인터넷에 연결해 실시간으로 화면을 공유하는 IP 카메라를 해킹해 사생활을 들여다보는 범죄가 최근 급증하면서 사물인터넷(IoT) 시대 사회적 문제로 급부상했다.
보안 업계는 초기 설정된 비밀번호 변경 등 사용자의 기본적인 보안 수칙 준수도 중요하지만, IP 카메라 제조사를 대상으로 보다 강화된 IoT 보안 가이드라인을 제시하는 등 제도적 보완도 뒤따라야 한다고 지적한다.
IP 카메라를 해킹해 실제 남의 사생활을 들여다보는 범죄 적발 사례도 잇달아 발생 중이다. 9월에는 IP 카메라 1402대를 해킹해 주로 여성의 탈의 장면 등을 훔쳐보고, 녹화한 영상을 유출한 일당 11명이 적발됐다. 11월 초에도 IP 카메라 2600대를 해킹해 은밀한 사생활을 엿본 일당 30명이 입건됐다.
문제는 해킹 전문가가 아니라도 비교적 손쉽게 IP 카메라를 해킹할 수 있다는 점이다. 이들은 이미 유출된 IP 카메라 주소를 인터넷에서 수집하고 각각의 IP 카메라에 접속한 후 아이디와 비밀번호를 무차별 대입하는 수법을 썼다. 해킹 당한 IP 카메라는 대부분 중국 등 해외에서 생산된 제품으로 관리자 계정 아이디 'admin', 비밀번호 '1234' 등 단순한 조합으로 출고된 제품이었다. 상당수 사용자가 구입한 IP 카메라 초기 설정을 변경하지 않고 그대로 쓴다는 점을 노린 셈이다.
초기 설정된 비밀번호를 바꾸더라도 해킹 시도로부터 안전한 것은 아니다. IP 카메라와 같은 소형 IoT 기기는 탑재된 부품 성능이 높지 않아 별도의 보안 솔루션을 탑재하기 어렵다. 내장된 펌웨어에서 취약점이 발견되면 해킹에 고스란히 노출될 수 있다. 이 때문에 각 제조사는 주기적으로 펌웨어를 업데이트한다. 하지만 저가형 IP 카메라는 펌웨어 업데이트를 수동으로 해줘야 하기 때문에 항상 최신 버전으로 유지하기 쉽지 않다. 해킹은 이 틈을 이용해 이뤄지기도 한다.
대기업 제품은 그나마 사정이 낫다. LG전자는 8월 자사 스마트 가전을 무단으로 원격 제어할 수 있는 스마트씽큐 앱에 취약점이 있다는 사실을 보고받고, 글로벌 보안 업체 체크포인트와 함께 보안 패치 프로그램을 업데이트했다. 이 보안 취약점을 악용하면 LG 스마트 로봇청소기, 냉장고, 세탁기, 에어컨, 오븐, 식기세척기, 드라이어 등의 제어권을 탈취해 해커가 원격에서 조작할 수 있는 것으로 확인됐다.
체크포인트는 해당 취약점을 이용해 LG 홈봇 로봇청소기에 탑재된 카메라를 통해 촬영 중인 영상을 실시간으로 훔쳐보거나 다른 가전제품의 경우 전원을 끄거나 켤 수 있다는 것을 발견하고 7월 말 LG전자에 이를 보고했다. LG전자가 수정한 패치는 스마트폰에서 스마트씽큐 앱을 최신 버전으로 업데이트하면 각 스마트 가전에 적용할 수 있어 비교적 손쉽게 적용할 수 있다.
IP 카메라 해킹을 예방하기 위해서는 무작정 저렴한 제품 대신 보안 패치를 꾸준히 지원하는 제조사의 제품을 선택하는 것이 좋다. 초기 비밀번호 변경 등 기본 보안 수칙 준수도 중요하다. 한국인터넷진흥원은 2016년 말 발간한 'IoT 소형 스마트 홈가전 보안 가이드(이용자용)'에서 IP카메라 해킹 방지를 위한 보안 수칙으로 ▲패스워드 설정 ▲보안 통신 프로토콜 기반 암호화 설정 ▲IP·MAC 주소 인증 등 접근제어 설정 ▲펌웨어 업데이트 네 가지를 강조했다.
IoT 기기 제조사와 서비스 제공자를 위한 보안 가이드라인 마련도 분주하다. 세계이동통신사업자협회(GSMA)는 IoT 시장의 안전한 서비스 발전과 확산을 촉진하기 위해 2016년 2월 'GSMA IoT 보안 가이드라인'을 발표했다. 국내에서도 한국인터넷진흥원이 2016년 9월 'IoT 공통 보안 가이드'를 발표한데 이어 7월 IoT 보안 얼라이언스 4차 정기회의에서 '홈·가전 IoT 보안 가이드'를 내놨다.
보안업계 한 관계자는 "IoT 보안 가이드라인을 준수하려는 제조사의 노력도 필요하지만, 최근 언론 보도를 통해 관련 문제에 대한 일반 대중의 인지도가 높아진 점은 고무적이다"며 "IoT 보안 위협은 단시간에 해결될 수 있는 문제가 아닌 만큼 지속적인 관심과 제도적·기술적 보완이 계속돼야 해결될 수 있을 것이다"라고 말했다.