글 김 영 민 기자 \r\n

\r\n

최근, 보안에 대한 관심이 높아지면서 CCTV를 설치·운영하고 있는 가정이나 업체가 늘어나고 있다. 보안서비스 업체에서는 고객들의 편의를 위해 인터넷이나 스마트폰을 통해 영상확인이 가능하도록 지원하고 있다. 하지만 DVR 시스템에 대한 접속을 지원하는 웹 페이지에 대한 보안조치가 취해지지 않고 ID와 패스워드 입력시 별도의 암호화 전송을 사용하지 않고 있어, 간단하게 사용자의 ID와 패스워드를 알아낼 수 있다.

\r\n

\r\n

\r\n

\r\n

무선랜 사용 늘고, ID, 패스워드 전송시 암호화 안돼

\r\n

무선랜 등을 사용하는 CCTV 사용자가 DVR 시스템에 접속하기 위해 ID와 패스워드를 입력 전송하는 과정에서 해킹을 통해 패킷을 분석하면 비암호화된 사용자의 ID와 패스워드는 그대로 노출될 수밖에 없다. DVR 전송시 사용되는 전송방식은 HTTP/1.1, urlencode 방식으로 인코딩해 전송하는 것과 ActiveX 프로그램을 이용한 TCP 전송방식을 사용하고 있으며, 일부 업체에서는 ActiveX프로그램을 이용하거나 SSL 암호화 전송을 이용하고 있다.

\r\n

\r\n

최근 스마트폰 및 타블렛 PC, 노트북 등의 대중화로 무선랜 사용이 늘고 있는 가운데 비암호화된 ID와 패스워드 전송은 단순히 사생활 침해로 그치지 않아 보안업체는 물론 사용자의 주의가 요구되고 있다. 최근 미국에서는 경찰차를 대상으로 실험을 해 시내 교통 현황 등의 정보를 저장하는 DVR을 해킹했다. 이는 경찰차에서 정보를 전송할 때 사용하는 IP주소도 안전성이 떨어짐을 보여주는 사례로 무선랜 이용시 해킹을 당할 수 있는 위험성을 보여주고 있다.

\r\n

\r\n

사용자 ID, 패스워드 초기값 그대로 사용

\r\n

CCTV 설치 및 보안서비스를 제공하고 있는 업체에서는 고객에게 웹 접속 ID 및 패스워드를 변경할 것을 권하고 있지만 번거로움과 복잡함으로 인해 그대로 사용하는 경우가 많다. 인터넷 웹사이트 등에서는 검색을 통해 PDF 파일 등으로 된 문서를 찾을 수 있으며 CCTV 제품에 대한 사용설명과 기본 ID와 패스워드를 확인 할 수 있다.

\r\n

\r\n

이러한 경우, CCTV 사용자의 IP주소를 무작위로 수집하고 기본 ID와 패스워드를 입력하는 프로그램을 만들어 사용하면 이에 부합되는 IP 주소 및 ID, 패스워드를 쉽게 찾아낼 수 있으며 이를 통해 CCTV 영상이 유출될 수 있다.

\r\n

\r\n

한 보안업체 관계자는 DVR 시스템 해킹은 실질적으로 가능하긴 하지만 ID와 패스워드를 아는 것만으로는 DVR 시스템에 접속할 수 없고, IP확인을 위해서는 건물내 서버에 접속하거나 IP 관리자의 권한을 얻어야 가능하다고 말했다. 또한, 각 업체에서 생산하고 있는 DVR은 각 기기별로 호환성을 갖고 있지 않고 크로스 프로토콜을 사용하고 있어 제품의 노하우를 알기 전에는 DVR 시스템에 대한 무단 접속할 수 없다고 한다.

\r\n

\r\n

최근 개인정보보호법 시행으로 인해 이 같은 CCTV 해킹으로 영상정보가 유출될 경우, 개인정보침해는 물론, 영상유출로 인한 피해가 발생할 수 있어 CCTV 사용자의 ID, 패스워드의 관리는 물론, CCTV 설치, 제공업체의 노력이 필요할 것으로 보인다.

\r\n

\r\n

<글 : 시큐리티월드 편집부(sw@infothe.com)>

\r\n

\r\n

[월간 시큐리티월드 통권 제182호(sw@infothe.com)]

\r\n

<저작권자 : 시큐리티월드(www.securityworldmag.co.kr) 무단전재-재배포금지>