이 시각 주요 뉴스

여백

국감, IP 카메라 보안 취약점 오보…하루 아침에 보안 취약 기업으로 전락

KISA, IP 카메라 보안 실태조사시 단종된 제품, 테스트도 없이 매뉴얼만 보고 취약성 체크해 신동훈 기자l승인2018.10.17 07:00:13l수정2018.10.17 08:52

크게

작게

메일

인쇄

신고

[CCTV뉴스=신동훈 기자] “오늘 내가 다닌 회사는 잘못된 정보와 데이터로 국감에서 조롱거리가 됐다. 그리고 그 기사를 본 바이어와 고객 해명요청에 하루를 다 보냈다. 이 자료를 만든 KISA의 답변은 황당했다. 제품을 테스트하지도 않고 매뉴얼만 보고 비밀번호 설정이 없는 것 같아 추측해 문제를 체크했다고 했다. 그 것도 전제품을…”

지난 10월 15일 과학기술정보방송통신위원회 변재일 의원(더불어민주당)은 국정감사(이하 국감)에서 IP 카메라 취약점에 대한 문제점을 성토한 보도자료를 냈다. 이는 IP카메라 실태조사에 따른, 국내 유통중인 IP 카메라 400여 개 제품 중 32%인 126개 제품이 보안이 취약하다는 조사가 근거였다. 국감에서 의원이 보낸 자료이므로, 언론사는 별다른 팩트체크 없이 그대로 기사를 발행했고 수십 건의 기사가 배포됐다. 신뢰로 먹고 사는 보안 기업은 하루 아침에 기업 이미지에 커다른 타격을 입었다.

출처 : 게티이미지뱅크

지난 6월 한국인터넷진흥원(KISA)은 ‘IP 카메라 실태조사’를 진행했다. 이는 올 초, 과학기술정보통신부와 방송통신위원회, 경찰청 등이 합동으로 IP 카메라 보안성 강화를 위한 ‘IP 카메라 종합대책’의 후속조치이다.

KISA에서는 IP 카메라 제품에 대한 보안 취약점 전수 조사에 들어갔다. 여기서 취약점 조사란, 해킹 취약점 등 소프트웨어 취약성 문제가 아닌 아이디, 패스워드 등 초기 비밀번호 설정 등 단순 초기 계정정보와 비밀번호 사용 여부를 두고 보안 취약성에 문제가 있다고 체크했다.

이 조사에 따르면, 400개 제품 중 보안이 취약한 국내 제품은 48개, 외산 제품은 78개이다. 특히 여기에 더해 조사 제품과 제조사까지 명시했다. 여기에는 한화테크윈, 아이디스 등 국내를 대표하는 영상보안 기업이 포함되어 있었다. 한화테크윈은 106개 제품 중 9개 제품이, 아이디스(IDIS)는 27개 제품 중 27개 제품 모두가 보안이 취약하다고 체크되어 있다.

하지만, KISA에서 조사를 진행한 담당자는 모든 제품을 실제 제품으로 테스트한 것이 아닌 인터넷 등에서 수집한 매뉴얼만으로 검사 결과를 추정해 초기 비밀번호 설정이 안 되어 있어 보안이 취약하다고 ‘추측’해 보안이 취약한 제품으로 분류해 공표한 것으로 확인됐다. 그리고 이 수집한 매뉴얼 제품 역시 몇 년 전 단종된 제품이 대부분이었다.

이와 관련해 KISA 관계자는 “IP카메라 실태조사는 비공개 실태조사로, 초기 비밀번호 문제로 CCTV 해킹 문제가 계속 불거지다 보니 현황파악과 정책자료로 쓰기 위해 파악한 것인데 국감 자료로 쓰일 줄 몰랐다”며 “IP 카메라 비밀번호 강제 의무화를 준비하는 과정에서 제품 개선을 통해 업계가 잘 되고자 하는 취지에 한 것”이라고 전했다.

이 관계자는 IP카메라 제품 선정 기준에 대해서는 쇼핑몰 검색을 통해 온라인 유통에서 팔리는 제품을 시중에서 팔리고 있다고 보고 진행했다고 했고, 실제 테스트한 제품은 몇 개가 되는지는 비공개라고 전했다. 단지, 400개 제품 중 일부만 실제 제품으로 확인하고 나머지는 매뉴얼로 조사했다고만 밝혔다.

KISA 관계자 얘기처럼, 업계가 잘 되고자 하는 취지에 했던 것이라면, 기업에 실태조사를 진행한다는 내용을 전하고 실제 기업이 팔고 있는 제품 위주로 하거나, 기업에 실태조사에 대한 의견을 물었어야지, 왜 해당 기업이 실태조사를 진행하는지도 모르는 상황에, 실태조사를 진행하고 그 결과를 기업에 확인도 하지 않은 채 과기정통부에 자료를 제출했는지는 의문으로 남는다.

지난 10월 15일 본지가 입수한 아이디스 공문에 따르면, 27개 제품 목록 중 13개는 2016년 이전에 단종된 제품이고 14개는 현재 판매제품이다. 단종된 13개 제품은 비밀번호 변경에 대해 경고창을 띄우고, 14개 제품은 강제로 비밀번호를 바꾸도록 하고 있다. 즉, 총 27개 제품 모두 관리자 암호 설정기능이 있다. 특히 아이디스는 2016년부터 CCTV 아이디 패스워드 암호 설정을 필수화하고 있다. 아이디스는 당사 확인 결과 “실제 27개 제품에 대한 테스트는 진행하지 않았으며, 조사는 매뉴얼 기반으로 조사했다”고 KISA 관계자 답변을 받았다고 공문에 적었다.

10월 15일 본지가 입수한 아이디스가 협력사 및 대리점에 내리는 공문. 실제 해당 공문을 전달하지는 않은 것으로 파악된다.

한화테크윈측도 확인을 해보니 보안 취약성 판정 받은 9개 제품 모두 단종된 제품으로 현재는 유통되지 않은 제품이다. 8종은 2011년~2013년 사이 단종된 제품이고 1종(SNB-S202)은 한정된 고객에만 제공한 제품으로 2017년 7월 단종됐다. 한화테크윈은 2014년부터 정책상 영문/숫자/특수문자가 조합된 8자리 이상 비밀번호를 필히 설정하도록 하고 있다. 특히 한화테크윈은 보안 전담팀 S-CERT팀을 운영하며 보안 정책 수립/운영은 물론 보안 문제에 대응하고 있다.

한화테크윈 관계자는 “실제 사용자가 보안의 중요성을 인지하고 적용하는 것도 중요하기에 사이버 보안 백서 및 장비 보안강화 문서를 제작해 웹사이트에 지속적으로 공지하고 있으며, 제품 취약점 발견 시 빠르게 취약점 리포트를 발간해 고객 피해 최소화를 위해 대응하고 있다”며 “당사 IP 제품은 고객들이 안전하게 사용할 수 있도록 보안 기능을 충분히 갖추고 있으며, 보안상 문제가 없음을 알린다”고 강조했다.

중국 기업의 공세에 어려움을 겪고 있는 국내 영상보안 기업들은 사이버 보안을 강점으로 내세워 시장을 공략하고 있다. 그런데, 하루 아침에 보안 취약 기업으로 전락해 당장 영업 진행에 어려움을 겪고 있는 상태이다.

관련 업계 관계자는 “최근 사업을 수주한 기업에서 <보안 문제 없다>는 KISA 공문을 받아오라는 등 수주한 사업이 취소될 지경”이라며 “잘못된 오보로 인해 생기지 말아야 할 우려와 의혹이 생긴 상황에 지금도 고객사에 해명을 하러 가야 되는 상황”이라 전했다.

한국인터넷진흥원은 인터넷 정보보호 진흥기관으로써, 특히 네트워크 보안과 관련되어 평가하고 정부 공인 인증을 주는 기관이다. 이런 기관에서 검사를 소홀히 하고 관련 기업에 사실 확인도 안한 채 정부측에 보안 취약제품이라 ‘인증’하고 자료를 넘겼다. 또 변재일 의원실에서는 이런 잘못된 정보를 사실 확인도 하지 않은 채 국감 보도자료로 언론에 제공했고, 언론사 역시 그대로 기사를 쓰게 되며, 커다란 파장을 불러일으키고 있다. 결국, 신뢰로 먹고 사는 보안 기업의 브랜드 가치를 하루 아침에 땅에 떨어뜨림과 동시에 국내 보안 기업에 대한 부정적인 인식까지 심게 됐다.

KISA측에서는 잘못된 정보로 인한 조사결과였다는 것을 언론과 관련 기업에 공문을 내리고 실제 판매되고 있는 IP 카메라 제품에 대한 보안 검사를 재진행해야 할 것으로 보인다. 

이동근 KISA 침해사고분석단장은 “2019년 2월부터 IP카메라 비밀번호 의무화가 제정되기 전 화이트리스트 기반으로 IP 카메라 보안 개선여부를 확인하려고 한다”며 “추후 업체들과 함께 안정성이 검증된 제품을 다시 조사해서 발표할 예정이다. 국민들에게 안전한 IP카메라 이용에 대한 지원과 함께 업계 산업육성에도 적극 나설 것”이라 밝혔다.

#국감#IP 카메라#보안 취약점#KISA

신동훈 기자  sharksin@cctvnews.co.kr
<저작권자 © CCTV뉴스, 무단 전재 및 재배포 금지>

신동훈 기자의 다른기사 보기
여백
여백
여백
여백
여백
여백
여백
여백
여백
여백
매체소개공지사항보안자료실기사제보광고문의불편신고개인정보취급방침청소년보호정책이메일무단수집거부    [기사ㆍ기고 문의 : desk@cctvnews.co.kr]
(주)테크월드 08507 서울특별시 금천구 가산디지털1로 168, 1012-1호 (가산동, 우림라이온스밸리 C동)  |  제호: 씨씨티브이뉴스  |  발행일: 2009년 2월 19일
대표전화 : 02)2026-5700  |  팩스 : 02)2026-5701  |  이메일 : webmaster@techworld.co.kr  |  청소년보호책임자 : 박지성
통신판매업신고번호 : 제 2008-서울금천-0415 호  |  발행·편집인 : 박한식  |  인터넷신문등록번호 : 서울, 아 00607  |  등록일 : 2008.06.27
Copyright © 2018 CCTV뉴스. All rights reserved .