현실화되는 IoT 보안위협, IP 카메라 해킹

JiranSecurity

최근 보안 및 관리 등을 위하여 설치한 IP 카메라가 개인의 일상을 침해하고 사생활을 위협하는 범죄에 활용되면서 큰 이슈가 되고 있습니다. 기기 자체가 가진 취약점뿐만 아니라 개인의 취약한 보안을 노린 공격까지 IP 카메라를 중심으로 벌어진 다양한 이슈들을 소개하고자 합니다.

 

IoT 보안위협과 IP 카메라 해킹

인터넷에 연결된 다양한 기기들이 증가하면서 ‘보안’의 중요성이 강조되고 있습니다. 스마트 냉장고, 다리미 등과 같은 가전기기를 통한 스팸, DDoS 공격부터 자율주행자동차에 대한 해킹 사례까지 초연결시대에서 보안은 일상과 더욱 밀접해지고 있는 상황입니다. 이번 IP 카메라 해킹도 우리 일상과 관련 있다고 할 수 있습니다. 최근 중국 기업이 제조한 IP 카메라의 취약점에 대한 조사에 따르면 약 1,250개의 카메라 모델에 대해 루트 권한을 획득할 수 있는 취약점을 발견하였으며, 쇼단을 통해 접속 가능한 카메라가 약 195,000대에 이른다는 결과가 있었습니다. 이는 다수의 IP 카메라가 인터넷에 무방비로 노출되어 있다는 것을 의미합니다. (출처: IT Security Research by Pierre)

실제로 IP 카메라 해킹을 통해 이용자의 사생활이 중국 성인 사이트에 올라가는 등의 피해가 국내에서도 발생하고 있습니다. 가정 내에서 생활하는 개인의 모습이 담긴 다양한 영상이 누군가의 유희에 이용되고 있는 것이죠. 특히 많은 IP 카메라들이 촬영 각도를 조절할 수 있는 기능을 제공하기 때문에 해커는 IP 카메라로 일상의 다양한 공간을 감시할 수 있다는 것이 큰 특징입니다. 이를 활용하면 개인의 정보를 취득하여 추가적인 범죄에 이용할 수도 있는 것이죠. 또한, 일방적인 정보 유출 이외에도 카메라에 내장된 마이크 기능을 이용하여 이용자에게 위협을 줄 수도 있습니다.

가장 무서운 사실은 누구도 자신의 일상 정보가 유출되고 있다는 것을 인지할 수 없다는 것입니다. IP 카메라를 이용하는데 있어 보안은 고려 대상이 아니기 때문이죠.

 

20170516-01

출처 : IT Security Research by Pierre

 

IP 카메라의 주요 보안위협

Pierre에 따르면 해당 IP 카메라의 취약점은 크게 7가지(1. 백도어 계정 2. RSA 키 및 인증서 3. HTTP 서배 내 인증 정보 유출 4. 루트로 인증된 RCE(Remote Code Execution) 5. 루트 권한으로 사전 승인된 RCE(Remote Code Execution) 6. 인증 없는 스트리밍 7. 클라우드)로 약 1,250개의 IP 카메라 모델에서 발견되었습니다. 이렇게 수많은 IP 카메라 모델에서 유사한 취약점이 발견된 이유는 수많은 브랜드의 IP 카메라가 중국 기업에서 제조한 IP 카메라를 구입해 자사의 브랜드로 재판매하고 있기 때문입니다. 중국에서 제조된 모델의 펌웨어에 포함된 취약점이 해결되지 않은 상황에서 다양한 브랜드로 판매되었기 때문에 수많은 브랜드의 제조 모델에서 유사한 취약점들이 발견되었다고 할 수 있습니다.

위에서 언급된 취약점 이외에 IP 카메라 해킹에 이용되는 가장 큰 취약점은 바로 이용자들의 보안 수준입니다. 여전히 많은 이용자들이 IP 카메라를 설치하면서 비밀번호를 설정하지 않거나 초기에 설정된 비밀번호를 그대로 이용하는 등 기본적인 보안조차 갖추지 않고 있습니다. 인터넷에 연결된 기기들을 쉽게 검색할 수 있는 시대에서 기본적인 보안도 갖춰지지 않은 기기들은 공격자들의 먹이감이 될 수밖에 없는 것이죠.

그렇다면, IP 카메라 해킹에 대응하기 위한 방법에는 어떤 것들이 있을까요? 앞의 제품 자체가 가진 취약점의 경우 실질적으로 개인이 대응하기에는 한계가 존재하지만, 정기적으로 펌웨어 업데이트 수행, 비밀번호를 설정 및 변경 등은 우리가 직접 수행할 수 있는 보안이라고 할 수 있습니다. 이외에도 초기 제품의 구매부터 보안이 얼마나 갖춰져 있는지 살펴보는 것도 쉽게 할 수 있는 보안이라고 할 수 있습니다.

 

20170516-02

출처 : IT Security Research by Pierre

 

초연결시대, 보안의 책임

초연결시대 보안 위협은 IP 카메라에만 해당되는 것이 아닙니다. 가정 내 로봇 청소기, 스마트 도어락 등 인터넷에 연결된 모든 기기들이 범죄의 대상이 될 수 있습니다. 이러한 상황에서 초연결시대의 보안은 제품과 서비스를 공급하는 기업과 이용하는 개인 모두의 참여가 함께 요구된다고 할 수 있습니다. IP 카메라 해킹은 사람과 사물 그리고 비즈니스를 모두 위협하는 디지털 시대의 보안 위협 사례라고 할 수 있습니다. 이제 본격적으로 일상에서도 융합보안 시대가 시작된 것이죠.

 

20170516-03

 

지금 이용하고 있는 스마트 기기는 정말 안전할까요. 기기를 구매하거나 서비스를 이용할 때 ‘보안’이 고려 요소인가요. 이제 이용하고 있는 스마트 기기들의 ‘보안’에 대하여 생각해 보는 것이 필요합니다.


※ 해당 사이트의 모든 콘텐츠는 저작자표시-비영리-변경금지 라이선스 정책이 적용됩니다. by-nc-nd

목록