OEM방식 수입품, 기기관리 사각지대
홈 IoT 누적 가입자 올 800만 회선
통신硏에 보안테스트 권한…日 배울만
작년 9월 가정집 등에 설치된 IP카메라 1402대에 무단으로 접속해 집안에서 속옷 차림이나 나체로 활동하는 여성들을 엿보거나 불법촬영한 50명이 검거됐다.
같은 해 11월엔 1600대의 IP카메라에 12만6000회 침입해 영상물 888개를 불법촬영한 A씨(36) 등 30명이 붙잡혔다.
IP카메라는 대표적인 홈 IoT(사물인터넷) 기기로 가정에서 자녀나 반려동물을 보호하는 용도 등으로 주로 사용된다. 하지만 가정을 지키는 IP카메라가 역설적으로 보안에 가장 취약한 대표적인 장치로 전락하고 있다. IP카메라가 해외사이트에 생중계된 건수는 올해 10월까지 누적으로 5000건을 훌쩍 넘었다.
이에 작년 12월 과학기술정보통신부ㆍ경찰청ㆍ방송통신위원회는 합동으로 ‘IP카메라 종합 대책’을 내놨다.
하지만 1년이 지난 지금, ‘약발’은 미미하다.
종합 대책의 골자는 IP카메라가 국내 유통ㆍ판매되려면 받아야 하는 KC인증에 ‘초기 비밀번호 변경 의무화’ 조항을 추가하는 것이다.
아직은 강제성이 없다.
국내에서 유통되는 방송통신기자재는 전파법에 따라 적합 인증과 등록을 받아야 한다. 전자파가 얼마나 위해한지 등 기준을 통과해야 KC인증마크를 받고 유통될 수 있다.
시행유예기간이 끝나는 내년 2월부터는 IP카메라 공장초기화 단계에서 설정된 초기 비밀번호를 변경해야 사용할 수 있다. 기본 비밀번호 ‘admin’ 또는 ‘0000’을 바꾸지 않고 사용하는 행태가 손쉬운 해킹을 방조한다. 용산전자상가에서 IP카메라를 판매하는 손 모씨는 “손님들에게 특히 원룸이나 방에 설치할 때는 꼭 비밀번호 바꾸라고 당부한다”며 “admin으로 해두는 건 ‘보안 불감증’이다. 그냥 해외사이트에 주르륵 뜬다”고 강조했다.
IP카메라의 제조ㆍ수입단계에서 철저한 관리감독이 이뤄지기 힘들다는 점도 해결해야 할 과제다.
국내에서 생산되는 IP카메라는 찾아보기 어렵기 때문이다. 국내 유명기업 제품도 중국에서 주문자상표부착생산(OEM)방식으로 수입된다. 한 해에 몇 대가 팔리는 지 아직까지 실태조사 된 바도 없다.
과기정통부에 따르면 국내에서 유통ㆍ판매되는 IP카메라 제품 모델은 400여가지가 넘는다. KC인증 조건은 모델 샘플 하나만 적합성 평가를 통과하면 일괄적으로 주어지므로 기기마다 조건을 충족시켰는지 일일이 확인하기가 어렵다.
정식 수입이 아닌 해외 직구로 들여오는 IP카메라는 더욱 감독이 어려운 문제가 있다.
비밀번호 미설정 외에도 프로그램 설계 오류로 관리자모드로 곧장 들어갈 수 있거나 원격으로 악성코드를 심을 수 있는 취약점도 존재한다.
이 같은 홈 IoT 기기 보안취약점은 2015년부터 올해 3분기까지 1000여건(누적 기준)이 한국인터넷진흥원에 신고됐다.
IoT 시장이 커지면서 IP카메라 등의 보안 취약 문제는 더욱 심각한 상황이다.
올해 10월까지 홈 IoT 누적가입자수는 800만 회선으로 집계됐다. 지난해 동월 대비 160만 회선이 늘어났다. 방송통신심의위원회에 신고되거나 적발된 디지털성범죄정보(개인성행위 정보 등)는 2016년(7356건)에서 올해(1만4385건) 2배 가량 늘었다.
과기정통부는 최근 KTㆍSK텔레콤ㆍLG유플러스 등 11개 사업자와 민관합동협의회를 열었지만 나온 대책은 ‘캠페인성’에 가깝다. 민ㆍ관은 카드뉴스, 웹툰 등을 제작해 ‘비밀번호 변경’, ‘보안패치 설치’ 등 보안수칙 실천을 홍보하는 정도다.
외국 사이트에 중계되는 IP카메라를 찾아 통지하는 현재의 정부 대응 수준이 수동적이라는 전문가 의견도 나왔다.
염흥열 순천향대 정보보호학과 교수는 “일본은 올해부터 5년간 일본 정보통신연구원(NICT)이 국민들이 사용하고 있는 IoT기기에 자유롭게 접근해 보안 테스트를 할 수 있도록 법적 권한을 줬다”며 “우리도 국회가 정보통신망법에 예외조항을 신설해 법적 근거를 마련해줘야 정부가 적극적으로 대응할 수 있다”고 말했다. 현행법상 타인의 정보통신기기에 ‘비인가된 접근’은 불법이다. 이 때문에 정부기관이라도 먼저 화이트해커처럼 IP카메라 보안기능을 시험해볼 수 없고 오직 소비자 신고에 의해서만 한국인터넷진흥원 등이 사후대응만 가능하다. 염 교수는 “정보통신망법에 예외조항을 신설해 공신력있는 기관이 보안테스트를 할 수 있도록 통로를 터줘야 한다”고 말했다.
이민경 기자/think@heraldcorp.com
