사이버 보안 이슈로 골머리 앓는 하이크비전·다후아
상태바
사이버 보안 이슈로 골머리 앓는 하이크비전·다후아
  • 신동훈 기자
  • 승인 2017.08.28 02:00
  • 댓글 0
이 기사를 공유합니다

사이버 보안 강화하고 있지만 계속되는 이슈로 업계에서는 중국 제품 전반적 신뢰도 하락 예상

[CCTV뉴스=신동훈 기자] 2016년 대규모 DDoS 공격인 미라이 봇넷 사태로 인해 사이버 보안은 영상감시 기업들에게 가장 중요하게 고려할 요소가 됐다. 영상감시 세계 1,2위 기업으로 성장한 하이크비전(Hikvision)과 다후아(Dahua)는 사이버 보안을 강화하기 위해 노력하고 있지만, 아직도 사이버 보안 이슈 문제로 골머리를 앓고 있는 모양새다.

하이크비전은 정보 보안 관리 시스템인 ISO 27001 인증을 받고 시스코와 같은 사이버보안 전문가들을 통해 사이버보안 관리의 경험과 기술, 노하우 등을 전수받고 사이버보안 기술에 대한 연구를 강화하고 있다.

다후아는 다후아 모든 카메라에 접속 가능한 마스터 비밀번호를 없앴다. 또한, 독립된 사이버 보안 연구소를 만들고 사이버 보안 테스트 기관과 협력해 보안 취약성을 보완해 나가고 있다.

하지만, 아직도 양사는 사이버 보안 문제에서 좀처럼 헤어나오지 못하고 있다. 과거 백도어 문제에 이어 보안 취약성 문제가 간혈적으로 등장하고 있고 최근에 또 다른 이슈까지 등장했다.

다후아, ICS-CERT로부터 보안성 취약 판정…3개월이 지난 뒤 해당사항 공지

다후아는 과거 발생한 해킹(2016년 9월), 백도어(2017년 3월) 이슈에 이어 지난 5월 추가적으로 ICS-CERT로부터 IP 카메라 12종, DVR 3종에 대해 보안성 취약 판정을 받았다.

* ICS-CERT: Industrial Control Systems Cyber Emergency Response Team의 약자로 미국 국토보안부(Department of Homeland Security)가 지원하는 공식 사이버 보안 대응 전담팀

해당 제품들은 웹을 통한 로그인 과정에서 보안 취약성이 발견됐으며, 해커들의 불법적 카메라 접속이나 장비의 동작을 멈추는 것이 가능하다.

ICS-Cert 홈페이지에 등재된 다후아(Dahua) 보안 취약성 위험 공지

엑시스와 하이크비전은 자사 홈페이지에 해당 사실을 공지하고 개선 F/W를 등재해 고객이 장비를 빠른 시간 내 업데이트 하도록 권유한다. 국내 업체인 한화테크윈 같은 경우 개발(SE팀) 주도로 ‘보안취약점 공지정책’ 수립 후 대응한다.

해외 보안 매체는 보안 취약성이 발견된 후 적극적으로 대응한 하이크비전이나 엑시스 등 타 경쟁사는 다르게 다후아는 약 3개월이 지난 지금까지(7/25 기준) 해당 사실을 공개하지 않았다고 전했다.

현재 12개 모델에 대해 개선 F/W를 등재했지만 해당 모델과 거의 유사한 OEM 공급 모델과 특정 지역 파생 모델이 있어 동일한 보안 위험성을 지닌 제품은 12개 모델 이상일 것으로 업계에서는 추정하고 있다. 

하이크비전 관리 암호 초기화 보안 코드 미해결?

2016년 인도의 한 개발자가 하이크비전 개별 제품의 관리 암호(Admin Password) 초기화가 가능한 보안 코드(Security Code)를 확인하는 소프트웨어를 개발하고 해당 영상을 유튜브에 공개한 바 있다.

하이크비전 C/S팀은 사용자가 비밀번호 분실 시 해당 제품의 보안 코드를 사용자에게 제공해 초기화시킨다. 해당 소프트웨어는 이 점을 악용했다. 장비의 시리얼 번호와 날짜, IP를 입력하면 쉽게 보안 코드를 확인할 수 있으며, 보안 코드를 통한 초기화 기능은 장비에 하드 코딩(Hard Coding)돼 있어 비활성화가 불가한 것으로 추정된다.

장비의 일련번호, 날짜를 하이크비전 담당자에게 메일을 통해 전달한다.
하이크비전 지원팀이 보낸 보안 코드(Security Code)를 회신받아 초기화한다.

1년이 지난 최근까지 해당 크랙은 업그레이드 돼 작동중인 것으로 나타났다. 해외매체에서는 직접 하이크비전 제품을 OEM 도입해 판매 중인 ADI-W 박스를 대상으로 테스트해 실제 동작함을 확인했다. 해당 매체는 OEM 장비 70종 이상이 영향을 받을 것으로 추정했다.

또한 최초 개발한 것으로 추정되는 인도 개발자도 지난 7월 1일 하이크비전 보안 코드 생성기 2017이라는 유튜브 영상을 공개하기도 했다.

제품 신뢰도가 중요한 보안 산업의 특성상 보안성 이슈가 발생했을 때 신속한 취약점 개선과 적극적 고객 대응으로 신뢰도 하락 최소화가 무엇보다 중요하다. 한번 무너진 신뢰도는 회복하기가 좀처럼 쉽지 않기 때문이다. 이러한 사이버보안 문제가 계속해서 겹치자 업계에서는 중국제품 전반에 대한 신뢰도가 하락하고 있는 것이 아니냐고 추정하고 있다.

2017년 7월 1일 유튜브에 공개된 하이크비전 보안 코드 생성기 2017(Hikvision Security Code Generator 2017) 영상 캡처 화면

업계 관계자는 “보안 관련 주요 게시판에서 ‘중국 제품 대신 다른나라 제품을 사용하는 것이 어떠냐’는 의견을 묻는 제목으로 글이 등재되는 등 보안의식에 대한 시장 의구심이 증폭되고 있는 상황”이라고 전했다.

파트너들에게 공식 답변 보낸 하이크비전

해당 이슈 관련해 하이크비전 HQ에서는 관련한 보안 업데이트 내용을 파트너들에게 전달하며 대응했다.

하이크비전 디지털 테크놀로지팀에서는 "보안 코드 생성 소프트웨어 프로그램을 통해 하이크비전 ‘보안 코드’에 문제가 생겼다는 보고서를 받게 됐다"고 전하며 "특정 하이크비전 녹화기에서 비밀번호를 재설정하려면 녹화기의 로컬 HDMI / VGA 출력을 통해 리셋 메뉴를 마우스로 물리적으로 설정한다"고 전했다.

또한, 지속적으로 고객을 위한 서비스를 개선하기 위해 노력한다는 내용도 함께 전했다. 하이크비전은 지난 2년동안 암호 재설정 프로세스를 향상시켰다. 특히 비밀번호 리셋이 인터넷을 통해 이뤄질 수 없다고 강조했다. 세부 내용은 다음과 같다.

• 2015년 4월, 하이크비전은 SADP / 4200에 의해 장치에서 내보낼 필요가 있는 향상된 암호화 키를 제공하는 새로운 복구 시스템을 도입했다. 다시 말하지만, 재설정은 인터넷을 통해 수행 될 수 없다.

• 2016년 10월, 하이크비전 DVR v3.4.80 및 NVR v3.4.90부터 로컬의 물리적 리셋 메뉴가 제거됐다. 현재 하이크비전은 고객을 위해 GUID 키 암호 복구 프로세스를 추가로 도입했다.

• GUID로 암호화된 키를 내보내 사용자에게 장치에 대한 암호만 재설정하도록 내보낼 수 있다. GUID 키는 장치 전용이다. 다른 장치에서는 사용할 수 없다. GUID 키는 한 번 사용하면 만료된다. 장치가 키를 내보낸 이후에 관리자 암호를 변경 한 경우 GUID 키가 유효하지 않다.

하이크비전은 제품 보안에 대한 높은 기준을 설정하고 신뢰할 수 있는 외부 소스의 엄격한 지침을 준수함으로써 최상의 품질과 안전성을 보장한다고 강조한다. 또한 사이버 보안을 위해 정기적으로 최신 하이크비전 펌웨어로 업데이트 하도록 안내하고 있다.


관련기사

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
0 / 400
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.