220420_유명조달기업
IP카메라 기반 CCTV 영상정보 해킹 이슈
상태바
IP카메라 기반 CCTV 영상정보 해킹 이슈
  • 이광재 기자
  • 승인 2014.04.04 15:36
  • 댓글 0
이 기사를 공유합니다

키워드 : CCTV정보 해킹, CCTV 네트워크 해킹, 패스워드, 해킹방지 법제화, 보안위협 요인, 정보해킹 안전진단, IP CCTV시스템, 비디오 감시시스템, 해커 공격 툴, 스마트폰 앱, 개인정보침해, 스피어 스미싱(spear phishing), 클릭 재킹(Click-jacking), 딥 웹(Deep Web), 로그인 방식, ActiveX 보안프로그램, 암호화 키, 개인정보보호법, 역추적 기술

박세환 한국과학기술정보연구원 ReSEAT 프로그램 전문연구위원

서언
최근 들어 CCTV정보 해킹이 점차 확산되면서 CCTV 통합관제시스템의 보안위협 요인이 되고 있다. 특히 IP 카메라를 이용한 CCTV시스템은 일상적인 실생활과 매우 밀접하게 연관돼 있어 네트워킹 관점에서 보면 커다란 보안위협 요인이 아닐 수 없다.

급기야 CCTV 네트워크가 해킹을 당해서 악용된다면 사생활 침해에서부터 스토킹이나 영유아의 유괴에 이르기까지 매우 큰 피해가 발생하면서 경제적, 사회적으로 미치는 파장이 매우 클 것이다. 아울러 CCTV 해킹정보가 범죄에 악용된다면 더욱 무서운 일이 일어날 수 있을 것이다.

이 연구에서는 패스워드 중심의 CCTV정보 해킹 유형 및 위험성, ‘POC2013’을 통해 본 CCTV정보 해킹의 고도화 및 CCTV정보 해킹 사례, 유럽을 중심으로 해킹방지 법제화 사례 등에 대해 설명한다.

이를 토대로 보안위협 요인 분석과 이에 대한 해결방안 등 CCTV 정보 해킹 안전진단을 제시한다.

CCTV정보 해킹 유형 및 위험성
영화나 드라마에서 가상으로 보여주는 CCTV정보 해킹 유형에 대한 분석결과를 토대로 네트워크 기반 IP CCTV시스템의 위험성을 간단히 요약하면 다음과 같다.

- CCTV정보 해킹은 단순한 패스워드(pass word)를 사용해 IP 카메라에 접근하는 방법이 아닌 첩보영화나 도둑이 주인공인 영화에서처럼 CCTV 영상을 탈취하고 패스워드에서는 다른 영상으로 대체한 후 침입하는 고도의 지능적인 해킹을 예상해볼 수 있다.(CCTV 네트워크를 해킹해 해당 장소의 영상을 확인한 이후에 침투하는 방식의 ‘미션임파서블4’나 ‘다이하드 4’ 등의 첩보영화에서처럼 고도의 해킹기법도 가능할 것이다.)

- CCTV정보 해킹 기법은 모두 네트워크와 관련돼 있으며 이를 유형별로 보면 ▲CCTV 시스템에 접근해 영상을 몰래 보는 행위(IP카메라는 웹 기반으로 동작하므로 비밀번호 정보만 해킹한다면 쉽게 접속할 수 있을 것이다. 또한 CCTV 관제시스템을 해킹해 관제시스템에 보이는 영상을 해커 자신도 동일하게 볼 수 있는 기법도 가능할 것이다.) ▲IP CCTV화면을 멈추는 행위(IP카메라에 순간적으로 대용량 트래픽을 전송해 화면을 전송할 수 없게 만들 수도 있을 것이다. 예를 들면 DDoS 트래픽을 보내 IP카메라는 영상을 전송하거나 제어할 수 없게 되는 경우를 예상해볼 수 있다.) ▲CCTV시스템의 기록을 삭제하는 행위(이는 저장장치를 해킹하는 행위로서 IP 카메라가 아닌 DVR이나 NVR 계정을 탈취해 원하는 시간대의 기록을 삭제해버리는 행위를 예상해볼 수 있다.) ▲실시간으로 다른 영상으로 대체하는 행위(ARP 및 IP 스푸핑(Spoofing) 공격을 시도해 자신의 PC로 모든 영상정보가 저장되도록 함으로써 CCTV 시스템의 영상을 다른 영상으로 대체하는 행위를 예상해볼 수 있다.) ▲미리 설정된 영상을 다른 영상으로 대체하는 행위(CCTV 시스템의 촬영기록을 삭제하는 것과 유사한 기법으로 계정만 얻는다면 원하는 시간대의 기록을 삭제할 수 있는 행위를 예상해볼 수 있다.) 등 매우 다양한 해킹행위를 예상해볼 수 있다.

여기서 CCTV 통합관제시스템을 구축할 때 IP CCTV 네트워크가 아닌 폐쇄망으로 구축한다면 별도의 보안이 필요하지 않을 것이라는 대안을 생각할 수 있을 것이다. 

하지만 해당 네트워크에 케이블만 연결할 수 있다면 IP공유기나 무선 AP를 통해 어디서든지 CCTV 네트워크에 쉽게 접근해 모든 CCTV정보가 투명해질 수 있다. 이는 만약의 경우를 대비해 완벽한 네트워크 보호망이 갖춰져야 함을 시사하고 있다.(첩보영화 등에서도 대부분의 CCTV 네트워크는 폐쇄망이었으나 이를 USB나 기타 다른 방법으로 연결해 해킹한 사례를 볼 수 있다)

CCTV정보 해킹기법
CCTV정보 해킹의 고도화 = ‘POC2013’(2013년 11월7일, 8일 개최)에서는 국내외 주요 CCTV 관제시스템의 제로데이(zero-day) 취약점들을 공개해 업계의 관심을 집중시키고 있다. 

인터넷망에 연결돼 있는 50만개 이상의 CCTV ·DVR 시스템에 대한 정보들이 안고 있는 기존의 취약점과 새로운 제로데이 취약점을 공개한 것이다.

아울러 이러한 취약점들을 공격하는 새로운 방법과 시나리오, 소규모 DYI 브리그브라더(BrigBrother) 비디오 감시시스템, 취약점을 공격하는 코드 및 펌웨어 조작방법까지 공개되면서 사용자(수요자)들은 일상생활과 밀접하게 연결돼 있는 CCTV시스템의 취약점이라는 점에서 새로운 이슈로 받아들이고 있다.

이를 통해 국내외 제품들이 공통적으로 안고 있는 제로데이 취약점과 다른 브랜드나 장치에도 적용될 수 있는 취약점 발견 이슈를 타진할 수 있는 기회로 평가받고 있다.

발표를 통해 러시아 해커들은 공격 툴, 기술 및 실제 사용되고 있는 시스템 등 모의해킹 경험들을 시연하면서 실제 운용되고 있는 CCTV정보 해킹 방지 및 탐지 시스템의 장점과 각국의 환경에 맞는 개선점을 도출했다.

러시아 연구팀이 시연해보였던 ICS·SCADA 시스템 운영 프로그램을 [그림1]에 나타낸다. 이는 1차 공격대상을 정하고 이를 해킹하려는 시도와 이를 방어하는 능력과의 장단점을 생생하게 보여줌으로써 CCTV 관제시스템의 제로데이 취약점을 확인할 수 있는 기회가 됐다.(POC 주최측은 국내 해커들이 SCADA 시스템에 대한 공격능력이 다소 떨어지는 것은 평소 이를 접할 기회가 많지 않기 때문에 이번 기회를 잘 살려 SCADA 시스템에 대한 이해도를 높이고 관련 산업계에서는 이를 통해 CCTV 정보 해킹에 대한 방어능력을 향상시킬 수 있는 기회가 됐다.)

▲ [그림1] 러시아 연구팀의 ICS·SCADA 시스템 운영 프로그램

CCTV정보 해킹 사례 = CCTV시스템을 통해 개인의 사생활이나 특정 지역의 동태를 전세계 어디서나 모니터링 할 수 있는 시대가 됐다. CCTV 촬영정보를 해킹해 도심의 상점부터 기밀유지가 필수인 군사시설까지 전세계 구석구석을 들여다보는 것이 현실화된 것이다.

국내에서도 이처럼 CCTV시스템을 통해 사생활을 엿볼 수 있는 사이트가 있다.

이러한 충격적인 CCTV 촬영정보 해킹사례를 간단히 요약하면 다음과 같다.

- 세계 각국의 은밀한 CCTV를 모아 놓은 국적 불명의 한 인터넷 사이트에서 한국으로 분류된 폴더에 들어가자 서울 강남의 한 거리가 실시간으로 중계된다. 행인들의 인상착의까지 선명하게 알아볼 수 있을 정도다. 건물 주인이 범죄 예방을 목적으로 설치한 CCTV 촬영정보를 누군가 해킹해 이를 웹 사이트에 올려놓은 것이다.

- CCTV 해킹 영상은 스마트폰을 통해서도 유포되고 있다. 세계 곳곳의 CCTV를 모아놓은 한 스마트폰 앱(Application)으로 일본의 한 사무실과 골프장, 러시아의 한 호텔로비 및 한국 한 교회의 설교단상까지 지켜볼 수 있다. 이처럼 개인이 스마트폰 앱으로 전세계 CCTV 영상을 볼 수 있다는 것은 결국 악의적으로 조종할 수도 있다는 것이다.

과연 이런 일이 어떻게 가능할 수 있을까? 네트워크 사회의 한 부정적인 단면이 아닐 수 없다. 

현재 대부분의 CCTV 관제시스템은 인터넷 망으로 연결돼 있어 CCTV 네트워크를 관리하는 사이트를 해킹만 하면 CCTV 촬영 영상을 훔쳐보는 건 해커들에게 그리 어려운 일이 아니라는 것이다.

문제는 이러한 해킹 기술이 개개인의 사생활을 감시하여 악의적으로 유포하거나 범죄로 악용될 우려도 있다는 것이다. 이는 엄격한 범죄행위로서 정보통신망법상 3년 이하의 징역 또는 3000만원 이하의 벌금에 처하고 CCTV 관리자는 관리 소홀에 대한 과태료를 부과할 수 있다.

이에 많은 시민들은 사방에서 시민들을 지켜보는 CCTV 관제시스템의 철저한 보안을 요구하고 있다. CCTV 영상을 해킹해 웹 사이트에 유포되는 사례를 JTBC 보도에서 볼 수 있다.(article.joins.com/news/article/article.asp?total_id=10489895&cloc=olink|article|default)

CCTV 정보 해킹방지의 법제화
개요 = ICT 기술력의 발전으로 CCTV 시스템이 외부 인터넷망과 연결되면서 IP카메라, 네트워크 카메라 등이 장착된 통합관제시스템으로 빠르게 진화하고 있다. 아울러 얼굴 및 글자(숫자)인식, 번호추적 등이 가능한 고화질 영상 자동 분석 및 인식기술 등 더욱 고도화돼 가고 있다.

아울러 기존 단순한 모니터링 기능에서 ‘녹화→저장→전송’이라는 공급망(supply chain)이 형성되면서 개인정보침해 우려도 더욱 높아지고 있는 것이 현실이다.

이에 내부통제 시스템(개인정보에 접속하거나 개인정보 처리 내역을 기록, 수집 및 보관하는 시스템을 의미한다. 관련 내용이 위·변조되지 않도록 검증하며 개인정보취급자의 부정행위를 감시하는 기능 등을 포함하고 있다.)을 가장 효율적으로 운영하기 위해서는 CCTV 영상정보를 암호화해서 저장하고 인가된 단말기를 통해서만 정보에 접근할 수 있도록 하는 영상기록 관리 시스템(IRMS : Image Record Management System)의 도입을 법제화 할 필요가 있다. 이를 통해 영상정보 조회 및 반출 등에 대한 로그기록을 관리함으로써 수집한 개인영상정보를 암호화 통신을 통해 송수신할 수 있도록 해야 할 것이다.

CCTV 관제시스템이 인터넷망으로 연결되기 시작하면서 해킹이나 내부자를 통한 오남용 우려도 높아지고 있다.

이러한 추세를 개인정보보호법에 반영해 법 개정에 대한 필요성도 제기되고 있다. 즉, 전술한 내부통제 시스템에 필요한 기능을 구체적으로 정의하고 이를 강제할 수 있는 대책이 필요하다는 것이다.(개인정보보호법 제25조에서는 범죄수사, 시설안전 및 화재 예방, 교통단속, 교통정보 수집 및 분석 등을 위해 필요한 경우 이외에 공개된 장소에서는 영상정보처리 기기를 설치, 운영해서는 안 된다고 규정하고 있다. 즉, 정보주체가 쉽게 인식할 수 있도록 안내판을 설치해야 한다는 내용도 포함돼 있다.)

유럽의 법제화 사례 = 유럽의회는 2014년 3월12일 유럽집행위원회가 제안한 새로운 데이터보호 개혁법안(이 법안은 유럽연합이 1995년에 발표한 데이터보호 지침을 전반적으로 개정한 내용을 담고 있다. 2012년 1월 제안된 이후 이번 의회 승인을 거쳐 유럽의회의 추인을 득하면 최종적으로 28개 유럽연합 회원국에서 효력이 발생한다고 말했다.)을 승인했다.

이 법률안이 시사하고 있는 것은 IP카메라 기반의 CCTV 관제시스템의 정보 해킹 및 이로 인한 개인정보보호에 대한 법적·제도적 기반을 마련한 것으로 평가할 수 있다. 데이터보호 개혁법안의 주요 목적은 현재 유럽연합 국가들의 서로 다른 관련 법률을 유럽 전역을 아우르는 단일한 개인정보보호 법률로 일원화해 28개 전체 회원국에 대한 단일 감독기구를 창립하고자 하는 것이다.

또한 법제화 이후 이를 위반하는 사안에 대해 보다 엄격한 제재조치 등을 시행하고자 하는 것이다.

이 법안을 통해 정보보호 수준을 강화할 수 있는 파급효과를 간단히 요약해보면 다음과 같다.

- 소비자들의 CCTV 촬영정보 및 개인정보보호에 대한 인식이 높아지고 데이터보호 감독기관의 권한이 강화됨으로써 개인 프라이버시 보호와 정보보호 수준을 보다 강화할 수 있을 것이다.(데이터보호법을 위반하는 사안에 대해 초기 제안 법률안에서는 전세계 연간 수익의 2% 이하의 벌금을 부과하도록 했으나 이번에 통과된 법률안은 5% 이하의 벌금을 부과토록 하여 그 제재수준이 대폭 강화했다.)

- CCTV 촬영정보 및 개인정보를 보유할 수 있는 권한을 강화해 자신의 해당 개인정보에 쉽게 접근할 수 있도록 하며 사전 동의절차를 거쳐 개인정보에 접근하게 함으로써 정보보호 수준을 보다 강화할 수 있을 것이다.

CCTV 정보 해킹 안전진단
보안위협 요인 분석 = 사이버보안 위협 기법이 매우 빠르게 발전하면서 개인과 기업 나아가 국가적으로 특히 모바일 뱅킹, 타깃팅 공격 및 프라이버시 침해 등의 분야에서 심각한 피해가 우려되고 있다.

지속적으로 네트워크 고도의 사회를 위협하고 있는 주요 사이버보안 위협요인들을 간단히 요약하면 다음과 같다.

- 매우 큰 규모의 데이터 침해 및 유출사고가 한 달에 한번 꼴로 발생할 것이며 고도로 발전된 모바일 뱅킹과 타깃팅 공격이 가속화될 것이다.

- 주요 기반시설에 대한 공격과 사물인터넷(IoT : Internet of Things)에서도 새로운 보안위협이 부상할 것이다.

- 300만개에 달하는 고위험 악성 앱이 활성화돼 중간자 공격(Man-in-the-Middle att acks)에 의해 모바일 뱅킹이 많은 혼란을 겪으면서 다중인증(two-step verification) 방식이 무력화될 것이다.

- 오픈소스와 매우 정교화 된 스피어 스미싱(spear phishing) 및 클릭 재킹(Click-jackin g) 등과 같은 보다 고도화된 공격 방법을 구사하게 될 것이다.

- 자바6과 윈도XP 등과 같은 대중적인 소프트웨어에 대한 기술지원이 종료되면서 이를 기반으로 하고 있는 수백만대의 PC가 공격에 노출될 것이다.

- 딥 웹(Deep Web : 일반 검색엔진으로는 쉽게 검색되지 않는 웹)의 확산과 웨어러블 디바이스(wearable device)를 통해 전달되는 증강 현실(augmented reality)과 함께 신원 절도(identity theft) 등과 같은 대규모 사이버범죄가 예상된다.

이와 같은 사이버보안 위협요인들로 인해 광범위하게 퍼져있는 사이버범죄를 추적하기 위한 사법당국의 노력이 무력화될 수도 있다는 전문가의견이 지배적이다. 이 중심에 IP카메라 기반의 CCTV 관제시스템이 있다. 

CCTV 카메라의 해상도를 향상시키기 위해 기술개발에 매진하던 때가 불과 수년전인데 이제는 초고해상도의 카메라는 물론 영상 관리에 대한 많은 노하우를 축적하고 있다. 최근 들어 CCTV 관제시스템이 무수히 증가하고 이로 인해 영상 관리기법에 소홀해지면서 IP카메라 기반의 CCTV정보 해킹이 보안위협 요인이 되고 있는 것이다.

해결방안 = 2011년 9월30일부터 시행된 개인정보보호법을 토대로 CCTV 정보 해킹 관련 문제점들을 간단히 요약하면 다음과 같다.

- 우선적으로 로그인 방식에 대한 문제점을 들 수 있다. 대부분 별도의 암호화 전송방법을 사용하지 않고 있어 불과 몇분이면 사용자ID와 패스워드를 쉽게 알아낼 수 있는 실정이다. 이를 방어하기 위한 방법으로 사용자가 자신과 동일한 네트워크상에서 DVR 또는 IP카메라 등을 이용해 원격으로 접속하는 경우에는 다소 제약사항이 있다. 하지만 최근 WLAN(Wireless Local Area Networks) 시스템 구축이 급격히 증가하고 있고 보안설정이 안된 IP 공유기가 많아 안심할 수 없는 상황이다.

- 대부분의 CCTV(DVR) 시스템의 원격접속 방식은 특정 응용프로그램이나 웹 사이트를 통해 접속이 이뤄진다. 이때 사용자의 컴퓨터에서 DVR, IP카메라 등의 원격지로 사용자ID와 패스워드를 전송하도록 설계돼 있다. 그런데 대부분의 제품들의 로그인 정보가 암호화돼 있지 않아 해당 패킷을 분석하면 사용자 정보를 쉽게 알아낼 수 있는 것이다.

- 일부 제품의 경우 액티브엑스(ActiveX) 보안 프로그램을 이용해 HTTP(Hyper Text Transfer Protocol) 전송이 아닌 TCP(Transfer Control Protocol) 기반의 데이터 전송방식으로 로그인하는 방식이 있으나 역시 사용자 정보는 암호화 되지 않는다.

- 일부 제품은 액티브엑스 보안 프로그램을 이용해 전송정보를 암호화하거나 SSL(Secure Socket Layer) 암호화 전송방식을 이용해 사용자 정보를 보호하는 방법도 있다. 그러나 이 역시 불과 몇분이면 사용자정보를 쉽게 알아낼 수 있어 실효성이 낮은 편이다.

위와 같은 CCTV 정보 해킹 관련 문제점들을 토대로 주의를 필요로 하는 다음과 사항을 도출할 수 있다.

- CCTV 네트워크에 연결된 컴퓨터에 설치된 액티브엑스X 보안 프로그램을 분석해 로그인 방식만 알면 사용자 정보를 충분히 확인할 수 있다. 이에 최적의 대응방법은 SSL을 적용해 장비에 로그인하고 SSL 루트를 고도로 암호화해 전송방식을 개선하는 것이 필요하다.

- 네트워크 관점에서 주의사항으로는 CCTV 관제시스템 구축시 필수적으로 네트워킹 관리가 요구되지 않는 지역은 IP카메라 대신 일반 CCTV 카메라를 사용함으로써 네트워크를 통한 해킹을 원천적으로 차단하는 것도 대안이 될 수 있을 것이다.

- 사용자 관점에서 주의사항으로는 사용자의 기본암호 사용을 제품 출고시 기본 ID와 패스워드를 설정하는 방식을 탈피해 안전성 확보에 필요한 기술적·관리적·물리적 조치를 강구하는 것이 필요하다.

결언
CCTV 관제시스템의 정보 해킹 관련 이슈는 이제 어느 지역을 어떻게 모니터링 할 것인가에서 CCTV 촬영 영상정보를 어떻게 보호할 것인가의 문제로 초점이 바뀌어가고 있다.

개인정보보호법, PCI, HIPPA, 바젤II 및 CJIS 등 다양한 관련 규제제도가 시행되면서 CCTV 영상정보의 보안유지를 원천적으로 보안을 강화할 수 있는 암호화 기술과 이를 광범위하게 적용할 수 있는 방안에 주력하고 있다.

수시로 발생하고 있는 각종 보안사고는 아무리 강력한 암호화 알고리즘으로 암호화 하더라도 암호화 키가 유출되면 암호화 시스템이 무용지물이 될 수 있다는 점을 시사하고 있다.

이에 고도의 암호화는 물론 안전한 암호화 키 관리방안도 신중히 고려할 필요가 있다. 이를 위해서는 암호화 및 키 관리를 효과적으로 실행할 수 있는 정부차원의 가이드라인을 제시할 필요가 있다.

여기에는 핵심적인 원칙을 정하고 이러한 규제를 준수할 수 있는 환경을 조성할 필요가 있다.

개인정보보호법을 토대로 본 CCTV 정보 해킹의 문제점들은 IP네트워크의 로그인 방식, CCTV(DVR) 시스템의 원격접속 방식, 보안 프로그램의 미비한 무결성 등으로 나타났다.

즉, 보안정책의 실효성이 낮다는 것이다. 이를 해소하기 위해서는 CCTV 네트워킹 컴퓨터의 액티브엑스 보안 프로그램을 강화해 SSL 루트를 고도로 암호화해 전송방식을 개선하는 것이 필요하다. 네트워크 관점에서는 무분별한 IP카메라 사용을 지양하는 것과 사용자 관점에서는 안전성 확보에 필요한 기술적·관리적·물리적 조치를 강구하는 것과 아울러 사용자의 인식전환이 절실하다.

IP카메라 기반의 CCTV 관제시스템의 영상정보 해킹, 바이러스 및 DDoS 등의 보안공격(security attack)에 효과적으로 대비하기 위해서는 무엇보다도 실제적인 공격 근원지의 정확한 역추적 기술이 필요하다. 이에 지금까지의 역추적기술이 안고 있는 제약조건을 극복하고 차세대 CCTV 관제시스템에 적용할 수 있는 기술개발이 절실하다.

참고문헌
최무석, “네트워크 관점에서의 IP CCTV”, 시큐리티 월드 190호, 2012. 11.
www.handream.net/pr/news/view.php?page=4&number=67
“지금까지 몰랐던 CCTV와 SCADA 해킹시연”, 데일리시큐, 2013. 10. 25.
dailysecu.com/news_view.php?article_id=5517
“강남 길거리 CCTV가… 시민들 경악”, 온라인 중앙일보, 2013. 1. 23.
“CCTV영상 해킹 우려 확산...법 개정해야”, ZDNet Korea, 2013. 11. 21.
www.zdnet.co.kr/news/news_view.asp?artice_id=20131121163548
news.jtbc.joins.com/article/article.aspx?news_id=NB10232905
“유럽연합, 강력한 데이터 보호 법률 개정안 승인”, KISTI 미리안 ‘글로벌동향브리핑’, 2014. 3.
www.govinfosecurity.com/eu-data-protection-reform-endorsed-a-6627
“2014년 이후 사이버보안 위협 전망”, KISTI 미리안 글로벌동향브리핑, 한국과학기술정보연구원, 2013. 12.
“Blurring Boundaries: Trend Micro Security Predictions for 2014 and Beyond”, Trend Micro, 2013.




댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.