40만세대 사생활, 알몸까지 훔쳐봤다..구멍 3개 미리 막았더라면

임종철 디자이너 /사진=임종철 디자이너

지난해 말 해외 한 인터넷 사이트에 한국의 일반 가정집 내부 전경이 노출된 영상 수십만건이 공개돼 충격을 줬다. 모두 아파트 거실 벽에 설치된 월패드를 해킹해 주민의 일상을 불법 촬영한 것이다. 영상에는 TV를 보거나 식사하는 일상은 물론 거주자의 알몸이나 성관계 영상까지 담겼었다. 범인 잡아달라는 여론이 빗발치자 당국은 즉각 수사에 착수했다.

최근 경찰이 1년여간 수사끝에 체포된 해킹범 A는 놀랍게도 그동안 아파트 월패드의 보안취약점을 경고해온 보안 전문가로 드러났다. 경찰은 그에 대해 "자동화된 해킹 프로그램을 직접 제작하고 추적우회 수법과 보안 이메일 등을 자유롭게 사용히는 등 상당한 IT 보안 지식을 가졌다"고 평가했다.

그러나 보안 전문가들은 A의 전문성과 무관하게 우리 주변의 각종 IT기기에 노출된 헛점들이 그가 손쉽게 범행을 도모한 요인이 됐다고 지적한다. IoT(사물인터넷) 등을 활용해 생활 편의성을 높인 스마트홈 기기들이 일반화된 지 오래지만 사용자들의 낮은 보안 의식으로 인해 '구멍'이 많다는 지적이다.

━

① 프로그램 한번 돌리면 네트워크 보안 헛점들 줄줄이

━

가장 먼저 지목된 구멍은 바로 취약한 비밀번호다. 앞서 이번 해킹과 유사한 사고가 바로 2014년 벌어진 인세캠 사건'이다. 당시 러시아의 인세캠(INSECAM)이라는 사이트에서 전 세계의 7만3013개 CCTV(폐쇄회로TV)를 해킹해 동영상을 유출했다.

당시 털렸던 CCTV들은 인터넷에 연결된 IP카메라였다는 공통점이 있다. 공장 출고시 기본 설정된 아이디와 비밀번호를 그대로 사용한 CCTV였다. 이를테면 '1234' '0000' '1111' 등 기본 비밀번호를 그대로 쓴 경우가 대부분이었다.

게다가 현재 시중에는 IoT 기기의 취약점을 훑어주는 무료 프로그램도 적지않다. 2009년 출시된 쇼단(SHODAN)이 대표적이다. 인터넷에 연결된 라우터와 서버, 인터넷 전화, 웹캠 등의 정보를 수집해 취약점을 진단해준다. 이는 해커들에게 취약점을 알려주는 수단이된다.

한 법무법인 관계자는 "국내에서는 정보통신망법에 따라 인가받지 않은 자가 시스템 보안 취약점을 훑어보는 이른바 포트스캔(PORTSCAN) 자체가 불법으로 규정돼 있지만 쇼단 등 프로그램은 이미 시스템 취약점 진단 및 보완을 위해 널리 알려진 수단"이라며 "쇼단 검색만으로도 시스템 어디가 취약한지를 한 눈에 볼 수 있어 수준이 낮은 해커들도 손쉽게 정보를 얻을 수 있다"고 했다.

실제 이번 월패드 해킹범 A의 경우 추적 회피를 위해 식당이나 카페, 숙박업소 등 다중이용시설에 설치된 인터넷 공유기를 해킹해 범죄에 사용해온 것으로 조사됐다. 만약 이들 식당·숙박업소 등의 공유기 암호가 바뀌었더라면 그의 공격기반도 상당히 줄었을 것이라는 게 보안 전문가들의 공통된 지적이다.

(서울=뉴스1) 이광호 기자 = 경찰청 국가수사본부(사이버수사국)는 국내 다수의 아파트 거실에 설치된 월패드에 침입해 거실 등 아파트 내부 공간을 몰래 촬영한 영상 일부를 해외 인터넷 사이트에 게시해 판매하려 한 피의자를 검거했다고 20일 밝혔다. 사진은 피의자 압수물. 2022.12.20/뉴스1 Copyright (C) 뉴스1. All rights reserved. 무단 전재 및 재배포 금지.

━

② 아파트 중앙관리서버 보안망도 취약... "점검 사각지대"

━

다수 아파트 단지의 중앙관리서버의 허술한 보안 시스템도 이번에 드러난 취약점의 하나다. 월패드는 아파트 단지내 세대간 통화나 현관 방문자 확인 등 목적 외에도 전등 조명제어나 보일러 온도 제어, 환기 등 목적으로 쓰이며 웹캠도 달려 있다. 해킹범 A는 이같은 월패드 보안 시스템의 취약점을 노려왔고 중앙관리서버를 타깃삼았다. 아파트 월패드는 세대간 분리가 되지않아 해킹 한번에 전 세대의 월패드 카메라 통제권이 모조리 해커의 손에 들어간 셈이다.

국내 사이버보안 업체 소속 화이트해커는 "퇴근 전에 미리 난방을 켜둔다거나 조명을 켜는 등 생활 편의성을 높이기 위해서는 월패드와 연결된 중앙관리서버가 인터넷에 연결돼 있어야 한다"며 "건설사마다 차이가 있지만 시스템 구조가 유사해 한번 뚫리면 다른 아파트 단지까지 연쇄적으로 뚫릴 수 있다"고 지적했다.

이 관계자는 "아파트의 경우 금융사나 일반기업체와는 비교할 수 없을 정도로 보안수준이 매우 미흡하다"며 "시공하는 대형 건설사가 하도급 업체에 보안시스템을 맡기고 이후에도 꼼꼼히 챙기지 않기 때문에 앞으로도 해커들이 침입할 여지가 크다"고 지적했다. 이와관련 정부는 부랴부랴 아파트 월패드의 세다간 망분리를 위한 기술, 제도개선에 나섰지만 여전히 기존 구축 아파트들에대해서는 보안점검 강화외엔 뚜렷한 해법이 없는 상태다.

━

③ 가정내 월패드 기본 패스워드도 구멍

━

전국 40만여 아파트 가구 월패드를 해킹한 피의자는 경찰 추적을 피하기 위해 다중이용시설 무선공유기를 해킹해 이를 통해 아파트 중앙관리서버에 침투, 개별 가구의 월패드에 침입한 것으로 나타났다. 사진은 경찰이 정리한 이번 사건의 개요도 /사진제공=경찰청 국가수사본부 사이버수사국 사이버테러대응과

해커가 외부 공유기를 통해 아파트 중앙관리서버를 공격하고, 이를 통해 개별 가구에까지 접근할 수 있었다 해도 집마다 월패드 아이디와 비밀번호를 바꿨더라면 이번과 같은 대규모 해킹은 불가능했을 것이라는 지적도 나온다.

A사 관계자는 "아파트 가구에서도 최초 세팅된 기본 아이디와 비밀번호를 그대로 사용하는 경우가 많다"며 "주기적인 비밀번호 변경만으로도 해커의 추가적 공격 의도를 막는 데 큰 효과가 있다"고 했다.

그는 이어 "스마트홈 기기 등의 경우는 펌웨어 업그레이드 패치만으로도 상당 부분의 보안 취약점을 막을 수 있다"면서도 "다만 중국산 일부 스마트홈 기기들은 펌웨어 업그레이드 등이 불가능한 경우도 많아 사용자들의 주의가 필요하다"고 했다.

한편 경찰은 이번에 체포한 피의자의 수법을 과학기술정보통신부, 개인정보보호위원회 등 정부부처와 KISA(한국인터넷진흥원) 등에 전달해 '홈네트워크 보안가이드'에 반영할 수 있도록 헸다.

경찰은 "아파트 등 공동주택 네트워크 보안을 위해 장비 제조업체, 아파트 중앙관리서버 관리자(업체), 세대 내 월패드 이용자 모두 각각의 보안 수칙을 준수해야 한다"며 "식당, 카페, 숙박업소 등 다중이용시설 등에 설치된 무선공유기 운영자, 주택·가정내 설치된 개인 무선공유기 이용자들도 반드시 관리자 계정 및 와이파이 접속 비밀번호를 재설정해 범죄에 악용되지 않도록 해달라"고 당부했다.

황국상 기자 gshwang@mt.co.kr

<저작권자 ⓒ '돈이 보이는 리얼타임 뉴스' 머니투데이, 무단전재 및 재배포 금지>