[프리미엄 리포트]CCTV망에 ‘12345678’ 비번 넣으니… 침실까지 훤히 보여

[대한민국 온갖 정보 다 샌다]CCTV도 뚫렸다

모니터 속 공간은 분명 침실이었다. 침대와 베개, 널린 옷들…. 침실의 주인은 모르고 있겠지만 지금 이 화면은 마음만 먹으면 누구나 볼 수 있는 것이다. 그런 일이 실제로 벌어진다면? 상상만으로도 끔찍하고 당혹스러운 일이었다.

동아일보 취재팀과 보안업체 라온시큐어의 보안기술연구팀이 확인해 본 국내 폐쇄회로(CC)TV 보안 실태는 예상했던 것보다 훨씬 허술하고 충격적이었다. 이날 시연 컴퓨터의 모니터에는 가정집 침실, 속옷가게, 음식점 주방, 휴대전화 판매점, 동물병원, 사무실, 공장, 지하주차장, 아파트 배관실 등에 이르기까지 온갖 장면이 등장했다. 사람들이 음악에 취해 정신없이 춤을 추는 클럽 내부 광경과 젊은 남녀가 은밀하게 애정을 나누는 골목길 풍경도 잡혔다.

○ ‘기본’도 없는 CCTV 보안 실태

이번 점검을 위해 보안기술연구팀은 국내의 한 CCTV 업체 홈페이지에서 CCTV 관리용 소프트웨어 프로그램을 내려받았다. 이 프로그램은 해당 홈페이지에서 누구나 제한 없이 내려받아 이용할 수 있게 돼 있다. 휴대전화 관련 소프트웨어가 제조사 홈페이지에 올라와 있는 것과 비슷하다.

이 프로그램을 컴퓨터에 설치한 뒤 총 10개의 인터넷주소(IP) 대역을 무작위로 뽑아 프로그램 내 검색창에 넣고 탐색했다. 그랬더니 해당 대역 내 네트워크와 연결된 CCTV들이 잡혔다. 10개의 IP 대역에서 CCTV 수천 대를 찾을 수 있었다.

복잡한 해킹 기술을 쓰지 않고 ‘기본 점검’ 작업부터 했다. 보안업계에서 ‘기본 암호’로 통하는 3가지 종류의 비밀번호(암호 없음, 12345678, 4321)를 1132곳의 계정에 대입해 봤다. 그 결과 44.0%에 해당하는 498곳의 CCTV 관리자 계정이 열렸다. 그렇게 암호 보안이 허술한 CCTV 카메라는 총 3029대에 달했다.

CCTV의 모니터 속에서 사람들은 자신들을 찍고 있는 카메라와 이를 지켜보는 익명의 존재를 상상도 못한 채 자고, 먹고, 달리고, 일했다. 누군가 보고 있을 수도 있다는 걸 알았다면 결코 하지 않았을 행동도 했다. 시연은 서울 강남구 삼성동에서 이뤄졌지만 3000대가 넘는 카메라를 통해 전국을 보는 것도 가능했다. 그 모든 게 클릭 몇 번으로 간단히 이뤄질 수 있었다.

○ 화면 속 장소 추정도 가능

처음엔 모니터 속 CCTV 장소가 어디인지 알기 어려웠다. 단순히 ‘식당이구나’ ‘병원이구나’ 정도만 짐작할 수 있을 뿐이었다. 그래서 오히려 다행이라는 생각이 들었다. 하지만 이는 섣부른 판단이었다. 특정 장소에 설치된 여러 대의 CCTV 화면을 조합하면 구체적인 지역을 추측할 수 있었고 과거 영상을 조회하면 사용자의 생활 패턴도 파악할 수 있기 때문이다.

예를 들어 어느 주택의 경우 마당 바깥쪽에 설치된 CCTV를 통해 길 건너 치킨집 간판이 잡혔는데, 여기 적힌 전화번호를 통해 해당 주택이 어느 지역에 있는지 추정할 수 있었다. 이 정보를 구글 스트리트뷰나 네이버 위성지도 정보 등과 비교하면 해당 주택의 주소를 완벽하게 알아낼 수 있다. 보안을 위해 설치한 CCTV가 졸지에 집안 안팎의 모습을 외부인에게 모두 보여주는 ‘보안 구멍’으로 변한 셈이다.

과거 영상 조회를 통해서는 해당 장소에 거주하는 사람의 생활 패턴까지 빤히 볼 수 있었다. 몇 시에 일어나고 몇 시에 마당에 나와 체조를 하며, 몇 시에 출근을 했다 몇 시에 돌아오는지 악의를 갖고 접근하는 이가 있다면 충분히 범죄 도구로 활용될 법한 정보들이다.

○ 관리자 계정도 무방비

단순히 화면을 볼 수 있다는 것보다 더 심각한 문제도 발견됐다. 익명의 접속자가 CCTV 관제 화면을 관리자와 똑같이 보며 모든 것을 통제할 수 있는 구조였다. 프로그램 화면에서 ‘관제’ 탭을 클릭하면 해당 장소의 CCTV 관리자 화면에 원격으로 접속할 수 있도록 돼 있었다. CCTV들의 셋톱박스는 한 달 이전 영상까지 저장하고 있는데 이 같은 과거 영상을 돌려보는 것은 물론이고 이를 삭제하는 것도 가능한 상황이었다.

보안팀의 신동휘 선임연구원은 “관리자 권한을 갖게 되면 CCTV 각도를 원격 제어하거나 해당 장소의 소리를 녹음하는 것은 물론이고 아예 카메라를 끄거나 모든 데이터를 삭제할 수도 있다”며 “관리자 계정의 비밀번호도 원격으로 바꿀 수 있게 돼 있어 정작 CCTV 주인이 제어권을 못 갖게 될 수도 있다”고 우려했다.

해당 CCTV 및 관제 시스템 제조사 관계자는 이날 보안 점검 결과에 대해 “보안 이슈는 회사에서 매우 주의하는 부분이며 지금까지 보안이 뚫리거나 문제가 있었다는 얘기는 들어본 적이 없다”고 말했다. 이 관계자는 “단순한 기본 비밀번호를 써서 네트워크가 뚫렸다는 건 사용자의 문제지 제조사의 문제가 아니다”라며 “수시로 프로그램 업그레이드를 공지하고 있어 보안상 문제는 없다”고 덧붙였다.

보안 전문가들은 최근 보급이 늘고 있는 IP카메라에 대해서도 크게 우려한다. 컴퓨터처럼 인터넷 망에 연결해 쓰는 IP카메라는 CCTV보다 값이 싸고 설치가 간단하다는 이유로 어린아이를 보모에게 맡기는 맞벌이 가정이나 출장이 잦은 ‘싱글족’들 사이에서 인기를 얻고 있다. 하지만 IP카메라 역시 네트워크에 연결됐다는 점에서 허점이 많다는 지적이 나온다.

라온시큐어 보안기술연구팀 박찬암 팀장은 “IP카메라는 인터넷 망에 바로 물려 있기 때문에 CCTV보다 보안이 훨씬 허술하다”고 말했다.

임우선 imsun@donga.com·서동일 기자