[디지털투데이 박근모 기자] 지난 20일 경기남부경찰청 사이버수사대는 IP카메라를 해킹해 수집한 영상을 음란물 사이트에 유포한 일당 50여명을 붙잡았다. 이는 최근 데스크탑 대신 노트북을 이용하거나 집안 내 애완동물이나 보안을 위해 IP카메라 등을 설치하는 경우가 늘어남에 따라 취약점이 노출된 웹캠과 IP카메라가 이들의 사이버범죄 타깃이 된 것으로 분석된다.

보안업계에서는 웹캠이나 IP카메라 등 사물인터넷(IoT) 디바이스의 취약점을 노린 해킹으로 사생활 노출 가능성이 크다고 보고 사용자 대책 마련에 나섰다. 보안 전문가들은 웹캠이나 IP카메라의 해킹 해결 방안으로 사용자들에게 비밀번호 변경을 요청하는 한편, 제조사에는 '시큐리티 바이 디자인'을 촉구하고 나섰다. 또한 한국인터넷진흥원(KISA)은 디바이스 제조사 자체적으로 보안 취약점 해결이 어려울 경우 판교에 위치한 IoT혁신센터를 통한 기술 지원에 나설 방침이다.

웹캠, IP카메라 등 취약점 신고 빠르게 증가 중

IoT 버그바운티 통계 (자료=KISA)

KISA가 지난 2012년부터 올 2분기까지 IoT 버그바운티(신고포상제)를 통해 조사한 자료에 따르면 지난 2013년 4건에 불과하던 IoT 관련 취약점 신고가 올 2분기에는 약 50배가 증가한 199건까지 급증한 것으로 나타났다. 특히 그동안 취약점이 접수된 IoT 신고 중 공유기가 57%인 400건, IP카메라가 15%인 109건 등 IoT 디바이스에 대한 대책 마련이 시급한 것으로 나타났다.

노트북에 탑재돼 있는 웹캠이나 IP카메라는 상시적으로 인터넷에 연결돼 있으면서 외부에서도 스마트폰이나 PC 등을 통해 내부 카메라에 손쉽게 접근할 수 있다. 특히 최근에는 1인 가구가 늘어나면서 집안에서 키우는 애완동물을 외부에서도 지켜보는 용도로 빠르게 확산되고 있다.

초기 비밀번호 변경 않는 사용자가 주 타깃

보안 업계에 따르면 현재 시중에 유통되고 있는 IP카메라나 웹캠 등은 해킹 등 사이버공격에 무방비로 노출된 상태로, 아무런 보안 수단없이 사용자들이 이용 중인 것으로 나타났다.

지난 20일 경기남부경찰청 사이버수사대에 검거된 해킹 용의자들은 웹캠이나 IP카메라의 공장 출고때 설정된 초기 비밀번호를 변경하지 않은채 인터넷에 연결된 디바이스를 해킹의 주 타깃으로 삼았던 것으로 전해졌다. 이렇게 무방비로 노출된 비밀번호를 통해 1402대의 IP카메라를 2354회나 해킹한 용의자들은 중국 음란물 사이트에 사생활을 불법 녹화해 유출한 것으로 확인됐다.

최상명 하우리 CERT 실장은 "이번 사고의 경우 사용자들이 제품 출고시 입력돼 나오는 기본 비밀번호를 그대로 사용했던 것으로 확인됐다"라며 "IP카메라 등 인터넷 연결이 가능한 제품 구입시 자기만 알고 있는 비밀번호로 변경하는 것이 중요하다"고 설명했다.

보안업체 스플래시데이터가 꼽은 2016년 최악의 비밀번호 25개 (자료=스플래시데이터)

미국 보안업체 스플래시데이터가 올 2월 선정한 최악의 비밀번호를 보면, '123456'이나 'password', 'admin' 등과 같은 제품 출고시 입력된 초기 비밀번호를 그대로 사용하는 경우가 많다는 점을 확인할 수 있다.

최상명 실장은 "일반인의 경우 비밀번호를 바꿔야 한다는 사실을 인식하지 못하는 경우가 많다"라며 "제품 구입 후 사용시 비밀번호를 변경하지 않고서는 제품을 사용하지 못하게 하는 방식의 도입이 필요하다"고 전했다.

웹캠이나 IP카메라, 공유기 등을 출시하는 제조사 중 최근 출시된 라인업에는 이같은 기능이 기본 탑재된 경우가 늘고 있다. 다만, 최근 출시된 제품이라고 할지라도 저가형 제품은 이런 기능이 탑재되지 않아 사용자가 제품 사용전에 반드시 비밀번호를 변경해야 한다.

제품 설계시 '시큐리티 바이 디자인'과 '시큐어 코딩' 도입 필요

보안 전문가들에 따르면 사용자가 직접 비밀번호를 변경했다고 하더라도 안심하긴 아직 이르다. 웹캠이나 IP카메라 등은 내부 소프트웨어(SW)로 제어되는 방식이기 때문에 처음부터 완벽하게 대응한다는 것은 불가능하다. 때문에 사용시 발견되는 취약점을 즉각적으로 업데이트하는 것이 무엇보다 중요하다. 하지만, 일반적으로 웹캡이나 IP카메라 사용자 가운데 내부 시스템(펌웨어) 취약점을 업데이트하는 경우는 극히 드물다. 비밀번호를 아무리 변경했더라도 취약점이 노출되면 해커들은 해당 취약점을 이용해 몰래 들어올 수 있게 된다.

최상명 실장은 "IP카메라 등의 취약점이 발견될 경우 이를 확인해서 펌웨어 업데이트하는 과정이 반드시 필요하지만 사용자들이 이것들을 어떻게 하는지 모르는 경우가 많다"라며 "제조사 측이 취약점 보안 업데이트를 제공하더라도 사용자는 업데이트를 하지 않거나, 못해 취약점을 노출한 채로 디바이스를 이용한다"고 설명했다.

이어 "취약점 보안 업데이트의 경우 소비자들이 직접 하기에는 쉽지 않은 것이 사실"이라며 "제조사가 취약점 자동 업데이트 기능을 넣는다던지 초기에 비밀번호를 변경하지 않으면 제품 사용이 불가능하도록 하는 등의 조치가 선행되야 한다"고 강조했다.

취약점 자동 업데이트 등을 탑재하기 위해서는 제품 개발 시 프로그래밍 코딩 단계에 있어서 '시큐리티 바이 디자인'과 '시큐어 코딩'이 적용돼야 한다는 의견도 제시됐다.

시큐리티 바이 디자인은 제품 설계 단계에서부터 보안을 고려해 프로그래밍을 구성하는 것으로, 향후 진행될 업데이트를 예상해 자동업데이트 기능이나 보안 기능을 미리 탑재해 두는 것을 말한다.

시큐어 코딩은 SW 개발시 소스코드에 존재할 수 있는 잠재적인 보안 취약점을 제거하고, 보안 관련 기능을 프로그래밍 내 구현해 두는 것을 의미한다.

시큐리티 바이 디자인과 시큐어 코딩은 SW 개발부터 현재의 보안 위험과 미래의 보안 취약점을 모두 고려해야 해, 프로그래밍 기술 난이도가 높아져 비용 증가 등을 야기한다.

윤광택 시만텍 기술최고책임자(CTO)는 "시큐리티 바이 디자인을 통해서 사용자가 처음 설치시 비밀번호를 변경하지 않을 경우 다음 페이지로 넘어가지 않도록 옵션을 설정한다면 사용자는 제품을 사용하기 위해서라도 비밀번호를 새롭게 변경할 수밖에 없을 것"이라며 "이처럼 제품 디자인을 할때부터 사용자의 보안을 염두해 둔다면 해킹을 줄일 수 있을 것"이라고 말했다.

또한 "취약점 발견시 업데이트하는 메커니즘도 필요하다"라며 "공격자의 악의적인 업데이트 파일은 업데이트하지 못하도록 하는 코드 사인이나, 검증된 업데이트만 가능하도록 하는 내부 프로그램 설계도 동시에 이뤄져야 한다"고 덧붙였다.

다만, 제조사 입장에서 이런 보안 기술을 탑재하는데 추가적인 비용이 발생할 수 있어 주저하기도 한다고 윤광택 CTO는 설명했다.

IoT혁신센터 내 위치한 IoT보안 테스트 베드 전경 (사진=KISA)

웹캠, IP카메라 등 IoT 디바이스의 보안을 책임지는 KISA는 'IoT 보안 가이드'를 사용자와 제공자 모두에게 제공하며 보안 대책 마련에 나선 상태다. 또한 영세한 제조사를 위한 지원책으로 IoT혁신센터를 통한 기술지원도 진행 중이다. IoT혁신센터에서는 IoT 관련 중소·스타트업, 개인 개발자 등을 위한 'IoT 보안 테스트베드' 프로그램으로 IoT 디바이스의 취약점 분석 및 보안 수준을 점검할 수 있다. 취약점 발견시 KISA는 문제 해결을 위한 기술지원과 보안 교육 프로그램도 제공한다.

한편, 현재 사용중인 IP카메라나 웹캠 등 IoT 디바이스의 보안 유무를 손쉽게 확인하는 방법도 있다.

보안업체 불가드가 운영 중인 IoT 취약점 확인 가능한 'IoT 스캐너' (사진=홈페이지)

보안업체 불가드가 제공하는 'IoT 스캐너' 웹사이트에 접속하면, IoT 검색엔진인 쇼단에 해당 디바이스 등록 여부를 검색해 노출된 정보에 따라 보안 취약점을 리스트로 뽑아주고, 해결 방법도 제공한다.

키워드

#IoT #사물인터넷 #IP카메라 #웹캠 #시큐리티 바이 디자인 #시큐어 코딩 #보안 #개인정보 유출 #취약점 #한국인터넷진흥원 #KISA #시만텍 #하우리
저작권자 © 디지털투데이 (DigitalToday) 무단전재 및 재배포 금지