CloudPNG

ºC

logo
IT/바이오

“IP캠 해킹에 일상도 노출”…한국, 디지털 사생활 보호 비상

이예림 기자
입력

IP카메라 등 네트워크 카메라를 겨냥한 해킹이 국내 일상을 정조준하고 있다. 병원 탈의실과 필라테스 센터, 스튜디오, 가정집 거실까지 촬영된 영상이 특정 해외 음란 사이트를 통해 무차별 유통되는 정황이 드러나면서, 생활 밀착형 사물인터넷 기기가 곧바로 성범죄 도구로 전환되는 구조적 취약성이 부각되고 있다. IP캠 제조·유통·운영 전 단계에 걸친 보안 기준 부재와, 국외 서버 기반 플랫폼을 겨냥한 규제 수단 미비가 겹치며, 한국인의 얼굴과 신체가 전 세계로 확산되는 디지털 사생활 침해 리스크가 급격히 커지는 양상이다. 업계와 전문가들은 “저가 IP캠 대량 보급과 허술한 관리가 맞물려, 사실상 ‘집안 도촬’이 상시 가능해진 상황”이라며, 강제 인증제와 상시 모니터링 체계 도입 없이는 유사 피해가 반복될 수 있다고 경고한다.

 

최근 방영된 그것이알고싶다에서는 IP카메라 해킹과 영상 유출의 구체적 실태를 추적했다. 제작진 조사 결과, 국적과 실소유 구조가 명확하지 않은 성인 사이트 한 곳에서만도 병원 탈의실, 필라테스 숍, 스튜디오, 가정집 홈캠 등에서 촬영된 것으로 추정되는 한국인 영상 수백 건이 확인됐다. 사이트는 13개 언어를 지원하고, 별도 로그인이나 회원가입 없이 즉시 시청이 가능해 유출 콘텐츠 확산 속도가 빠른 것으로 나타났다. 특히 메뉴에 IP카메라 항목을 따로 배치해, 해킹으로 추정되는 실시간·저장 영상을 묶어 제공하는 구조를 갖추고 있었다.

피해 사례는 업종과 공간을 가리지 않았다. 경기도 남양주시에서 뷰티숍을 운영하는 A씨는 예약 문의를 가장한 남성에게서 협박성 연락을 받았다. 상대는 메신저로 접근한 뒤 A씨의 나체 사진 10장을 보내며 본인 여부를 확인하라고 요구했다. 해당 사진은 A씨가 2년 전 방문한 피부관리실에서 촬영된 장면과 동일한 구도였고, A씨가 기억하지 못했던 촬영 각도가 포함돼 있어 은밀한 위치의 카메라 또는 IP캠 노출 가능성이 제기됐다. 업소 측은 폐점 시점에 CCTV를 철거했다며 유출 연관성을 부인했지만, 제작진은 과거 이 매장이 모바일 앱으로 영상을 확인하는 IP카메라를 사용해 온 사실을 추가로 확인했다. 매장에 관련 장비를 공급한 보안 업체는 “영상 접근 권한이 없어 해킹은 불가능하다”며 책임을 부정했지만, 실제 영상이 외부 사이트에서 발견된 만큼 장비 설정이나 계정 관리, 클라우드 경로 등 다른 취약 지점에 대한 조사가 필요하다는 분석이 나온다.

 

모델 B씨는 스튜디오 촬영 중 옷을 갈아입는 과정이 통째로 유출되는 피해를 겪었다. 해당 영상은 성인 사이트 게시 하루 만에 조회 수 10만 회에 육박했고, 일부 누리꾼들이 B씨 실명을 특정하면서 2차 피해 우려가 커졌다. B씨가 인지하지 못한 상태에서 스튜디오 내 IP캠 또는 촬영용 카메라가 상시 연결돼 있었을 가능성이 거론된다. 해외 거주 중인 제보자 C씨는 2023년 가정에 설치했던 홈캠 영상이 음성과 함께 유포된 사실을 뒤늦게 알았다. 영상에는 당시 교제하던 연인과의 사적인 장면이 포함돼 있었다. C씨는 “집 내부를 지키려 설치한 카메라가 오히려 가장 사적인 순간을 노출시키는 통로가 됐다”며 충격을 호소했다. 제작진은 C씨 영상이 최초 확인된 사이트 외에 최소 5개 이상 연계 플랫폼으로 재유포된 정황도 확인했다.

 

IP카메라 해킹은 기본적으로 인터넷에 상시 연결된 카메라의 인증 정보를 탈취하거나, 초기 설정 상태의 취약한 보안 옵션을 악용하는 방식으로 이뤄진다. 저가형 기기 상당수는 출고 시 관리자 계정과 비밀번호가 공장 초기값으로 설정돼 있고, 사용자가 이를 변경하지 않으면 외부에서 공개된 검색엔진이나 스캐닝 도구만으로도 접속 대상을 쉽게 찾을 수 있다. 일부 해외 제조사의 경우 영상 전송 경로가 암호화되지 않았거나, 펌웨어 업데이트가 제공되지 않아 이미 알려진 취약점이 수년째 방치되기도 한다. 공격자는 이런 기기를 자동 탐색하는 스크립트로 대량 스캔을 수행한 뒤, 접속 권한을 탈취해 영상을 저장하거나 스트리밍 주소를 수집해 상업적 사이트에 넘기는 구조를 취한다. 국내 보안 전문가들은 “IP캠 해킹이 고도의 기술범죄라기보다, 대량으로 방치된 취약 기기를 자동화 도구로 주워 담는 수준인 경우가 많다”고 말한다.

 

이번에 지적된 CAT라는 이름의 사이트는 IP카메라 항목을 전면에 세우고, 언어 설정을 한국어로 바꿔 접속하면 한국에서 촬영된 것으로 추정되는 영상이 연이어 노출되는 점이 특징이다. 다수 영상에는 병원 간판이나 한국어 안내 문구가 그대로 등장해 촬영 위치와 업종을 유추하기 어렵지 않았다. 로그인 없이 바로 재생이 가능한 구조 덕분에 접근 장벽이 매우 낮고, 한번 올라간 영상은 짧은 시간에 복수의 미러 사이트와 텔레그램 채널 등으로 복제된다. 사실상 서버가 여러 국가에 분산된 형태여서, 국내에서 접속 차단 조치를 취하더라도 원본 삭제나 수사 협조를 이끌어 내기까지 상당한 시차와 법적 공조가 필요하다는 지적도 제기된다.

 

시장 측면에서 보면 IP카메라는 가정용 보안, 아기 모니터, 반려동물 관찰, 소규모 매장 관리 등 생활 전반으로 빠르게 침투했다. 설치 방식도 기존 CCTV처럼 폐쇄망 기반이 아니라, 스마트폰 앱과 연동되는 클라우드 기반이 주류가 됐다. 사용자 입장에서는 설비·설치 비용이 낮고, 어디서든 실시간 모니터링이 가능하다는 장점이 있다. 그러나 그만큼 인터넷 노출면이 넓어지고, 암호 설정과 펌웨어 업데이트 등 보안 관리 책임이 개인에게 전가되는 구조가 만들어졌다. 전문가들은 “IP캠이 가정과 의료기관, 피트니스 시설 등 민감한 공간에서 광범위하게 쓰이고 있어 한 번 유출되면 피해 정도가 심각하다”며, “기기의 편의성만 강조된 채, 사용자가 감당해야 할 보안 위험은 제대로 설명되지 않았다”고 비판한다.

 

글로벌 차원에서도 IP카메라 해킹과 영상 유포는 반복되는 문제다. 북미·유럽에서는 과거 특정 브랜드 유아 모니터 기기를 통해 외부인이 아이에게 말을 걸거나, 침실 내부가 외부에 노출되는 사건이 잇따라 발생해 대규모 리콜과 집단 소송으로 이어졌다. 일부 국가는 기본 비밀번호 출고를 법으로 금지하고, 소비자용 IoT 기기에 의무 보안 라벨을 부착하도록 하는 규정을 추진해 왔다. 반면 국내에서는 IoT 기기 보안 인증과 가이드라인이 존재하지만, 강제력이 낮고 저가형 해외 직구 기기 상당수가 제도권 바깥에서 유통되는 구조가 유지되고 있다. 업계 관계자는 “국내 제조사와 달리 국외 저가 브랜드는 국내 규제와 무관하게 판매되거나, 수입업체 변경을 통해 책임 소재를 회피하는 경우가 많다”고 전했다.

 

정책·규제 측면에서는 개인정보보호법과 정보통신망법, 사물인터넷 보안 가이드라인 등이 존재하지만, IP카메라 전용의 강제 인증제나 최소 보안 요구사항 의무화는 아직 미흡한 상황이다. 특히 병원과 피트니스, 스튜디오 등에서의 영상 촬영과 저장·전송에 대한 명시적인 고지 의무와, 이용자 동의 절차가 허술한 경우가 적지 않다는 지적이 나온다. 국외 서버 기반 음란 사이트를 통한 유포에 대응하기 위해서는 국제 공조 수사와 더불어, 플랫폼 차단을 넘어선 원본 삭제 요청, 업로드 계정 추적 등 디지털 증거 기반 수사 역량 강화도 필요하다는 목소리가 커지고 있다. 법조계 일각에서는 “해외 서버를 이용한 성착취물 유통이 반복되는 만큼, 수사기관이 신속히 접속기록과 결제 정보 등을 확보할 수 있도록 국제 공조 채널과 법적 근거를 정교하게 다듬어야 한다”고 제안한다.

 

전문가들은 국내 IP카메라 생태계 전반의 보안 수준을 끌어올리는 것이 근본 처방이라고 강조한다. 구체적으로는 출고 단계에서 기본 비밀번호 사용 금지, 최초 설치 시 강제 비밀번호 변경, 영상 전송 구간 암호화와 정기 펌웨어 업데이트 제공, 클라우드 서버 지역과 데이터 보관 기간의 투명 공지 등이 최소 기준이 돼야 한다는 지적이다. 더불어 의료기관·피트니스 시설·스튜디오 등 민감 공간에서의 카메라 설치에 대해서는 별도 인증과 관리자를 지정하고, 촬영 사실과 용도를 이용자에게 명확히 안내하도록 하는 제도적 장치가 필요하다는 의견이 제시된다. 한 보안 연구자는 “국내 유통 IP캠에 단계적 보안 등급제를 도입하고, 일정 등급 미달 제품은 판매를 제한하는 방안도 검토할 때가 됐다”며 “디지털 사생활 침해가 성범죄와 결합하는 상황에서, 단순 가이드라인이 아닌 강제 규제가 불가피해 보인다”고 말했다.

 

산업계는 IP카메라를 포함한 생활형 IoT 기기 시장이 계속 성장할 것으로 보면서도, 보안 사고가 반복될 경우 소비자 신뢰 상실과 역성장 가능성도 우려하고 있다. 일부 제조사들은 이미 클라우드 접근 기록 확인 기능과 침입 시도 알림, 이중 인증 기능을 도입하는 등 자구책을 내놓는 중이다. 그러나 국적 불명 사이트와 결합한 IP캠 해킹 문제가 확대될 경우, 개별 기업의 노력만으로는 신뢰 회복이 어렵다는 평가가 우세하다. 기술과 편의성을 앞세워 성장한 생활형 IoT 시장에서, 보안과 개인정보 보호, 국제 공조 체계가 새로운 진입 조건으로 부상하고 있다. 산업계와 정책 당국이 어떤 수준의 규제와 책임 구조를 설계하느냐에 따라, IP카메라 기술이 안전한 생활 인프라로 남을지, 디지털 사생활 침해의 상징으로 전락할지가 갈릴 가능성이 커지고 있다.

이예림 기자
share-band
밴드
URL복사
#ip카메라#그것이알고싶다#cat사이트