영상감시 시스템이 IP 환경으로 진화됨에 따라 인터넷에서 문제가 되던 해킹기술을 그대로 사용할 수 있어 보안기능의 중요성이 부각되었으며 특히, 불특정 다수를 대상으로 영상을 수집하는 과정에서 발생할 수 있는 사생활 침해문제는 다른 IT 시스템에 비해 더욱 심각한 문제라고 할 수 있겠다. 이미 외국 제품의 경우 카메라에 보안기능이 내장된 제품이 일반화되었으며, 법이나 제도 측면에서도 보안의 필요성을 인식하고 1980년대부터 다양한 법규 및 가이드라인이 제정된 사례가 있다. 늦은 감은 있지만 국내에서도 개인정보보호법이 영상감시 시스템에 대한 보안대책을 요구하도록 개정된 것이 관련 업계에는 부담이 될 수는 있겠지만, 장기적으로 볼 때 영상감시 시스템의 역기능 문제를 해결할 수 있는 기술적 대안이 마련됨에 따라 시장 활성화를 가져올 수 있는 계기가 되지 않을까 생각된다.

\r\n

이에 관련 업계에서 참고할 수 있도록 이번 원고를 통해 지식경제부 지원 하에 수행중인 영상보안과제 결과물을 소개하고자 한다. 이 과제는 ETRI를 주관으로 한국디지털CCTV연구조합, KT텔레캅, 프롬투정보통신, 시큐진, 경기대학교 등 6개 기관이 수행하고 있다.

\r\n

\r\n

CCTV 영상 해킹과 위·변조 막을 SW 개발

\r\n

\r\n

인터넷에서 구할 수 있는 간단한 해킹툴을 이용하면 IP 망을 통해 전송되는 카메라 영상을 불법적으로 해킹해 손쉽게 볼 수 있으므로 이를 방지할 수 있는 암호화, 위변조방지, 재연공격(원래의 영상을 추출하고 다른 영상을 보내는 공격기술) 방지 S/W를 개발했다. 이 S/W는 세 개의 보안기능을 하나의 S/W로 구현한 것은 물론, 카메라 내장형 기술로 개발되었다. 현재 S/W는 아이캔텍 카메라에 적용되어 송파구청에 설치·운영되고 있으며, H.264 D1급 영상을 대상으로 한다.

\r\n

공공기관에 설치되는 영상감시 시스템에 적용되기 위해서는 국정원 인증을 받아야 하는 문제가 있지만, 이 기술에 대한 국정원 인증은 올해 말이면 가능하리라 예상된다. 보안기능이 탑재된 외국 제품의 경우 아직 국정원 인증을 받은 제품이 없기 때문에 향후 공공기관 적용이 어려울 것으로 예상되며, 현실적으로도 외국 제품이 국정원 인증을 받는 게 인증절차상 쉽지 않을 것으로 생각된다. 현재 공공기관들에서는 카메라로부터 전송되는 영상에 대한 암호화를 위해 별도로 VPN 장비를 사용하고 있지만, 카메라 가격보다 고가인 VPN 장비를 사용하는 것에 대한 운영자들의 불만이 이슈화되고 있으므로 향후 보안기능이 탑재된 카메라의 사용이 증가할 것으로 예상된다.

\r\n

영상감시 시스템을 통해 저장된 영상이 사건 해결을 위해 법적인 증거자료로 활용되는 사례가 증가하고 있다. 법적인 증거자료로 활용되기 위해서는 위·변조되지 않았다는 신뢰성이 확보되어야 하므로 이 S/W에서 제공하는 위변조방지 기술이 그 대안이 될 수 있을 것으로 본다. 카메라에서 수집되는 영상에 대해 위·변조 방지기능을 제공하는 이 기술은 세계최초로 개발되었고, 향후 치안용 영상감시 시스템이 증가할 것으로 판단되기 때문에 활용 가치가 더욱 높아질 것으로 예상된다.

\r\n

\r\n

CCTV 운용으로 불거진 프라이버시 침해 문제

\r\n

이번 원고에서 다루고자 하는 두 번째 기술은 프라이버시 침해 방지 기술이다. 최근, CCTV의 천국이라 불리는 영국에서 프라이버시 침해 문제가 논란이 되고 있으며, 공공기관에서 영상보안 시스템 구입 시 필수 기능으로 프라이버시 마스킹 기능의 탑재를 요구되고 있다. 또한, 미국 국토안보부(Department of Homeland Security)에서는 프라이버시 보호를 위해 CCTV 설치 및 운용에 대한 가이드라인을 발표한바 있고, 유럽연합 의회에서도 1995년 개인정보의 수집목적 외 사용금지, 자신의 정보 접근권, 과다 정보수집 금지, 개인정보의 정확성과 안전성, 제3자 제공시 본인 동의 등에 대한 ‘개인정보의 처리와 자유로운 유통에 관한 개인정보보호지침’을 제정했다. 이에 따라 영국, 프랑스, 독일 등은 정보통신 활용기술에 따른 프라이버시 보호문제를 법률로 규제하고 프라이버시 보호 기구와 구제 절차를 명확히 하고 있다. 벨기에, 덴마크, 스웨덴, 네덜란드 등 나머지 유럽 국가들도 종업원의 의료정보와 의료검진, 감시장비 도입, 이메일과 전화감시 등에 대해 법으로 금지하고 있다.

\r\n

\r\n

H.264 암호화 마스킹 기술 개발·적용

\r\n

\r\n

영상감시 시스템의 보안문제 중 가장 심각한 부분은 사생활 침해문제라고 할 수 있다. 이를 해결하기 위해 이번 연구팀은 수집되는 영상 중 사생활 침해 소지가 있다고 생각되는 얼굴 영상만을 실시간적으로 마스킹해주는 ‘프라이버시 마스킹 기술’을 개발했다. 현재까지는 지멘스가 유일하게 기술을 갖고 있었지만, 지멘스는 MPEG-4용 스크램블링을 통한 마스킹 기술인 반면, 이번 기술은 H.264용 기술이면서 암호 알고리즘을 사용하기 때문에 한 단계 앞선 기술이라고 할 수 있다.

\r\n

이 기술을 사용하면 수집되는 영상은 얼굴이 가려진 상태로 관제되기 때문에 사생활 침해문제를 해결할 수 있다. 본 기술은 얼굴 뿐 아니라 자동차 번호판이나 창문 등에 확대적용이 가능한 기술이다. 또한, 수집된 영상이 사건과 관련된 영상이라고 판단되어 증거영상으로 제출하게 되면, 암호화했던 키를 발급받아 원 영상을 복원하는 언마스킹 기능도 제공된다.

\r\n

프라이버시 마스킹 기술의 상용화 여부를 결정짓는 부분은 언마스킹 기능이 제공되는가와 실시간적으로 다이내믹하게 영상을 마스킹할 수 있느냐에 달려 있다고 볼 수 있다. 프라이버시 마스킹 구현을 위해서는 전단계로 얼굴검출기술이 선행되어야 한다. 기존 상용화된 얼굴인식 제품이 초당 2~3프레임정도만 얼굴을 검출할 수 있으면 인식과정으로 넘어가 갈 수 있어 초당 얼굴 검출을 유지해야하는 프레임 수에 대한 제약이 적었으나 프라이버시 마스킹을 위한 얼굴 검출 기술은 초당 30프레임 동안 계속해서 얼굴이 노출되지 않도록 얼굴검출 기능이 유지되어야 한다. 본 과제에서 개발한 프라이버시 마스킹용 얼굴검출 기능은 실제 환경에서 30프레임을 유지할 수 있도록 성능을 개선하고 있다. 혹시, 현재 초당 30프레임을 유지할 수 있는 얼굴검출 기술을 보유하고 있는 업체가 있으면 본 프라이버시 마스킹 알고리즘과의 연동을 통한 상용화도 가능하다고 생각된다.

\r\n

\r\n

최근 개인정보보호법에 따라 개인정보 열람요청이 들어오면 요청자와 관련된 영상을 열람시켜주어야 하지만 요청자 외에 제3자의 얼굴영상은 보이지 않도록 하는 기술이 없어 현재는 열람요청을 무시하고 있다고 한다. 따라서 이 프라이버시 마스킹 기술이 상용화되면 기술적인 해결대안이 될 수 있을 것으로 생각된다.

\r\n

IP 환경으로 진화하는 영상감시산업 환경에서 이번 원고를 통해 소개한 보안기능은 필수기능으로 활용될 것으로 생각된다. 무엇보다 영상감시산업의 활성화를 위해서는 관련 업체에서는 이 기술에 관심을 가지시고 상용화가 될 수 있도록 적극적인 도움을 주었으면 좋겠다.

\r\n

<글 : 한종욱 │ 한국전자통신연구원 융합서비스보안연구팀 팀장(hanjw@etri.re.kr)>

\r\n

\r\n

[월간 시큐리티월드 통권 제179호(sw@infothe.com)]

\r\n

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>