"사생활이 위험하다"…웹캠·IP카메라 해킹 영상 '수두룩'
글로벌 사물인터넷, 79억개 연결..2025년 200억개
노트북 웹캡, 베이비 모니터, 반려동물용 IP카메라 해킹
다크웹에 사물인터넷 해킹 동영상 가득..비번 바꿔야
홈 IoT 물론 산업, 스마트시티 등 보안 문제 대응 필요
【서울=뉴시스】SK인포섹의 보안전문가 그룹 이큐스트(EQST)는 1월30일 IoT 해킹 위협과 사생활 침해 문제에 대해 발표했다. 이큐스트는 사이버 위협 분석∙연구를 비롯해, 실제 해킹 사고 현장에서침해사고 대응을 맡고 있다. (사진/SK인포섹 제공)
【서울=뉴시스】이국현 기자 = #. 2018년 6월, 미국 사우스 캐롤라이나에 거주나는 24살의 제이미 서밋은 어느 날 잠에서 깼을 때 베이비 모니터가 자신을 향해 있는 것을 발견했다. 그녀는 이상하게 생각했지만 넘겼다. 이후 아이에게 모유 수유를 하고 있는데 카메라가 자신을 향해 저절로 움직이는 것을 발견했다. 그제서야 서밋은 누군가 자신의 사생활을 엿보고 있다는 사실을 알아챘다.
#. 2018년 11월. 국내에서 반려동물용 IP카메라를 해킹해 사생활을 엿보고 불법 촬영한 일당이 경찰에 적발됐다. 이들이 엿본 카메라는 2912대, 녹화 영상은 2만7328대에 달했다. 해커들은 반려동물 사이트를 통해 가정 IP카메라에 접속했다. 이후 3만9706회에 걸쳐 여성의 나체와 성관계 장면 등을 녹화했다. 5000명에 가까운 피해자는 자신의 IP카메라가 해킹 당한 사실을 알고 있을까?
산업 현장은 물론 일반 가정에서도 웹캠이나 IP카메라 등을 통해 사물인터넷(IoT)이 대중화되고 있지만 보안은 터무니없이 취약한 것으로 나타났다. 단순히 아이나 반려동물을 돌보거나 도둑을 막기 위해 카메라를 설치했다가 뜻하지 않게 사생활 침해 공포가 닥쳤다.
특히 5G 상용화로 스마트홈은 물론 공장, 병원 등까지 사물인터넷으로 연결될 경우 허술한 보안이 개인의 문제를 넘어 범죄로 이어져 사회 문제가 될 수 있다는 점에서 경고음이 켜지고 있다.
5일 보안업계에 따르면 지난해를 기준으로 글로벌 시장에서 170억개의 기기가 인터넷과 연결돼 있다. 이 가운데 70억개가 사물인터넷이며, 2025년에는 200억개가 넘을 것으로 추정된다.
하지만 IoT 산업의 발전으로 더 많은 장치가 인터넷에 연결되며 해킹 시도는 증가하고 있다. 한국인터넷진흥원(KISA)의 IoT 보안 취약점 신고 및 조치 건수는 2015년 130건에서 지난해 962건으로 3년 사이에 7배 이상 증가했다.
실제 2016년 사물인터넷 해킹의 대표적인 사건인 '미라이 봇넷 디도스 공격' 이후 스마트 장남감, 노트북 웹캡, 베이비 모니터, 반려동물용 IP카메라 등 가정에서 사용되는 IoT 기기가 공격을 당했다.
김태형 SK인포섹의 보안전문가그룹 '이큐스트' 랩장은 "보안이 미흡한 IoT 기기는 인터넷에서 습득 가능한 계정 정보만으로 시스템에 접근할 수 있어 해커의 공격 도구로 사용된다"며 "미라이 악성코드는 관리자 계정 설정이 취약한 IoT 기기를 스캐닝, 접속해 악성코드를 전파하는 방식으로 동작한다"고 지적했다.
그는 이어 "사물인터넷 해킹은 대단한 기술이 필요한 게 아니다. 누구나 할 수 있을 만큼 쉽고, 해커들도 재미를 느끼고 있다"며 "사물인터넷을 많이 쓰고 있지만 정작 보안에 대해서는 인식을 못하는데 그대로 방치했다가는 내 생활에서 위협이 될 수 있다"고 경고했다.
【서울=뉴시스】SK인포섹의 보안전문가 그룹 이큐스트(EQST)는 1월30일 IoT 해킹 위협과 사생활 침해 문제에 대해 발표했다. 그림은 웹 서버 해킹으로 습득한 정보로 IP카메라에 무단 원격접근 후 사생활 영상 파일 탈취한 사례다. (사진/SK인포섹 제공) [email protected]
사물인터넷 해킹이 단순한 '해킹 행위'를 넘어 불법으로 유통되고 있다는 점에서 사생활 침해 우려는 더욱 심각하다.
2016년에는 개인용 웹캠을 해킹해 인터넷에 게시한 '인세캠'이 대표적이다. 인세캠은 직장과 학원, 헬스장, 음식점, 옷가게 등에 설치된 웹캠 영상을 해킹해 카메라 관리자나 촬영 대상자 동의 없이 인터넷에 게시해 왔다. 2014년 모습을 드러낸 후 2016년 방송통신심의위원회가 접속을 차단했다. 하지만 현재도 해외 IP로 우회해 접속 가능한 것으로 알려졌다.
장형욱 이큐스트 전문위원은 "당시 정부에서 모니터링하고, 피해가 발생한 업체에 대해 피해 사실을 통보하며 지난해 4분기에는 300건 미만으로 감소했지만 지금까지도 많은 부분이 해킹돼 실시간으로 노출되고 있다"고 심각성을 전했다.
실제 '다크웹'에 들어가면 웹캠 해킹 등을 통해 확보한 영상이 어떻게 불법적으로 유통되고 있는 지 적나라하게 드러난다. 다크웹은 특정 소프트웨어가 있어야 접속할 수 있다. 예컨대 웹으로 접속하면 '접속할 수 없습니다'라고 뜨는 반면 'tor 브라우저로 들어가면 정상 콘텐츠가 나온다. 통상 'http;//16자리 숫자.onion' 형식이다.
장 전문위원은 "토르 브라우저를 사용하면 현재 아이피를 숨길 수 있다. 토르 브라우저를 사용해 유명인을 지칭하는 '셀러브레티(Celebrity)'를 검색하면 해외 유명 연예인의 은밀한 사생활이 적나라하게 드러낸 사진 자료들이 쏟아진다"고 말했다.
◇"패스워드 변경만으로 70~80%는 방어할 수 있다"
SK인포섹은 웹캡 제품별로 다른 안전한 비밀번호를 설정하고, 웹캠 및 AP 기기에 대한 정기적인 펌웨어 업데이트를 통해 보안에 만전을 기해야 한다고 권고했다. 기업에서는 한국인터넷진흥원에서 진행하는 IoT 제품 보안인증서비스를 반드시 받아 최소한의 보안성 확보에 나서야 한다고 밝혔다.
특히 정부는 올해 2월부터는 국내에서 유통되는 모든 IP카메라에 대한 보안을 강화해 출시토록 했다. 국내에서 유통되는 모든 IP카메라는 초기 비밀번호를 설정해야 KC 인증을 획득할 수 있고 합법적인 유통이 가능하다. 다만 대다수 사용자와 기업이 중국 등 해외 제조사의 제품을 이용할 경우 여전히 보안 사각지대에 방치될 수 있다.
업계에서는 홈 사물인터넷에 따른 사생활 침해 뿐만 아니라 산업제어시스템(ICS), 스마트시티 인프라의 IoT 보안 문제에도 기업은 물론 국가적 대응이 필요하다고 권고했다.
이재우 이큐스트 그룹장은 "스마트시티, 스마트팩토리, 스마트빌딩 환경의 IoT센서가 5G와 대규모로 연결되면 해커들이 여기에 몰려들어 공격할 것"이라며 "국내외 수요에 대응할 수 있는 전문 보안컨설팅, IoT 기기 대상 모의해킹 등 서비스 사업을 추진할 계획"이라고 밝혔다.
아울러 SK인포섹은 보안컨설팅과 모의 해킹을 묶어 IoT 보안방법론을 담은 보안가이드를 출시하고, 시큐디움IoT 플랫폼으로 위치정보서비스와 전력·스위치 센서 등을 분석하는 융복합서비스, 전력관리·중소빌딩관리 등 산업안전서비스 등을 제공할 계획이다.
[email protected]
Copyright © NEWSIS.COM, 무단 전재 및 재배포 금지