1. CCTV 환경에서의 개인 프라이버시 정보보호의 필요성
2. CCTV 시스템 구축시 고려사항 및 구축사례에 대한 종류별 분류
3. CCTV 기반 얼굴 검출 기법 이해
4. CCTV 기반 얼굴 인식 기법 이해
5. CCTV 기반 바이오 정보 위협 요소
6. CCTV 기반 바이오 정보 보안 대책
7. CCTV 시스템에서의 보안 위협 요소
8. CCTV 시스템에서의 보안 대책
9. CCTV 시스템 구성요소별 보안 위협 및 방어 대책
10. CCTV 기반 얼굴검출 및 인식시스템 보안 프레임워크 구현방법
CCTV 보안 위협 요소
시민들의 안전을 보호하는 경찰의 수는 매년 늘고 있는 추세이지만 사회적인 강력 범죄 발생 및 치안 문제의 증가로 인해 시민의 보호와 개인 보안을 목적으로 한 네트워크 기반의 CCTV 시스템의 설치·운영이 전국적으로 확산되고 있다.
특히, 인터넷 기술의 발전에 힘입어 쓰레기 불법투기, 치안 방범, 불법 주·정차 단속 등 그 활용 범위도 다양해졌다.
한편 CCTV 시스템의 설치·운영이 증대되어 가는 것에 반해 상대적으로 이에 대한 뚜렷한 정부의 지침과 기준 없이 무분별한 도입으로 인한 보안 문제들이 쟁점으로 부각되고 있다. 때마침 행정안전부가 CCTV 관리 가이드라인을 제정·발표하였으나 아직은 철저하게 적용되고 있지 않다.
[표 1]은 아날로그 CCTV 카메라 방식과 네트워크 기반 CCTV 카메라 방식에 대한 CCTV 관리 가이드라인에서 권장하는 개인영상정보 보호를 위한 기술적 조치 권고 사항의 일부이다.
특히, 각 기관에서 방범용, 주정차 단속 등의 목적별로 별도 운영·관리하던 CCTV를 한곳에서 통합하여 관리하는 통합관제센터의 구축에 따른 대량의 개인 화상 정보 보호를 강화하기 위하여, 공공기관이 CCTV를 통합관리 하는 경우 필요성과 통합범위 등을 주민에게 알리고 의견을 수렴하는 절차를 거치고, 통합관리 내부 규정 마련 및 관리·감독 등을 수행하기 위해 CCTV 담당 부서와 전문가 등이 참여하는 운영협의회를 구성하도록 하고,
수집된 화상정보에 접근 권한을 최소화 하고 접근기록은 3개월 이상 보유토록 하는 등의 보호 조치를 마련하도록 가이드라인을 제시하였다.
현재와 같이 설치·운영되는 CCTV 시스템에서 발생할 수 있는 보안 위협들은 다음과 같이 4가지(① 아날로그 CCTV 카메라방식의 시스템에서 발생하는 보안 위협, ② 네트워크 기반의 CCTV 시스템에서 발생하는 보안 위협, ③ 악의적인 공격자에 의한 보안 위협, ④ 전문 지식이 없는 CCTV 설치 업체들의 난립으로 인한 보안 위협)로 구분되어 설명되어 질 수 있다.
[표 1] 개인영상정보 보호를 위한 기술적 조치 기준
1. 아날로그 CCTV 카메라 방식의 시스템에서 발생하는 보안 위협
아날로그 CCTV 카메라 방식의 시스템은 [그림 1]과 같이 일반적으로 CCTV 카메라와 DVR 서버가 1:1로 동축케이블을 통해 연결되어 있다. 이럴 경우 악의적인 공격자에 의해 동축케이블의 절단 등으로 인한 영상 정보 송수신을 가로막는 물리적인 보안 위협과 동축케이블의 분배를 통한 CCTV 영상정보의 무단 모니터링 등으로 인한 소프트웨어적인 보안 위협을 수행할 수 있다. CCTV 영상정보를 감시·관리하는 보안관제센터에서는 이러한 보안 위협에 대해 적극적으로 대처하지 못하기 때문에 기밀한 영상에 대한 누락 또는 노출로 인한 심각한 보안 문제가 발생할 수 있다.
[그림 1] 아날로그 기반의 CCTV 시스템
2. 네트워크 기반의 CCTV 시스템에서 발생하는 보안 위협
현재 한국 시장은 여전히 아날로그 카메라, DVR이 주를 이루고 있지만, 세계적인 추세로 볼 때 DVR의 성장세는 계속 둔화되고 있는 반면 네트워크 기반의 CCTV 시스템 시장 규모가 매년 수십%이상씩 성장해 IP로 통합되고 있다.
현재 공공기관에 설치된 수많은 CCTV 시스템이 외부의 해킹에 무방비로 노출되고 있으며, 노출된 영상의 이미지가 악의적으로 유용되는 것에 대한 사례 및 이를 방지하기 위한 많은 기법들이 소개되고 있다.
이러한 네트워크 기반의 CCTV 시스템에서는 [그림 2]와 같이 인터넷망을 통해 영상정보의 수집과 원격제어가 가능하여 영상정보의 유출 위험이 증가함에 따라 네트워크 카메라 설치 및 운영시에는 카메라의 IP정보를 철저히 관리하고 권한 없는 자의 카메라 접근을 통제하여 영상정보 전송시에는 암호화하는 등의 보호 조치를 취하도록 하고 있다.
[그림 2] 네트워크 기반의 CCTV 시스템
IP를 이용한 보안 위협
네트워크 기반의 CCTV 시스템은 인터넷, 인트라넷, 전용선등을 이용하여 CCTV 영상정보를 NVR 서버로 전송한다. 이 경우 일반적으로 공인 IP나 유동 IP를 이용한다. 공인 IP를 사용하는 CCTV 시스템의 경우 공인 IP의 수적 한계와 편리함 때문에 처음 CCTV 시스템 설치 시 설정된 후 오랜 기간 사용하게 되어 다양한 경로를 통해 IP주소의 노출에 대한 우려가 있다. 이렇게 습득된 IP주소는 여러 가지 크래킹 소프트웨어를 이용해 수 시간 이내에 CCTV 시스템에서 사용하는 관리자의 ID와 패스워드를 찾아내어 무단으로 영상 정보를 보거나 습득할 수 있다.
한편, 공인 IP 회선비 부담으로 인해 대부분의 네트워크 CCTV 시스템들은 국내 ISP(Internet Service Provider)들의 유동 IP 회선을 이용하여 CCTV 영상정보들을 전송한다. IP주소가 자주 변경되기 때문에 지정된 호스트 도메인명에 자동 매핑되는 DDNS(Dynamic Domain Name Service) 기술을 이용한다. 이 경우도 예측 가능한 명칭입력으로 손쉽게 CCTV 시스템의 접근이 가능하다. 오랫동안 사용하면 다양한 경로와 사소한 관리 부실로 인해 노출이 용이하고, 일단 노출되면 CCTV 시스템의 관리자 ID와 패스워드는 수 시간 내에 감지될 수 있다.
네트워크 장비를 이용한 보안 위협
현재 전국적으로 널리 보급되어 있는 무선랜 공유기는 관리자 계정과 암호를 장비 기본 설정 값 그대로 유지하여 무단 사용이 용이하다. 이처럼 일부 기업 또는 공공기관에서 사용하는 네트워크 카메라/비디오 엔코더 역시 기본 관리자 ID와 암호를 그대로 사용하는 경우가 많아 외부인이 얼마든지 장비에 접근하여 변경/제어를 할 수 있다. 이에 따라 이러한 장비를 관리하는 사람들의 보안 위협에 대한 인식을 고취시킬 필요가 있다.
3. 악의적인 공격자에 의한 보안 위협
CCTV 시스템 환경에서 악의적인 내부 또는 외부의 공격자는 다음과 같은 보안 위협을 수행할 수 있다.
영상 관제 센터의 침입
악의적인 공격자가 CCTV 영상관제센터 및 영상 감시 네트워크에 연결된 건물에 침입 또는 방문 업체 직원으로 가장하여 자신의 시스템을 통해 CCTV 시스템의 네트워크망을 스캐닝 할 수 있다. 이를 이용해 네트워크 CCTV 카메라, DVR서버의 IP 주소를 검색하거나 직원 PC를 통해 중요 정보를 유출할 가능성이 있다.
CCTV 시스템 설치 직원에 의한 영상정보 및 관리 정보 무단 방출
공공기관 및 기업에 구축, 관리를 담당하는 업체의 담당자가 장비의 IP주소와 ID, 패스워드를 모두 알고 있어 언제든지 정보의 유출할 수 있는 위험이 있다. 일부 업체에서는 공공기관에 구축한 사실을 다른 고객사 또는 관계자에게 자랑하듯이 시연해 주고 있어 보안 위협에 대한 불감증이 위험한 수준에 이르렀다고도 할 수 있다. 시연되는 CCTV 시스템의 정보는 얼마든지 흔적을 통해 찾아 낼 수 있고, 악의적으로 공격자에 의해 이러한 정보가 범죄에 사용될 가능성이 높다.
4. 전문 지식이 없는 CCTV 설치 업체들의 난립으로 인한 보안 위협
현재 전국적으로 구축된 공공기관의 네트워크 CCTV 시스템의 대부분은 기존의 전통적인 CCTV 생산 업체를 통해 구축되었다고 해도 과언이 아니다. 그러나 이들 업체는 네트워크 장비에 대한 전문 지식 및 경험이 부족하고, 네트워크 장비 구축 시 반드시 검토되어야 할 아주 기본적인 부분조차 준수하지 않고 있는 경우가 많다.
네트워크 기반 영상 감시 시스템은 설계부터 구축완료까지 네트워크 스위치 기술과 기능, VPN, 백본, VLAN , 무선랜 기술, NAS, SAN, UC 등 일일이 열거하기 어려울 정도로 수많은 네트워크 기반 지식과 기술이 필요하다.
특히, 네트워크 보안 기술에 대한 전문적인 지식이나 자격증 없이 CCTV 시스템을 구축할 경우 최적화 된 네트워크망 구성 및 운영이 어렵고, 보안 위협에 대한 가능성도 매우 커진다.
<이번호 연재 Ⅰ은 쉬고, 다음호 연재 ⅠⅠ에서는 CCTV 시스템 상에서 발생할 수 있는 위와 같은 보안 위협 요소들에 대한 보안 대책들을 살펴보도록 하겠다.>
자료 협조:한국인터넷진흥원
저작권자 © CCTV뉴스 무단전재 및 재배포 금지
