[팩트체크] IoT 검색엔진 쇼단에서 내 사생활 줄줄 샌다?

보안성 갖춘 기기 취약점 노출 안 돼…보안 방치가 문제


[아이뉴스24 성지은 기자] 웹캠, CCTV 등 인터넷(IP) 카메라가 해킹을 당해 사생활이 온라인에 실시간으로 노출되는 사건이 끊이지 않고 있다.

올해 국정감사에서도 송희경 자유한국당 의원은 사물인터넷(IoT) 검색엔진 '쇼단'에서 웹캠을 검색해 국내 사무실이나 수영장의 모습을 실시간으로 볼 수 있음을 직접 시연하며 위험성을 경고했다.

송 의원은 "쇼단에서 CCTV로 검색한 결과 한국에서 1천140개가 검색돼 1위를 차지했고 웹캠은 검색 결과 404개가 나와 국가 중에서 세 번째로 많았다"며 "이 중 비밀번호조차 설정되지 않은 카메라는 별도 해킹 과정 없이 접근해 실시간으로 영상을 볼 수 있다"고 지적했다.

또 "쇼단에 국내 IoT 기기 취약점 정보가 대량 노출되고 있지만, 정부의 파악과 대응이 미흡하다"며 정부의 대책을 강화해야 한다고 주장했다.

쇼단은 인터넷에 연결된 다양한 기기의 정보를 제공하고, 시스템상 하자 등 취약점 정보까지 제공해 해커들이 공격 대상을 물색할 때 주로 사용되는 IoT 검색 엔진이다.

쇼단이 '어둠의 구글', '해커들의 놀이터'로 불리는 이유다. 쇼단을 통해 IoT 취약점을 검색하고 사생활을 들여다볼 가능성이 농후한 만큼 대책 마련이 필요하다는 지적이 나오는 이유이기도 하다.

◆쇼단, 한국 IoT 취약점 노출?…"보안 갖춘 기기 문제 안돼"

실제로 쇼단에 국내 IoT 기기 취약점 정보가 대량 노출되고 있는 것일까. 이는 해석에 따라 달라질 수 있다.

16일 기준 쇼단에서는 CCTV는 1천673개, 웹캠은 431개가 검색됐다. 그러나 쇼단에 검색된 IoT 기기라도 보안성을 갖췄다면, 해킹에 악용될 수 있는 취약점은 노출되지 않는다.

쇼단에서 수많은 국내 IoT 기기가 검색되고 특히 CCTV나 웹캠 관련 정보가 노출돼도, 기기가 검색된다는 사실만으로 IoT 취약점이 대량 노출되고 있다고 해석하기는 어렵다는 게 보안전문가의 설명이다.

화이트해커 출신의 홍동철 엠시큐어 대표는 "웹사이트가 외부 노출돼있지만 보안이 잘 돼 있다면 안전한 것처럼 쇼단에 IoT 기기가 검색돼도 안전한 보안 정책(복잡한 아이디와 비밀번호, 재시도 횟수 차단 등)을 이용한다면 문제 없다"며 "쇼단에 IoT 기기 정보가 검색된다는 게 곧바로 취약점이 노출됐다는 것을 의미하지는 않는다"고 설명했다.

화이트해커 출신의 신동휘 스틸리언 기술이사 또한 "취약점이 있는 상태로 외부에 IoT 기기가 공개되면 심각하지만, 쇼단에 기기가 노출되는 것만으로 위험하다고 말하기는 어렵다"고 말했다.

다만 국내 IoT 기기 이용환경을 고려한다면, 쇼단에 기기가 다수 검색되는 것만으로 IoT 취약점 정보가 외부 공개되고 있다고 해석할 여지도 있다. 현재 대다수 웹캠과 CCTV는 보안이 허술한 상태로 방치돼 취약점을 내포하고 있기 때문이다.

실제 관리자 권한으로 접속할 수 있는 아이디와 비밀번호가 'admin' '1234' 등 초깃값으로 설정된 채 방치되는 경우가 허다하다. 누구나 관리자 페이지에 접속해 카메라를 들여다볼 위험성이 존재하는 것.

또 대개 취약점을 보완할 수 있는 펌웨어 업데이트를 진행하지 않은 채 기기를 방치하는 경우가 많다. 이에 따라 쇼단에 검색되는 IoT 기기가 많을수록 해당 기기와 함께 IoT 취약점도 대량 노출될 가능성이 높다고 볼 수도 있다.

더욱이 아직 쇼단이 IoT 기기 정보를 수집하는 방법, 개인이나 기업이 쇼단의 정보 수집을 차단하는 방법 등은 정확히 알려지지 않았다. 한국인터넷진흥원(KISA) 또한 쇼단 측에 정보 삭제 방법 등을 문의했지만, 답변을 받지 못했다.

이에 쇼단을 통한 정보 수집·공개를 막연히 두려워할 수 있는데, 계정관리, 주기적인 펌웨어 업데이트 등 기본적인 보안 수칙을 지키는 것만으로 어느정도 안전하게 기기를 이용할 수 있다는 게 전문가들 조언이다.

홍 대표는 "기본적으로 인터넷망에 IoT 기기를 연결해 사용한다면 검색을 완전히 피할 수는 없을 것"이라며 "방화벽 등을 통해 크롤링(정보획득을 위한 접속들)을 차단하게 되면 검색이 되지 않도록 회피가 할 수도 있으나, 안전한 보안 정책을 이용하고 있다면 굳이 피할 필요는 없다"고 말했다.

신 이사는 "건물 내부에 있는 설치·녹화용 CCTV 등 인터넷에 연결될 필요가 없는 기기는 인터넷 연결을 차단하고 이를 구분할 필요가 있다"며 "카메라 등 기기 자체를 안전하게 만드는 제조사의 노력도 필요하다"고 조언했다.

한편, 내년 2월부터 IP카메라와 CCTV는 초기 비밀번호를 바꿔야 동작하도록 보안조치가 마련된다. 정부는 단말장치 기술기준 고시를 개정해 기기 제조·판매·수입업체가 초기 비밀번호를 개별 설정하거나 변경하는 기능을 탑재하도록 의무화했는데, 이에 따라 카메라 보안이 일부 개선될 것으로 기대된다.

성지은기자 buildcastle@inews24.com

관련기사


포토뉴스