IP카메라 보안 실태조사 주요 결과 중국 e커머스발 제품, KC 인증 등 미비 “해외직구 IP카메라, 관리·감독 절실”

[헤럴드경제=고재우 기자] 중국 e커머스 업체 등으로부터 유통된 인터넷프로토콜(IP)카메라 10대 중 9대는 국가통합인증(KC)을 받지 않은 것으로 드러났다.

더욱이 최소한의 보안 기능인 네트워크 장치 자동 발견·연결 기능 차단, 암호화 통신(HTTPS 등) 지원 등을 탑재한 IP카메라가 전무하다시피 했다. 중국산 IP카메라를 중심으로 해킹 가능성이 지속적으로 제기되는 만큼, 이에 대한 대책 마련이 시급하다는 지적이다.

28일 헤럴드경제가 김장겸 국민의힘 의원실로부터 입수한 ‘IP카메라 보안 실태조사 주요 결과’에 따르면 알리익스프레스, 테무 등 중국 e커머스 업체들로부터 들여온 IP카메라의 경우 KC 인증 여부 확인 등을 충족한 경우가 ‘10%’에도 미치지 못했다.

앞서 과학기술정보통신부(과기정통부) 등 정부는 가정·점포·공공시설 등에서 IP카메라를 통한 영상 유출이 발생하자 실태조사에 들어간 바 있다. 조사 대상은 정식 유통(383대), 해외직구(51대) 등이었다.

국내 정식 유통 제품은 KC 인증, 원격서비스 기본 비활성화, 네트워크 장치 자동 발견 및 연결 기능 차단, 암호화 통신 지원 등에서 80% 이상 기준을 충족했다.

문제는 중국 e커머스 업체 등으로부터 유통되는 IP카메라다. 중국산 IP카메라 국내 점유율은 80%에 육박하는 것으로 알려져 있다.

그럼에도 실태조사 결과 상당수 IP카메라가 해킹 위험에 노출돼 있었다.

세부적으로 해외직구 IP카메라 중 ▷암호화 통신(HTTPS 등) 지원(탑재율 7.8%) ▷KC 인증 여부(9.8%) ▷원격서비스(Telnet, SSH) 기본 비활성화(9.8%) ▷자동로그인 기능 차단(17.6%) 등으로 파악됐다.

반면 국내 정식 유통 제품은 ▷암호화 통신(HTTPS 등) 지원(탑재율 95%) ▷KC 인증 여부(100%) ▷원격서비스(Telnet, SSH) 기본 비활성화(97.1%) ▷자동로그인 기능 차단(00%) 등으로 해외직구 IP카메라와 비교해 큰 차이가 있었다.

업계 관계자는 “중국산 IP카메라를 개별적으로 구매해 사용하는 경우, 수집되는 사진이나 영상이 중국 서버를 거칠 수 있어 보안적으로 우려되는 부분이 있다”며 “특히 암호화 통신이 지원되지 않으면 해커 중간 개입 시 사진이나 영상이 탈취될 위험이 크다”고 설명했다.

김 의원은 “중국 e커머스 업체들로부터 들어 온 IP카메라일 경우 중국산일 가능성이 크고, 이미 국내 IP 카메라 시장도 중국산에 잠식당한 것으로 예상된다”며 “해외직구를 통해 들여온 IP카메라에 대한 면밀한 관리·감독이 필요하다”고 지적했다.

한편 다후아, 티피-링크(TP-Link) 등 중국에 본사를 둔 IP카메라 제조사들의 경우 정부의 행정지도를 따르지 않아 논란이 되기도 했다.

다후아는 중국 항저우에 본사를 둔 세계 2위 CCTV 제조사다. 미국 연방통신위원회(FCC) 보안 위험 장비 목록에 포함된 곳이다. 미국·EU 등 주요국 정부 기관 조달도 금지된 상태다.

티피-링크도 중국에 본사를 둔 네트워크 장비 제조사다. 데이터 처리 경로 투명성이 부족하다는 지적을 받고 있다.