반려동물용 IP 카메라 해킹해 주인 사생활 털었다

반려동물을 위해 주인이 설치한 IP카메라를 해킹해 주인의 사생활을 엿본 10명의 피의자가 2018년 10월 불구속 검 거되었다. 피의자 A씨 등 10명은 2014년부터 2018년 사이에 반려동물 사이트를 해킹하거나 중국산 해킹 소프트 웨어를 이용하여 가정집 등에 설치된 약 47만대의 IP카메라의 접속 정보를 탈취하고 5천대의 IP카메라에 4만회에 걸쳐 무단접속하여 피해자들의 민감한 사생활 장면을 녹화한 1.4테라바이트의 영상을 보관했다.

주 경로는 웹해킹을 통한 DB 유출

웹 제작 프리랜서인 피의자 A씨는 2012년부터 피해 사이트 회원으로 활동하던 중 우연히 자신의 IP카메라가 해킹 된 사실을 계기로 2014년부터 피해 사이트의 취약점을 알아내어 타인의 IP카메라에 침입하기 시작했다. 2018년 9 월에는 1만 5천명의 회원들이 가입되어 있는 피해사이트의 DB를 해킹해 회원들의 IP카메라 접속정보를 통째로 유출시켰다. 다른 피의자 9명은 인터넷 검색을 통해 해킹 프로그램이나 IP카메라 정보들을 입수해 타인의 카메라의 무 단접속했다고 진술했다.

피해 업체의 관리 소홀에 대한 후속 조치

회원 정보가 유출된 반려동물 사이트 운영업체는 전기통신사업법상 부가통신사업자 신고 없이 정보통신서비스를 제 공한 혐의로 입건되었다. 이들은 중국산 IP카메라에 국내 상표를 붙이고 해킹방지 프로그램을 장착했다며 허위광고 를 게시하였다. 개인정보 보호조치 의무 등 관리소홀 여부에 대해서는 방송통신위원회에 통보해 현재 조사가 진행 중이고 개인정보 유출 등 피해를 입은 이용자에게 통지될 수 있도록 조치할 예정이다.

경찰청 사이버 성폭력 수사팀은 방통위, 과기정통부, KISA와 2018년 10월 29일 IP카메라 관련 범죄 공동대응 및 예방을 위한 회의를 개최하는 한편 피의자들이 영상을 인터넷으로 유포했는지 여부에 대해서도 계속 수사할 계획이라고 밝혔다.

허술했던 피해 반려동물 사이트의 보안

이번 IP카메라 해킹 사건은 DB가 유출된 것도 문제이지만 유출된 DB가 그대로 IP카메라 접속에 이용되었다는 점에 서 질 낮은 수준의 보안 사고라고 추측할 수 있다. 비밀번호처럼 인증용으로 사용되는 데이터는 해시함수를 통해 암호화를 거쳐 DB에 저장하는 것이 상식이다. 해시함수의 특성상 암호문으로 평문을 추측하는 것은 불가능에 가깝고 같은 입력에는 항상 같은 결과값이 주어진다.

비밀번호 원문이 아닌 해시값을 저장하고 사용자 입력값의 해시값과 비교하여 인증하는 방식을 취하는 것만으로도 DB 유출에 의한 비밀번호 탈취는 예방할 수 있다. SQL 인젝션(보안상의 허점을 악용해 코드를 삽입하여 DB를 비정상적으로 조작하는 공격 기법)과 같은 웹해킹 공격에 의해 DB가 유출되더라도 비밀번호는 알 수 없기 때문이다. 대부분의 서버사이드 언어에는 해시함수가 내장되어 있어 따로 복잡한 코드를 작성할 필요 없이 코드 몇 줄만 고쳐도 웹사이트 자체의 취약점에 의해 비밀번호가 유출되는 일은 없다.

보안에 대한 기업의 책임

IoT가 우리 생활에 밀접하게 다가올수록 보안 이슈는 더 중요하다. 이제 보안 사고가 단순한 개인정보 탈취에 따른 금전적 손실을 넘어 한 사람 또는 가정의 사생활을 적나라하게 위협할 정도로 우리는 전자기기에 의존한다. 그만큼 보안에 대한 기업의 책임은 크다. 정보 보호를 위해 개인이 할 수 있는 일은 비밀번호 관리에 국한되어 있기 때문에 기업 차원에서 해킹 예방에 주의를 기울여야 한다.

정보보안에 대한 규제는 엄격해져야 한다

IP카메라 서비스를 제공한 업체가 허위광고로 소비자들을 우롱하고 간단한 보안 조치마저 취하지 않은 이번 사건은 정보보안에 대한 기업의 책임을 환기시킨다. 정부와 기업은 IoT 기기를 노리는 사이버 범죄 예방을 위해 발빠르게 움직여야 한다.

기업에게는 ISMS 인증이 강제되어야 하고 정보 보안에 소홀하여 보안사고가 발생한 기업은 엄중하게 책임을 물어야 한다. ISMS(Information Security Management System)란 정보보호를 위한 일련의 조치와 활동이 정해진 인증기준에 적합함을 증명하는 제도(용어 출처: 한국인터넷진흥원, KISA)를 가리키며 우리나라에서는 한국인터넷진흥원에서 인증을 담당한다.

금융과 IoT 서비스처럼 사용자의 민감한 개인정보를 관리하는 기업에서 비밀번호 유출과 같은 터무 니없는 보안사고가 일어나서는 안된다.

(작성자: 한양대학교 학생기자, 김유신)

댓글
읽어들이는 중...