 가구에 설치된 저가형 IP카메라가 상대적으로 관리 사각지대에 놓여 있다는 점을 감안한 조치다.

 

제조 단계에서의 구조적 보안 강화도 이번 후속대책의 핵심이다. 정부는 생활밀접시설 가운데 병원, 수영장, 산후조리원 등 신체 노출 가능성이 높은 곳에 설치되는 IP카메라에 대해선 보안인증을 획득한 제품만 사용하도록 의무화하는 법률 제정을 추진한다. 아울러 신제품을 설계할 때부터 복잡한 비밀번호 설정과 시도 제한, 접속 기록 관리 기능 등 필수 보안 기능을 기본 탑재하도록 관련 법령 개정도 서두를 계획이다.

 

구체적인 비밀번호 요구 기준도 제시됐다. 대문자와 소문자, 숫자, 특수문자 네 가지 유형 가운데 최소 세 가지 조합으로 8자리 이상이거나, 두 가지 조합일 경우 10자리 이상 설정하도록 유도하는 방식이다. 여기에 더해 비밀번호를 일정 횟수 이상 잘못 입력하면 일정 시간 동안 접속을 차단하는 기능도 포함한다. 정부는 연속 5회 이내 오입력 시 30초에서 최대 60분까지 접속을 잠그는 기능을 예시로 들었다. 이미 시중에 출시된 제품도 소프트웨어 업데이트를 통해 같은 수준의 기능을 구현할 수 있도록 제조사와 협의를 이어간다.

 

영상 유통 차단 기술 고도화도 추진된다. 정부는 불법 복제·유통되는 IP카메라 영상을 신속하게 탐지·차단할 수 있도록 필터링 기술과 모니터링 체계를 고도화하고, IP카메라 구매 단계에서부터 이용자가 보안수칙을 명확히 인지하도록 제조사와 온라인 플랫폼 사업자와의 협의도 지속한다. 제품 포장과 온라인 상품 설명 페이지에 필수 보안 설정 안내를 표준화된 형태로 표기하는 방안 등이 거론된다.

 

해외 주요국에서는 이미 가정용·소형 IoT 기기의 기본 비밀번호 사용 금지, 출고 시 고유한 비밀번호 부여 의무 등 규제를 도입하는 흐름이 나타나고 있다. 우리 정부 역시 IP카메라를 포함한 네트워크 연결 장비 전반을 대상으로 최소 보안 기준을 제도화하는 방향으로 나아갈 수밖에 없다는 관측이 나온다. 다만 보안 기능 강화에 따른 제조원가 상승과 중소 제조사의 대응 여력, 소비자의 가격 민감도 등이 변수로 작용할 여지도 있다.

 

최우혁 과학기술정보통신부 네트워크정책실장은 국내에서 취약한 상태로 운영 중인 IP카메라에 대한 보안 조치가 무엇보다 중요한 시점이라며, 이용자들이 반드시 아이디와 비밀번호 변경 등 기본 보안조치를 이행해 줄 것을 요청했다. 그는 관계부처와 협력해 국민 생활과 직결되는 IP카메라의 안정성 확보를 위한 책임을 다하겠다고 강조했다. 산업계와 보안 전문가들은 제도와 기술, 이용자 인식이 함께 개선될 때에야 IP카메라 해킹 악순환을 끊고 안전한 디지털 감시 인프라로 안착할 수 있을 것으로 보고 있다.

임서진 기자
share-band
밴드
URL복사
#ip카메라#과학기술정보통신부#개인정보보호위원회