키워드 : CCTV정보 해킹, CCTV 네트워크 해킹, 패스워드, 해킹방지 법제화, 보안위협 요인, 정보해킹 안전진단, IP CCTV시스템, 비디오 감시시스템, 해커 공격 툴, 스마트폰 앱, 개인정보침해, 스피어 스미싱(spear phishing), 클릭 재킹(Click-jacking), 딥 웹(Deep Web), 로그인 방식, ActiveX 보안프로그램, 암호화 키, 개인정보보호법, 역추적 기술

박세환 한국과학기술정보연구원 ReSEAT 프로그램 전문연구위원

서언
최근 들어 CCTV정보 해킹이 점차 확산되면서 CCTV 통합관제시스템의 보안위협 요인이 되고 있다. 특히 IP 카메라를 이용한 CCTV시스템은 일상적인 실생활과 매우 밀접하게 연관돼 있어 네트워킹 관점에서 보면 커다란 보안위협 요인이 아닐 수 없다.

급기야 CCTV 네트워크가 해킹을 당해서 악용된다면 사생활 침해에서부터 스토킹이나 영유아의 유괴에 이르기까지 매우 큰 피해가 발생하면서 경제적, 사회적으로 미치는 파장이 매우 클 것이다. 아울러 CCTV 해킹정보가 범죄에 악용된다면 더욱 무서운 일이 일어날 수 있을 것이다.

이 연구에서는 패스워드 중심의 CCTV정보 해킹 유형 및 위험성, ‘POC2013’을 통해 본 CCTV정보 해킹의 고도화 및 CCTV정보 해킹 사례, 유럽을 중심으로 해킹방지 법제화 사례 등에 대해 설명한다.

이를 토대로 보안위협 요인 분석과 이에 대한 해결방안 등 CCTV 정보 해킹 안전진단을 제시한다.

CCTV정보 해킹 유형 및 위험성
영화나 드라마에서 가상으로 보여주는 CCTV정보 해킹 유형에 대한 분석결과를 토대로 네트워크 기반 IP CCTV시스템의 위험성을 간단히 요약하면 다음과 같다.

- CCTV정보 해킹은 단순한 패스워드(pass word)를 사용해 IP 카메라에 접근하는 방법이 아닌 첩보영화나 도둑이 주인공인 영화에서처럼 CCTV 영상을 탈취하고 패스워드에서는 다른 영상으로 대체한 후 침입하는 고도의 지능적인 해킹을 예상해볼 수 있다.(CCTV 네트워크를 해킹해 해당 장소의 영상을 확인한 이후에 침투하는 방식의 ‘미션임파서블4’나 ‘다이하드 4’ 등의 첩보영화에서처럼 고도의 해킹기법도 가능할 것이다.)

- CCTV정보 해킹 기법은 모두 네트워크와 관련돼 있으며 이를 유형별로 보면 ▲CCTV 시스템에 접근해 영상을 몰래 보는 행위(IP카메라는 웹 기반으로 동작하므로 비밀번호 정보만 해킹한다면 쉽게 접속할 수 있을 것이다. 또한 CCTV 관제시스템을 해킹해 관제시스템에 보이는 영상을 해커 자신도 동일하게 볼 수 있는 기법도 가능할 것이다.) ▲IP CCTV화면을 멈추는 행위(IP카메라에 순간적으로 대용량 트래픽을 전송해 화면을 전송할 수 없게 만들 수도 있을 것이다. 예를 들면 DDoS 트래픽을 보내 IP카메라는 영상을 전송하거나 제어할 수 없게 되는 경우를 예상해볼 수 있다.) ▲CCTV시스템의 기록을 삭제하는 행위(이는 저장장치를 해킹하는 행위로서 IP 카메라가 아닌 DVR이나 NVR 계정을 탈취해 원하는 시간대의 기록을 삭제해버리는 행위를 예상해볼 수 있다.) ▲실시간으로 다른 영상으로 대체하는 행위(ARP 및 IP 스푸핑(Spoofing) 공격을 시도해 자신의 PC로 모든 영상정보가 저장되도록 함으로써 CCTV 시스템의 영상을 다른 영상으로 대체하는 행위를 예상해볼 수 있다.) ▲미리 설정된 영상을 다른 영상으로 대체하는 행위(CCTV 시스템의 촬영기록을 삭제하는 것과 유사한 기법으로 계정만 얻는다면 원하는 시간대의 기록을 삭제할 수 있는 행위를 예상해볼 수 있다.) 등 매우 다양한 해킹행위를 예상해볼 수 있다.

여기서 CCTV 통합관제시스템을 구축할 때 IP CCTV 네트워크가 아닌 폐쇄망으로 구축한다면 별도의 보안이 필요하지 않을 것이라는 대안을 생각할 수 있을 것이다. 

하지만 해당 네트워크에 케이블만 연결할 수 있다면 IP공유기나 무선 AP를 통해 어디서든지 CCTV 네트워크에 쉽게 접근해 모든 CCTV정보가 투명해질 수 있다. 이는 만약의 경우를 대비해 완벽한 네트워크 보호망이 갖춰져야 함을 시사하고 있다.(첩보영화 등에서도 대부분의 CCTV 네트워크는 폐쇄망이었으나 이를 USB나 기타 다른 방법으로 연결해 해킹한 사례를 볼 수 있다)

CCTV정보 해킹기법
CCTV정보 해킹의 고도화 = ‘POC2013’(2013년 11월7일, 8일 개최)에서는 국내외 주요 CCTV 관제시스템의 제로데이(zero-day) 취약점들을 공개해 업계의 관심을 집중시키고 있다. 

인터넷망에 연결돼 있는 50만개 이상의 CCTV ·DVR 시스템에 대한 정보들이 안고 있는 기존의 취약점과 새로운 제로데이 취약점을 공개한 것이다.

아울러 이러한 취약점들을 공격하는 새로운 방법과 시나리오, 소규모 DYI 브리그브라더(BrigBrother) 비디오 감시시스템, 취약점을 공격하는 코드 및 펌웨어 조작방법까지 공개되면서 사용자(수요자)들은 일상생활과 밀접하게 연결돼 있는 CCTV시스템의 취약점이라는 점에서 새로운 이슈로 받아들이고 있다.

이를 통해 국내외 제품들이 공통적으로 안고 있는 제로데이 취약점과 다른 브랜드나 장치에도 적용될 수 있는 취약점 발견 이슈를 타진할 수 있는 기회로 평가받고 있다.

발표를 통해 러시아 해커들은 공격 툴, 기술 및 실제 사용되고 있는 시스템 등 모의해킹 경험들을 시연하면서 실제 운용되고 있는 CCTV정보 해킹 방지 및 탐지 시스템의 장점과 각국의 환경에 맞는 개선점을 도출했다.

러시아 연구팀이 시연해보였던 ICS·SCADA 시스템 운영 프로그램을 [그림1]에 나타낸다. 이는 1차 공격대상을 정하고 이를 해킹하려는 시도와 이를 방어하는 능력과의 장단점을 생생하게 보여줌으로써 CCTV 관제시스템의 제로데이 취약점을 확인할 수 있는 기회가 됐다.(POC 주최측은 국내 해커들이 SCADA 시스템에 대한 공격능력이 다소 떨어지는 것은 평소 이를 접할 기회가 많지 않기 때문에 이번 기회를 잘 살려 SCADA 시스템에 대한 이해도를 높이고 관련 산업계에서는 이를 통해 CCTV 정보 해킹에 대한 방어능력을 향상시킬 수 있는 기회가 됐다.)

CCTV정보 해킹 사례 = CCTV시스템을 통해 개인의 사생활이나 특정 지역의 동태를 전세계 어디서나 모니터링 할 수 있는 시대가 됐다. CCTV 촬영정보를 해킹해 도심의 상점부터 기밀유지가 필수인 군사시설까지 전세계 구석구석을 들여다보는 것이 현실화된 것이다.

국내에서도 이처럼 CCTV시스템을 통해 사생활을 엿볼 수 있는 사이트가 있다.

이러한 충격적인 CCTV 촬영정보 해킹사례를 간단히 요약하면 다음과 같다.

- 세계 각국의 은밀한 CCTV를 모아 놓은 국적 불명의 한 인터넷 사이트에서 한국으로 분류된 폴더에 들어가자 서울 강남의 한 거리가 실시간으로 중계된다. 행인들의 인상착의까지 선명하게 알아볼 수 있을 정도다. 건물 주인이 범죄 예방을 목적으로 설치한 CCTV 촬영정보를 누군가 해킹해 이를 웹 사이트에 올려놓은 것이다.

- CCTV 해킹 영상은 스마트폰을 통해서도 유포되고 있다. 세계 곳곳의 CCTV를 모아놓은 한 스마트폰 앱(Application)으로 일본의 한 사무실과 골프장, 러시아의 한 호텔로비 및 한국 한 교회의 설교단상까지 지켜볼 수 있다. 이처럼 개인이 스마트폰 앱으로 전세계 CCTV 영상을 볼 수 있다는 것은 결국 악의적으로 조종할 수도 있다는 것이다.

과연 이런 일이 어떻게 가능할 수 있을까? 네트워크 사회의 한 부정적인 단면이 아닐 수 없다. 

현재 대부분의 CCTV 관제시스템은 인터넷 망으로 연결돼 있어 CCTV 네트워크를 관리하는 사이트를 해킹만 하면 CCTV 촬영 영상을 훔쳐보는 건 해커들에게 그리 어려운 일이 아니라는 것이다.