[123RF]

[헤럴드경제=박지영 기자]서울 강남 성형외과 IP카메라 영상이 온라인 사이트에 유출되면서, IP카메라 보안 위험에 대한 관심이 높아지고 있다. 정부가 IP카메라 보안 취약점을 점검한 결과 사용자 인증 없이 촬영·저장된 영상에 접근이 가능하거나, 영상 송출 과정이 암호화되지 않는 등 곳곳에 구멍이 뚫려있는 것으로 확인됐다.

13일 하영제 국민의힘 의원실이 한국인터넷진흥원(KISA)으로부터 제출받은 ‘취약한 IP카메라에 대한 운영 실태 조사’에 따르면 IP카메라는 ▷비밀번호 ▷영상정보 보호조치 ▷감사기록 생성 및 저장 ▷펌웨어 업데이트 기능 등에서 보안 취약점이 발견됐다. 해당 조사는 2017년 과학기술정보통신부, 방송통신위원회, 경찰청 등 관계 부처가 마련한 IP카메라 종합대책 일환으로 진행돼 2019년 10월 보고서로 발간됐다. 55개 업체의 일반 소비자용(B2C) 제품 611개, 기업용 제품(B2B) 98개 총 711개 IP카메라가 조사 대상이다.

2017년 종합 대책 마련 당시 정부는 비밀번호에 맞춰 제도를 정비했다. IP카메라 해킹사고 상당수가 초기에 설정된 0000, 1234와 같은 알기 쉬운 비밀번호를 계속해서 사용하면서 발생했기 때문이다. 이에 2019년 2월부터 단말장치 기술기준 개정을 통해 IP카메라 비밀번호 설정 또는 변경을 의무화하고, 해당 기능이 없을 시 국내 유통을 금지했다.

문제는 2019년 10월 보고서에서 비밀번호 설정 외에도 다른 취약점들도 다수 발견됐다는 것이다. 영상정보 보호조치 점검 항목이 대표적이다. B2C와 B2B제품의 39%가 취약한 상태인 것으로 나타났다. ▷네트워크 전송 과정 암호화 조치 미비 ▷사용자 인증 없이 촬영 중인 영상정보 접근 가능 ▷저장 또는 백업된 영상정보 보호 미비 중 1개 이상 해당 되는 제품들이 279개에 달했다. IP카메라의 경우 일반 CCTV와 달리 유·무선 네트워크를 통해 스마트폰 등 연결된 단말 기기를 통해 영상 송출이 가능하다. 네트워크를 타고 영상이 전달되는 과정이 암호화 돼있지 않으면, IP카메라를 해킹하지 않고도 영상 정보에 빼낼 수 있어 위험하다. 네트워크 해킹은 물론 비밀 번호나 사용자 인증 없이 촬영·보관 중 영상에 접근할 수 있다는 점도 문제다.

보안 사고 이후를 대비한 조치도 미비했다. B2C 제품의 29%, B2B 제품의 21% 등 총 201개 제품이 감사기록 생성 및 저장 항목에서 취약 평가를 받았다. 사용자 접속 내역 등에 대한 로그 생성 및 조회와 관련돼있다. IP카메라 영상이 유출되거나 정지·오작동 등 보안사고가 발생하면 제품 결함인지 외부 해킹에 의한 것인지 등을 확인하기 위해 로그 정보가 필요하다. 사고 원인과 책임 추적을 위해 필요한 정보가 미비한 제품이 200개가 넘는 셈이다.

전문가들은 IP카메라 보안 사고 방지를 위해 영상 송출 과정 암호화, 로그 기록 생성·보관 의무화 등 보다 강력한 조치가 필요하다고 지적했다. 박춘식 아주대학교 사이버보안학과 교수는 “보안 전문가들은 데이터 송·수신 과정에서 암호화가 돼있지 않으면 사실상 보안이 없는 것과 마찬가지로 보고 있다”며 “특히 가정용 IP카메라의 경우 1인 가구를 특정해 범죄에 사용하는 등 제2, 제3의 범행으로 번질 수 있어 매우 위험하다”고 지적했다. 이어 “로그 기록 저장 의무화는 사업자에게 부과할 수 있기 때문에 신속하게 대책을 마련해야 한다”고 강조했다.