집이나 사업장 등에 설치된 IP카메라 12만여대를 해킹해 성 착취물을 제작·판매한 범행이 적발되면서 IP카메라 보안 취약점이 수면 위로 떠올랐다. 해킹된 IP카메라는 아이디와 비밀번호가 기본 설정값이거나 ‘1234’ ‘abcd’ 등으로 단순해 탈취에 별다른 어려움이 없었던 것으로 나타났다. 이에 정부가 병원 수영장 산후조리원 등에 설치되는 IP카메라는 보안인증을 받도록 의무화하는 방안을 추진하기로 했다. 네트워크 보안을 강화하기 위해 통신사의 책임도 강화한다.
과학기술정보통신부 개인정보보호위원회 경찰청 등 관계부처는 지난해 11월 발표한 IP카메라 보안 강화 방안의 후속 대책을 수립해 추진한다고 7일 밝혔다. IP카메라의 제조·유통·이용 단계에 집중됐던 보안 대책을 해킹 피해 방지 방안으로 확대하는 내용이다.
정부는 우선 IP카메라의 네트워크 보안을 책임지는 주체 중 하나로 통신사를 꼽았다. IP카메라 해킹에는 제조사뿐 아니라 인터넷망을 제공하는 통신사의 책임도 있다는 취지다. 정부는 해킹된 12만여대 카메라의 IP를 통신사에 공유하고 통신사를 통해 이용자에게 아이디와 비밀번호 변경 등을 권고하고 있다. 기업용 상품 가입자나 다중이용시설 사업장 등을 대상으로 IP카메라 보안수칙도 안내한다. 통신사와 함께 IP 이용자 정보를 분석해 피해가 집중된 주요 업종을 확인하는 작업도 진행 중이다.
생활 밀접시설의 IP카메라는 보안인증을 받은 제품을 사용하도록 의무화하는 법안도 추진된다. 제품 설계 단계에서부터 복잡한 비밀번호 설정 기능 등을 탑재하도록 규제하는 것이다. 지금까지는 복잡한 비밀번호를 쓰도록 유도하거나, 비밀번호를 여러 번 잘못 입력했을 때 접속을 차단하는 기본적인 보안 시스템도 갖추지 않은 경우가 많았다. 지난 10월 실태조사 결과를 보면 해킹 방지를 위한 보안 조치를 필수적으로 수행하는 IP카메라 설치업체 역시 59.0%에 불과했다. 또 IP카메라의 비밀번호를 직접 설정하는 이용자는 81.0%, 최근 6개월 이내 비밀번호를 변경한 경우는 30.8%에 그친 것으로 조사됐다.
다만 비밀번호를 복잡하게 만들도록 하는 것이 근본적 대책은 되기 어렵다는 지적이 나온다. 중국 등 해외에서 제조돼 판매하는 제품에 적용하기 어렵다는 문제도 있다. 임종인 고려대 정보보호대학원 명예교수는 “비밀번호를 복잡하게 설정한다고 해서 유출을 막을 수 있는 건 아니다”라며 “IP카메라같이 해킹에 민감한 기기의 경우 판매 전 제품 등록을 할 때부터 보안 규정을 적용하는 것이 필요하다”고 말했다.
심희정 기자 simcity@kmib.co.kr