| 우리집 CCTV 영상, 누군가가 같이 본다? | 2012.05.29 | ||
CCTV 웹 관리 시스템의 ID와 PW, 해킹에 무방비 노출 위험!
최근 보안에 대한 관심이 높아지면서 CCTV를 설치·운영하고 있는 가정이나 업체가 늘어나고 있다. 보안서비스 업체에서는 고객들의 편의를 위해 인터넷이나 스마트폰을 통해 영상확인이 가능하도록 지원하고 있다. 하지만 DVR 시스템에 대한 접속을 지원하는 웹 페이지에 대한 보안조치가 제대로 취해지지 않고 ID와 패스워드 입력시 별도의 암호화 전송을 사용하지 않고 있어 간단하게 사용자의 ID와 패스워드를 알아낼 수 있다.
이러한 방법으로 사용자의 ID와 패스워드를 알아내기 위해서는 동일한 네트워크 상에서 DVR 시스템에 접속하는 경우에만 가능하다. 하지만 최근 와이파이망을 통해 접속하는 경우도 늘고 있으며, CCTV 제품 설치시 설정된 기본 ID와 패스워드를 그대로 사용하는 경우도 많아 이에 대한 대책이 필요할 것으로 보인다.
무선랜 사용 늘고, ID, 패스워드 전송시 암호화 안돼 무선랜 등을 사용하는 CCTV 사용자가 DVR 시스템에 접속하기 위해 ID와 패스워드를 입력 전송하는 과정에서 해킹을 통해 패킷을 분석하면 비암호화된 사용자의 ID와 패스워드는 그대로 노출될 수밖에 없다. DVR 전송시 사용되는 전송방식은 HTTP/1.1, urlencode 방식으로 인코딩해 전송하는 것과 ActiveX 프로그램을 이용한 TCP 전송방식을 사용하고 있으며, 일부 업체에서는 ActiveX 프로그램을 이용하거나 SSL 암호화 전송을 이용하고 있다.
최근 스마트폰 및 태블릿 PC, 노트북 등의 대중화로 무선랜 사용이 늘고 있는 가운데 암호화되지 않은 ID와 패스워드 전송은 단순히 사생활 침해로 그치지 않아 보안업체는 물론 사용자의 주의가 요구되고 있다. 최근 미국에서는 경찰차를 대상으로 실험을 해 시내교통 현황 등의 정보를 저장하는 DVR을 해킹한 바 있다. 이는 경찰차에서 정보를 전송할 때 사용하는 IP 주소도 안전성이 떨어진다는 사실을 보여주는 사례로 무선랜 이용시 해킹을 당할 수 있는 위험성이 커진다는 사실을 입증한 셈이다.
사용자 ID, 패스워드 초기값 그대로 사용 CCTV 설치 및 보안 서비스를 제공하고 있는 업체에서는 고객에게 웹 접속 ID 및 패스워드를 변경할 것을 권하고 있지만 번거로움과 복잡함으로 인해 그대로 사용하는 경우가 많다. 인터넷 웹사이트 등에서는 검색을 통해 PDF 파일 등으로 된 문서를 찾을 수 있으며, CCTV 제품에 대한 사용 설명과 기본 ID와 패스워드를 확인할 수 있다.
이 경우 CCTV 사용자의 IP 주소를 무작위로 수집하고 기본 ID와 패스워드를 입력하는 프로그램을 만들어 사용하면 이에 부합되는 IP 주소 및 ID, 패스워드를 쉽게 찾아낼 수 있으며 이를 통해 CCTV 영상이 유출될 수 있다.
이와 관련 보안업체의 한 관계자는 “DVR 시스템 해킹은 실질적으로 가능하긴 하지만 ID와 패스워드를 아는 것만으로는 DVR 시스템에 접속할 수 없고, IP 확인을 위해서는 건물내 서버에 접속하거나 IP 관리자의 권한을 획득해야 가능하다”고 말했다. 덧붙여 그는 “각 업체에서 생산하고 있는 DVR은 각 기기별로 호환성을 갖고 있지 않고 크로스 프로토콜을 사용하고 있어 제품의 노하우를 알기 전에는 DVR 시스템에 대한 무단 접속할 수 없다”고 강조했다.
최근 개인정보보호법 시행으로 인해 이 같은 CCTV 해킹으로 영상정보가 유출될 경우 개인정보 침해는 물론 영상유출로 인한 피해가 발생할 수 있다. 이에 따라 CCTV 사용자의 ID, 패스워드의 관리와 함께 CCTV 설치 및 제공업체들도 이를 방지할 수 있는 다각도의 노력이 필요할 것으로 보인다. [김영민 기자(sw@infothe.com)] <저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지> |
|||
 |
