본문 바로가기

전세계 CCTV 7만3000개 뚫렸다

중앙일보 2014.11.08 19:40
전세계에 설치된 개인용 폐쇄회로TV(CCTV) 7만3013개가 해킹됐다.


‘누구나 알 수 있는 비밀번호’…우리나라도 6000개 무방비 노출
구입 후 비밀번호 변경 않는 점 노려
은밀한 사생활 고스란히 전세계 공개
보안 위한 CCTV가 오히려 비밀 누설
운영자, “보안 중요성 알려주려 공개”

해킹된 CCTV 화면은 익명의 설립자가 개설한 ‘인세켐’ 사이트(insecam.com)를 통해 최근 공개됐다. 8일 중앙SUNDAY가 확인한 결과 한국에서는 모두 6536개 장소에 설치된 CCTV가 뚫렸다. 미국(11046개)에 이어 두 번째로 많은 숫자다. 중국(4770개), 멕시코(3359개), 프랑스(3285개)가 뒤를 이었다. 북한은 목록에 없었다.



공개된 CCTV는 모두 인터넷에 연결된 IP(인터넷프로토콜)카메라다. 컴퓨터에 내장된 웹캠은 포함되지 않았다. 해킹된 IP카메라들은 모두 공장출고 당시의 아이디와 비밀번호를 바꾸지 않은 것들이었다.



공개된 장소는 가정집과 공연장, 사무실, 공장, 슈퍼마켓, 미용실, 헬스클럽, 수영장, 카페, 피부관리실 등 다양하다. 집 침대를 바로 비추는 화면도 있고, 하체 비만관리를 받는 남성들이 침대 위에 엎드려 있는 모습도 생생하게 나와있다. 한 사무실의 벽에는 화면을 확대하면 보일법한 업체 연락망이 붙어있고, 전통춤 학원에서는 여성들이 부채춤을 배우는 모습이 잡혔다. 건물 밖을 향해 설치한 CCTV는 대문 앞 골목을 비추고 있다. 카메라의 해상도가 높을수록 사람들의 얼굴도 뚜렷하게 보였다.



사이트에는 CCTV가 설치된 위도와 경도도 나와있다. 구글 맵을 이용해 해당 위치를 추적할 수도 있다. 다만 한국은 CCTV에 좌표를 입력하는 경우가 적어 정확한 곳을 알긴 어렵다. 서울, 안동, 제주와 같이 도시명만 나와있다.



실시간 동영상이지만 해외를 인터넷망을 경유하는 탓에 우리나라에선 정지화면처럼 보여지거나 실제 화면이 뜨지 않는 곳도 많았다. 하지만 고해상도 카메라가 설치된 곳에서는 어떤 일이 벌어지는지 충분히 알 수 있다. 사용자가 몰리면서 사이트 접속이 원활하지 않아 공공기관 등 주요 국가시설의 CCTV까지 공개됐는지는 확인할 수 없었다.



해외 인터넷 이용자들은 소설네트워크서비스를 통해 ‘섬뜩하다(creepy)’는 반응을 보이고 있다. SNS에선 “남의 집 거실을 훤히 들여다보고 있다”거나 “사무실 책상에 포르노잡지가 놓인 게 보인다”는 등의 게시물이 올라오고 있다.



해킹 원리는 간단하다. 인세캠 운영자는 사용자들이 CCTV를 구입한 뒤 아이디와 비밀번호를 대부분 변경하지 않는다는 점에 착안했다. 공개된 CCTV들은 아이디가 admin, 비밀번호는 12345 또는 admin이었다. 처음 기기를 구입했을 때의 초기값이다.



이후 과정은 CCTV 사용자가 집에 설치해둔 카메라 화면을 스마트폰 앱을 통해 들여다보는 것과 같은 방식이다. 아이디와 비밀번호를 이용해 카메라 업체가 제공하는 네트워크에 우회 접속한 셈이다. 방대한 양을 소화하기 위해 인세캠운영자는 일종의 ‘로봇 코드’를 넣어 단시간에 전세계 CCTV 화면을 찾아냈다.



CCTV로 쓰이는 IP카메라는 인터넷망을 통해 업체 네트워크 상으로 영상을 보낸다. 예전에는 CCTV 영상을 건물 내 관리실에 있는 테이프 등에 저장했지만, 요즘은 클라우드(Cloud)나 서버로 전송을 한다. 소비자들이 스마트폰으로 실시간 화면을 볼 수 있게 된 것도 이 때문이다. 더구나 IP카메라 업체도 한정돼있다. 힉비전과 포스캠, 링크시스, 파나소닉 등 주요 CCTV 업체의 네트워크는 구글을 통해서도 금세 찾을 수 있다. 네트워크 정보는 곳곳에 뿌려져 있고, 아이디와 비밀번호는 admin과 12345로 통일돼있던 셈이다.



이번처럼 7만개 넘는 영상을 모아둔 곳은 없었지만, IP카메라의 보안 문제는 수 차례 지적돼왔다. 2012년, 네트워크솔루션 업체인 ‘트렌드넷’의 카메라가 보안에 취약하다는 게 밝혀진 것을 시작으로 “IP카메라를 해킹했다”는 사례는 종종 보도됐다. 지난해 미국에서 열린 보안 컨퍼런스 '블랙캣(Blackcat)'에 참가한 한 해커도 "IP카메라의 소스가 모두 공개돼 있는데다 아이디와 비밀번호만 알면 충분히 들어가서 남의 일상을 지켜볼 수 있다. 해커들로선 매우 매력적인 아이템"이라고 했다. 그는 이 컨퍼런스에서 “아이디와 비밀번호를 바꾸는 건 물론 아이디 자체를 암호화하는 과정도 필요하다”고 주장했다.



인세캠 운영자는 홈페이지 전면에 “이 사이트는 보안 설정의 중요성을 알려주기 위해 만들어졌다”며 “이 사이트에서 당신의 개인 카메라 장면을 지우고 싶다면, 가장 먼저 당신 카메라의 비밀번호부터 바꾸라”고 밝혔다. IT 전문가인 이준행씨는 “집 CCTV 카메라의 아이디와 비밀번호를 초기 상태 그대로 방치한 건, 현관문 비밀번호를 1234로 해둬서 도둑이 쉽게 들어올 수 있게 한 것이나 다름없다”고 말했다.



유재연 기자 queen@joongang.co.kr



※기사 본문에서 언급된 CCTV는 인터넷을 통해 정보가 전달되는 감시카메라(Surveillance Camera)를 일컫는 것으로 '폐쇄회로TV'와는 다소 차이가 있다. 하지만 국내에선 이같은 감시카메라를 통칭 CCTV라 일컫는 경향이 있어 CCTV로 명칭을 통일했다.



 
공유하기

중앙일보 뉴스레터를 신청하세요!