변재일 의원실 근거 자료... ‘IP 카메라 보안 실태 조사 방식’ 허점 인정
사용설명서 기반의 조사방식 한계... 추후 조사 더 정밀하게 진행할 것

[보안뉴스 김성미 기자] 올해 국감을 뜨겁게 달군 ‘IP 카메라 취약점’에 대한 한국인터넷진흥원(KISA)의 설명자료가 언론에 배포됐다. 본지가 단독으로 업계 입장과 함께 사실관계를 정확히 짚어본 보도(국감 달군 ‘IP 카메라 취약점’ 팩트체크 해보니… “사실과 달라”)를 한지 만 하루가 안 된 시점이다.


KISA는 과학기술정보방송통신위원회 변재일 의원(더불어민주당)이 보도자료의 근거자료로 사용한 ‘IP 카메라 실태’의 조사방식의 허점을 인정하고 추후 정밀한 조사를 진행하고 영상보안 산업을 차세대 먹거리 산업으로 육성하는데 노력하겠다고 밝혔다.

앞서 15일 변재일 의원은 보도자료를 통해 국내 유통 중인 400개 IP 카메라중 126개가 보안이 취약하다고 주장했다. 그 증거로는 지난 6월 과기정통부와 KISA가 실시한 ‘IP 카메라 실태 조사’ 자료를 내세웠다.

그러나 본지 취재결과 해당 조사는 초기 비밀번호 설정에 대한 것이 골자로, IP 카메라의 기기나 소프트웨어상의 취약점이 아니였으며 조사방식에도 허점이 있었던 것으로 드러났다.

여기서 말하는 취약점이란 네트워크나 제품 설계상의 취약점이 아닌 단순한 초기 계정정보인 아이디와 비밀번호에 대한 문제를 가리킨다. 0000이나 1234와 같은 누구나 유추가능한 비밀번호를 변경하지 않고 그대로 사용할 경우 누구나 IP 카메라 관리자 사이트에 접근이 가능해 영상을 엿보거나 영상 데이터를 탈취해 악용할 수 있는 가능성이 높아진다는 얘기다.

또한, 조사 대상 카메라에 일부 단종 제품도 섞여 있어 조사에 대한 변별력도 떨어지는 것으로 나타났다. 단종된 제품을 확인하거나 테스트를 진행하지 않고 사용설명서에 비밀번호 설정 내용이 없다는 이유만으로 취약하다고 단정지은 경우도 있는 등 사실과 많이 달랐다. 회사에서는 이미 단종시킨 제품이나 일부 재고가 온라인상에서 유통되는 제품을 KISA가 입수하면서 취약한 제품으로 공개한 경우도 있었다.

국내에서 IP 카메라 취약점이 처음 제기됐던 사건은 국내에서 인기를 모았던 애완동물용 IP 카메라가 해킹을 당해 개인 사생활이 고스란히 온라인에 공개된 사례다. 당시 문제가 됐던 부분은 단순한 초기 비밀번호 설정이었다.

이 사건 이후 과기정통부는 IP 카메라 해킹을 막기 위해서 KC 인증에 비밀번호 설정을 포함하는 ‘단말장치 기술기준 일부 개정안’을 마련해 행정예고했다. IP 카메라의 잦은 해킹이 단순한 비밀번호에 따른 것이라고 판단했기 때문이다. 이에 따라 내년 2월부터 IP 카메라는 비밀번호 초기 설정을 적용해야 KC 인증을 획득하고 국내에 합법적으로 유통할 수 있게 된다.

이런 가운데 15일 과학기술정보방송통신위원회 변재일 의원실에서 발표한 IP 카메라의 해킹 취약 보도자료는 해당 개정안 마련을 위해 조사됐던 자료를 바탕으로 하고 있어 문제가 됐다. 이미 업계와 정부 차원에서 대책을 마련해 시정중인 문제가 국감에서 또 다시 불거졌기 때문이다.

국감후 ‘국내 IP 카메라 보안 취약’으로 여러 미디어에 언급된 국내 제조사들은 KISA 조사 결과에 반박하는 자사의 입장을 표명했다. 이어 KISA도 사용설명서 기반 조사방식의 한계를 인정했다. 또한, 추후 보다 정밀한 방식으로 조사를 진행하겠다는 입장이다. 다음은 KISA가 발표한 ‘IP 카메라 보안 실태조사 설명자료’ 전문이다.

KISA, IP카메라 보안 실태조사 관련 설명자료
최근 IP카메라에 무단 접속하여 영상을 불법 촬영⋅유포하는 사례가 발생함에 따라 사생활유출 등 국민 불안이 확산되고 있습니다. IP카메라 해킹사고의 대부분의 원인이 IP카메라에 비밀번호가 설정되어 있지 않거나 제품 제조 당시의 알기 쉬운 비밀번호(예 ‘0000’, ‘1234’ 등 제품모델 전체가 동일 비밀번호 사용)로 설정되어 있는 것으로 파악됐습니다.

이에, 인터넷진흥원은 국내에서 유통되는 IP카메라의 비밀번호 설정 현황을 파악하여 업체 개선을 유도하고 정책추진을 위한 참고자료로 활용하기 위하여 ‘18년 5월 28일부터 6월 4일까지 실태조사를 추진했습니다.

인터넷진흥원은 국내 인터넷 쇼핑몰에서 많이 유통되고 있는 국내외 400개 IP카메라 제품을 대상으로 △출시 단계부터 비밀번호가 설정되어 있지 않거나, △제품마다 모두 동일 비밀번호를 사용하거나, △사용초기에 비밀번호를 변경하고 사용하도록 하는 기능이 구현되어 있는지 여부를 실제품 또는 사용설명서를 확인하는 방식으로 조사했습니다.

다만, 사용설명서 기반 조사방식의 경우 실제 제품에는 기능이 있으나 사용설명서에는 관련 내용이 반영되어 있지 않은 경우를 정밀하게 구분해 내기 어려운 한계가 있고, 조사 당시는 유통중이었으나 현 시점에는 단종 등으로 유통되지 않고 있는 제품이 일부 있어, 인터넷진흥원은 이후 제조사들과 협의하여 보다 정밀한 방식으로 조사를 진행할 계획입니다.

과학기술정보통신부는 IP카메라, CCTV 등 영상정보처리 기기를 사용시 최초 비밀번호 설정 또는 변경을 의무화하는 제도(국립전파연구원의 단말장치 기술기준 고시 개정)를 내년 2월부터 본격적으로 시행합니다. 이에 따라 영상정보처리기기 제조·판매·수입업체는 초기 비밀번호를 기기마다 다르게 설정하거나 이용자가 초기 비밀번호를 변경해야 동작하는 기능을 의무적으로 기기에 탑재하여야 합니다.

인터넷진흥원은 보안성이 높은 IoT 제품의 이용을 확대하기 위해 IP 카메라 등 ‘IoT 제품 보안인증제’를 시행(’17.12.29)하고 있으며, 해외 사이트에 노출된 IP카메라에 대해서도 소유자에 통지 및 조치방법을 안내하는 등 적극적으로 대응하겠습니다.

또한, 일반 국민이 IP카메라 등 IoT 보안 제품을 안전하고 편리하게 사용하실 수 있도록 신뢰성을 높이고 IoT 보안산업을 차세대 먹거리 산업으로 육성하는데 최선의 노력을 다하겠습니다.
[김성미 기자(sw@infothe.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>