스마트폰, 디지털 카메라가 사용자 개인정보를 뺏는 ‘해킹 도구’로 악용될 가능성이 보고됐다. 업계는 기기 및 소프트웨어 보안 강화에 나섰다. 하지만, 업계의 조치에는 한계가 있는 만큼 사용자가 보안 강화와 해킹 방지에 신경써야 한다는 주장도 나온다.

보안 분석회사 체크막스(CheckMarx)는 20일(이하 현지시각)구글 안드로이드 기본 사진 앱의 보안 취약점을 경고했다. 분석에 따르면, 해커가 보안 취약점을 악용해 스마트폰 사진 앱에 백도어(해킹 도구)를 넣을 수 있다.

이 경우 사용자가 촬영한 사진과 오디오, 사진의 메타데이터에 기록된 위치 정보까지도 누출 가능성이 있다. 체크막스는 스마트폰이 켜져 있을 때는 물론 화면이 꺼진 상태나 사용자가 통화중일 때에도 이들 개인 정보가 탈취당할 수 있다고 경고했다.

 스마트폰 카메라 해킹 설명 사진. / 체크막스 홈페이지 갈무리
스마트폰 카메라 해킹 설명 사진. / 체크막스 홈페이지 갈무리
체크막스는 이 문제를 7월에 발견, 구글에 전달한 것으로 알려졌다. 구글도 이 문제를 파악해 11월 구글 픽셀, 삼성전자 갤럭시 등 주요 스마트폰 대상 보안 업데이트를 실시한 것으로 알려졌다. 단, 구글과 삼성전자 이외 제조사의 스마트폰에도 보안 업데이트가 제공됐는지 여부는 알려지지 않았다.

항상 인터넷에 연결된 네트워크 카메라 및 스마트폰 카메라의 해킹 피해 사례는 잘 알려졌다. 하지만, 필요할 때 인터넷에 연결해 원격 제어, 사진 공유 등의 기능을 활용하는 디지털 카메라도 해킹에서 자유롭지 않다.

이어 21일에는 캐논이 디지털 카메라 사진 전송 프로토콜 통신의 보안 업데이트를 진행했다.

8월 이스라엘 보안 분석회사 체크포인트소프트웨어테크놀로지의 지적을 반영한 것. 이들은 캐논 디지털 카메라 일부 모델을 USB 혹은 Wi-Fi로 PC와 연결할 때 랜섬웨어 및 멀웨어의 통로로 악용될 수 있다고 경고했다. 해커가 멀웨어를 디지털 카메라에 침투, 사진이나 동영상을 임의로 탈취할 수 있는 것.

캐논은 이에 곧바로 대응, 제품별 순차 펌웨어 업데이트로 이 보안 문제를 차단한다고 밝혔다. 이어 이 보안 문제로 일어난 실제 랜섬웨어 피해 사례는 보고되지 않았다고도 밝혔다. 대상은 캐논 EOS 5D와 6D, 70D, EOS M6 마크 II와 EOS R 등 Wi-Fi 전송 기능을 가진 디지털 카메라 대부분이다.

체크포인트소프트웨어테크놀로지는 이 사례가 캐논만의 문제가 아니라고 지적했다. 디지털 카메라 사진 전송 프로토콜 통신은 주요 제조사 대부분이 사용하는 ‘범용 전송 규격’이다. 다른 디지털 카메라 제조사도 이 보안 문제를 주시, 해결하고 있는지는 알려지지 않았다.

캐논 보안 문제 업데이트 일정. / 캐논 홈페이지 갈무리
캐논 보안 문제 업데이트 일정. / 캐논 홈페이지 갈무리
과거 일부 캐논, 소니 디지털 카메라의 ‘해킹 펌웨어’가 화제가 됐다. 정식 펌웨어처럼 설치해 영상 촬영 제한 시간을 없애거나 색상 수정 범위를 넓힐 수 있게 했다. 물론, 제조사는 해킹 펌웨어를 사용하지 말라고 경고했다. 기기에 무리를 줘 비정상 동작 혹은 고장까지 야기해서다.

해킹 펌웨어는 최악의 경우라도 디지털 카메라 기기 고장만 일으키는 수준이었다. 하지만, Wi-Fi와 사진 전송 프로토콜을 악용한 해킹은 사진과 영상, 음성과 위치 등 매우 민감한 개인 정보 유출 우려를 낳는다.

디지털 카메라 제조사도 방호벽과 펌웨어 암호화 등 해킹을 막을 수단을 배치했다. 그럼에도 ‘사용자가 직접 해킹 펌웨어를 설치하는 것’까지 막을 수는 없다는 한계가 있다.

디지털 카메라 업계 한 관계자는 "디지털 카메라에 통신 기능이 들어간 이상, 언제든 해킹이 일어날 수 있다"며 "해킹 펌웨어 등 디지털 카메라의 기능을 높인다며 무허가 프로그램을 설치하는 일, 제조사 홈페이지 외 다른 곳에서 펌웨어 파일을 다운로드하는 일은 삼가라"고 강조했다.