40만세대 사생활, 알몸까지 훔쳐봤다..구멍 3개 미리 막았더라면
지난해 말 해외 한 인터넷 사이트에 한국의 일반 가정집 내부 전경이 노출된 영상 수십만건이 공개돼 충격을 줬다. 모두 아파트 거실 벽에 설치된 월패드를 해킹해 주민의 일상을 불법 촬영한 것이다. 영상에는 TV를 보거나 식사하는 일상은 물론 거주자의 알몸이나 성관계 영상까지 담겼었다. 범인 잡아달라는 여론이 빗발치자 당국은 즉각 수사에 착수했다.
최근 경찰이 1년여간 수사끝에 체포된 해킹범 A는 놀랍게도 그동안 아파트 월패드의 보안취약점을 경고해온 보안 전문가로 드러났다. 경찰은 그에 대해 "자동화된 해킹 프로그램을 직접 제작하고 추적우회 수법과 보안 이메일 등을 자유롭게 사용히는 등 상당한 IT 보안 지식을 가졌다"고 평가했다.
그러나 보안 전문가들은 A의 전문성과 무관하게 우리 주변의 각종 IT기기에 노출된 헛점들이 그가 손쉽게 범행을 도모한 요인이 됐다고 지적한다. IoT(사물인터넷) 등을 활용해 생활 편의성을 높인 스마트홈 기기들이 일반화된 지 오래지만 사용자들의 낮은 보안 의식으로 인해 '구멍'이 많다는 지적이다.
당시 털렸던 CCTV들은 인터넷에 연결된 IP카메라였다는 공통점이 있다. 공장 출고시 기본 설정된 아이디와 비밀번호를 그대로 사용한 CCTV였다. 이를테면 '1234' '0000' '1111' 등 기본 비밀번호를 그대로 쓴 경우가 대부분이었다.
게다가 현재 시중에는 IoT 기기의 취약점을 훑어주는 무료 프로그램도 적지않다. 2009년 출시된 쇼단(SHODAN)이 대표적이다. 인터넷에 연결된 라우터와 서버, 인터넷 전화, 웹캠 등의 정보를 수집해 취약점을 진단해준다. 이는 해커들에게 취약점을 알려주는 수단이된다.
한 법무법인 관계자는 "국내에서는 정보통신망법에 따라 인가받지 않은 자가 시스템 보안 취약점을 훑어보는 이른바 포트스캔(PORTSCAN) 자체가 불법으로 규정돼 있지만 쇼단 등 프로그램은 이미 시스템 취약점 진단 및 보완을 위해 널리 알려진 수단"이라며 "쇼단 검색만으로도 시스템 어디가 취약한지를 한 눈에 볼 수 있어 수준이 낮은 해커들도 손쉽게 정보를 얻을 수 있다"고 했다.
실제 이번 월패드 해킹범 A의 경우 추적 회피를 위해 식당이나 카페, 숙박업소 등 다중이용시설에 설치된 인터넷 공유기를 해킹해 범죄에 사용해온 것으로 조사됐다. 만약 이들 식당·숙박업소 등의 공유기 암호가 바뀌었더라면 그의 공격기반도 상당히 줄었을 것이라는 게 보안 전문가들의 공통된 지적이다.
국내 사이버보안 업체 소속 화이트해커는 "퇴근 전에 미리 난방을 켜둔다거나 조명을 켜는 등 생활 편의성을 높이기 위해서는 월패드와 연결된 중앙관리서버가 인터넷에 연결돼 있어야 한다"며 "건설사마다 차이가 있지만 시스템 구조가 유사해 한번 뚫리면 다른 아파트 단지까지 연쇄적으로 뚫릴 수 있다"고 지적했다.
해커가 외부 공유기를 통해 아파트 중앙관리서버를 공격하고, 이를 통해 개별 가구에까지 접근할 수 있었다 해도 집마다 월패드 아이디와 비밀번호를 바꿨더라면 이번과 같은 대규모 해킹은 불가능했을 것이라는 지적도 나온다.
A사 관계자는 "아파트 가구에서도 최초 세팅된 기본 아이디와 비밀번호를 그대로 사용하는 경우가 많다"며 "주기적인 비밀번호 변경만으로도 해커의 추가적 공격 의도를 막는 데 큰 효과가 있다"고 했다.
그는 이어 "스마트홈 기기 등의 경우는 펌웨어 업그레이드 패치만으로도 상당 부분의 보안 취약점을 막을 수 있다"면서도 "다만 중국산 일부 스마트홈 기기들은 펌웨어 업그레이드 등이 불가능한 경우도 많아 사용자들의 주의가 필요하다"고 했다.
한편 경찰은 이번에 체포한 피의자의 수법을 과학기술정보통신부, 개인정보보호위원회 등 정부부처와 KISA(한국인터넷진흥원) 등에 전달해 '홈네트워크 보안가이드'에 반영할 수 있도록 헸다.
경찰은 "아파트 등 공동주택 네트워크 보안을 위해 장비 제조업체, 아파트 중앙관리서버 관리자(업체), 세대 내 월패드 이용자 모두 각각의 보안 수칙을 준수해야 한다"며 "식당, 카페, 숙박업소 등 다중이용시설 등에 설치된 무선공유기 운영자, 주택·가정내 설치된 개인 무선공유기 이용자들도 반드시 관리자 계정 및 와이파이 접속 비밀번호를 재설정해 범죄에 악용되지 않도록 해달라"고 당부했다.
황국상 기자 gshwang@mt.co.kr
<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>
Copyright © 머니투데이 & mt.co.kr. 무단 전재 및 재배포, AI학습 이용 금지
- 박수홍 "아내 10만원짜리 드레스 입고 웨딩사진" 파리 촬영 비하인드 - 머니투데이
- '41세' 송혜교, 무보정 사진·영상 삭제 요구?…논란 진실은 - 머니투데이
- "파혼 복수" "소개팅" 나솔 11기 영숙의 폭로 또 폭로…상철 SNS 폐쇄 - 머니투데이
- 후크엔터 "이승기 광고비 편취 사실 아냐…여론몰이 유감" - 머니투데이
- "시세차익 330억원"…이효리 제친 '재테크 황제'는 누구? - 머니투데이
- 수현, 이혼 발표 후 첫 공식 석상…"늘 촬영장 가는 게 즐거웠다" - 머니투데이
- 김여정, 북한 핵시설은 눈감고…미국 핵잠수함 부산 기항에 '발끈' - 머니투데이
- 출산하다 식물인간→정신연령 7살 된 아내…남편 "시설 못 보내" 오열 - 머니투데이
- "대출 안 나와요?" 둔촌주공 분양자 발동동…10월 '패닉셀' 쏟아지나 - 머니투데이
- 목 조르고 바람까지 피웠는데 "남친 못 잊어"…서장훈 따끔한 한마디 - 머니투데이