[대한민국 온갖 정보 다 샌다]CCTV도 뚫렸다
동아일보 취재팀과 보안업체 라온시큐어의 보안기술연구팀이 확인해 본 국내 폐쇄회로(CC)TV 보안 실태는 예상했던 것보다 훨씬 허술하고 충격적이었다. 이날 시연 컴퓨터의 모니터에는 가정집 침실, 속옷가게, 음식점 주방, 휴대전화 판매점, 동물병원, 사무실, 공장, 지하주차장, 아파트 배관실 등에 이르기까지 온갖 장면이 등장했다. 사람들이 음악에 취해 정신없이 춤을 추는 클럽 내부 광경과 젊은 남녀가 은밀하게 애정을 나누는 골목길 풍경도 잡혔다.
○ ‘기본’도 없는 CCTV 보안 실태
이 프로그램을 컴퓨터에 설치한 뒤 총 10개의 인터넷주소(IP) 대역을 무작위로 뽑아 프로그램 내 검색창에 넣고 탐색했다. 그랬더니 해당 대역 내 네트워크와 연결된 CCTV들이 잡혔다. 10개의 IP 대역에서 CCTV 수천 대를 찾을 수 있었다.
복잡한 해킹 기술을 쓰지 않고 ‘기본 점검’ 작업부터 했다. 보안업계에서 ‘기본 암호’로 통하는 3가지 종류의 비밀번호(암호 없음, 12345678, 4321)를 1132곳의 계정에 대입해 봤다. 그 결과 44.0%에 해당하는 498곳의 CCTV 관리자 계정이 열렸다. 그렇게 암호 보안이 허술한 CCTV 카메라는 총 3029대에 달했다.
CCTV의 모니터 속에서 사람들은 자신들을 찍고 있는 카메라와 이를 지켜보는 익명의 존재를 상상도 못한 채 자고, 먹고, 달리고, 일했다. 누군가 보고 있을 수도 있다는 걸 알았다면 결코 하지 않았을 행동도 했다. 시연은 서울 강남구 삼성동에서 이뤄졌지만 3000대가 넘는 카메라를 통해 전국을 보는 것도 가능했다. 그 모든 게 클릭 몇 번으로 간단히 이뤄질 수 있었다.
○ 화면 속 장소 추정도 가능
예를 들어 어느 주택의 경우 마당 바깥쪽에 설치된 CCTV를 통해 길 건너 치킨집 간판이 잡혔는데, 여기 적힌 전화번호를 통해 해당 주택이 어느 지역에 있는지 추정할 수 있었다. 이 정보를 구글 스트리트뷰나 네이버 위성지도 정보 등과 비교하면 해당 주택의 주소를 완벽하게 알아낼 수 있다. 보안을 위해 설치한 CCTV가 졸지에 집안 안팎의 모습을 외부인에게 모두 보여주는 ‘보안 구멍’으로 변한 셈이다.
과거 영상 조회를 통해서는 해당 장소에 거주하는 사람의 생활 패턴까지 빤히 볼 수 있었다. 몇 시에 일어나고 몇 시에 마당에 나와 체조를 하며, 몇 시에 출근을 했다 몇 시에 돌아오는지 악의를 갖고 접근하는 이가 있다면 충분히 범죄 도구로 활용될 법한 정보들이다.
○ 관리자 계정도 무방비
단순히 화면을 볼 수 있다는 것보다 더 심각한 문제도 발견됐다. 익명의 접속자가 CCTV 관제 화면을 관리자와 똑같이 보며 모든 것을 통제할 수 있는 구조였다. 프로그램 화면에서 ‘관제’ 탭을 클릭하면 해당 장소의 CCTV 관리자 화면에 원격으로 접속할 수 있도록 돼 있었다. CCTV들의 셋톱박스는 한 달 이전 영상까지 저장하고 있는데 이 같은 과거 영상을 돌려보는 것은 물론이고 이를 삭제하는 것도 가능한 상황이었다.
해당 CCTV 및 관제 시스템 제조사 관계자는 이날 보안 점검 결과에 대해 “보안 이슈는 회사에서 매우 주의하는 부분이며 지금까지 보안이 뚫리거나 문제가 있었다는 얘기는 들어본 적이 없다”고 말했다. 이 관계자는 “단순한 기본 비밀번호를 써서 네트워크가 뚫렸다는 건 사용자의 문제지 제조사의 문제가 아니다”라며 “수시로 프로그램 업그레이드를 공지하고 있어 보안상 문제는 없다”고 덧붙였다.
보안 전문가들은 최근 보급이 늘고 있는 IP카메라에 대해서도 크게 우려한다. 컴퓨터처럼 인터넷 망에 연결해 쓰는 IP카메라는 CCTV보다 값이 싸고 설치가 간단하다는 이유로 어린아이를 보모에게 맡기는 맞벌이 가정이나 출장이 잦은 ‘싱글족’들 사이에서 인기를 얻고 있다. 하지만 IP카메라 역시 네트워크에 연결됐다는 점에서 허점이 많다는 지적이 나온다.
라온시큐어 보안기술연구팀 박찬암 팀장은 “IP카메라는 인터넷 망에 바로 물려 있기 때문에 CCTV보다 보안이 훨씬 허술하다”고 말했다.
임우선 imsun@donga.com·서동일 기자