“1분만에 뚫렸다”… 병원 수술실 IP캠-아파트 월패드 보안 구멍

본보, 보안업체에 해킹시연 의뢰
IP주소 넣자 촬영 영상 금세 띄워
사생활 등 해킹에 무방비 노출 우려
“비번 특수기호 넣고 주기적 교체를”

“해킹 시작하겠습니다.”

국내 보안업체 A사 직원들은 이 같은 말과 함께 동아일보 취재진이 가져간 인터넷 카메라(IP캠) 해킹을 시도했다. 그런데 1분도 채 지나지 않아 IP캠이 촬영 중인 사무실 벽면 영상이 직원들 노트북에 나타났다. 이들은 IP캠이 연결된 인터넷주소(IP주소)와 기기 제조사 정보만 알고 있었다.

최근 서울 강남구의 한 성형외과 수술실 등에서 촬영된 IP캠 영상이 외부로 유출돼 경찰이 수사에 나선 가운데 아파트 월패드 홈네트워크 시스템 등 인터넷과 연결된 IP캠 장비의 보안 취약성을 우려하는 목소리가 커지고 있다.

● “제조사와 패스워드 리스트 공유”

동아일보는 14일 IP캠의 보안 취약성을 점검하기 위해 A사에 해킹 시연을 의뢰하면서 영상이 유출된 성형외과에서 사용하던 IP캠과 같은 제조사 제품을 A사 사무실에 설치했다. 직원들은 해킹 프로그램을 온라인 사이트에서 내려받아 IP주소를 입력했다. 그러자 자동으로 비밀번호 조합이 입력되다가 1분도 안 돼 해킹에 성공했다.

보안업계에 따르면 IP캠 해킹의 첫 단계는 IP주소 12자리를 알아내는 것이다. 국가별, 지역별로 특정 IP주소가 지정돼 있어 해킹 타깃을 정하면 주소 범위를 좁힐 수 있다. 어느 정도 범위가 좁혀지면 해킹 프로그램을 통해 무작위로 나머지 숫자를 넣으며 IP캠을 찾아낸다. 해킹툴을 사용하면 IP캠과 연결된 IP를 특정해준다.

IP캠을 찾을 때 어느 제조사 제품을 찾을지도 정할 수 있다. 제조사를 파악하면 공장에서 출고될 당시 초기 비밀번호 ‘12345’ ‘qwer’ 등을 입력하며 해킹을 시도한다. 기기 설치 후 비밀번호를 사용자들이 잘 바꾸지 않는다는 점을 파고드는 것이다. A사 관계자는 “해커들 사이에선 IP캠 제조사와 제품별 기본 패스워드를 모아놓은 리스트를 쉽게 구할 수 있다”고 했다.

해커들은 IP캠을 해킹한 후 사생활 영상을 유포하거나 유포하겠다며 협박하는 경우가 적지 않다. 온라인에는 해킹된 IP캠 영상을 실시간으로 볼 수 있는 웹사이트도 있다고 한다.

● “CCTV 비해 저렴하지만 보안에 취약”

인터넷망과 연결된 아파트 월패드 시스템도 IP캠의 일종이다 보니 해킹에 무방비로 노출돼 있다는 지적을 받는다. 또 보호자가 환자의 수술 장면을 실시간으로 볼 수 있다는 점을 홍보하는 성형외과의 경우 대부분 IP캠을 사용하는 것으로 전해졌다.

전문가들은 외부망과 연결되지 않은 폐쇄회로(CC)TV와 비교할 때 IP캠은 보안에 취약할 수밖에 없다고 지적한다. 하지만 서울 강남구의 한 병원 관계자는 “CCTV와 비교하면 10분의 1 가격이라 IP캠을 사용할 수밖에 없다”고 했다. IP캠은 대당 설치 비용이 10만∼30만 원대지만 CCTV는 300만 원대에 달한다.

한국인터넷진흥원에 따르면 IP캠 등 사물인터넷(IOT) 보안 취약점 관련 신고 건수는 2020년 141건에서 2022년 333건으로 급증했다. 염흥열 순천향대 정보보호학과 교수는 “젊은 세대 가운데 부재 중 반려동물 관찰용 펫캠 등이 유행하는데 보안 측면에서 굉장히 취약하다”며 “영상 암호화 기능을 갖춘 제품을 구매하는 게 좋고 의료기관처럼 민감한 정보를 다루는 곳은 처음부터 IP캠 사용을 자제해야 한다”고 했다. 김명주 서울여대 정보보호학과 교수는 “비밀번호에 특수기호나 숫자 등을 섞으면 해킹이 쉽지 않다. 특수기호와 숫자를 조합해 주기적으로 비밀번호를 바꾸는 게 좋으며 최소한 초기 비밀번호는 받는 즉시 바꿔야 한다”고 조언했다.


이기욱 기자 71wook@donga.com
소설희 기자 facthee@donga.com