CCTV 정보, 마음만 먹으면 쉽게 뚫린다

영남이공대 보안센터 시연, 대부분 비번 변경 안해 저장 삭제 조작 등 가능

12일 오후 영남이공대 보안관제센터에서 사이버보안학과 교수들이 인터넷으로 접근해 보안인증이 노출된 미국 하와이와 일본 신토쿠 지역의 CCTV를 원격조정하는 모습을 보여주고 있다. 정운철 기자 woon@msnet.co.kr

12일 오후 영남이공대 사이버보안학과 보안관제센터. 이 학과 이종락 교수가 인터넷 검색을 통해 한 CCTV 제조업체의 IP 주소와 디폴트 패스워드(초기 설정 비밀번호)를 쉽게 알아냈다.

이어 제조업체의 인터넷 주소를 입력했더니 수없이 많은 해당 업체 CCTV 관련 사이트가 나왔다.이 교수가 사이트에 접속해 IP 주소와 디폴트 패스워드를 입력했더니 모니터에 CCTV 화면이 떴다. 이 과정을 거치는 데 걸린 시간은 불과 10분 정도.

그는 "불특정 지점의 CCTV 경우 일반인들도 쉽게 해킹할 수 있으며, 특정 지점의 CCTV도 어느 정도 전문 지식만 갖고 있으면 충분히 해킹이 가능하다"고 했다.

최근 신용카드사와 이동통신사 등의 개인정보 유출사고로 인해 해킹이 사회문제가 되는 가운데 일상에서 쉽게 접할 수 있는 CCTV도 해킹에 무방비로 노출되고 있다. 즉 누군가 마음만 먹으면 개인 영상정보를 빼내거나 특정 영상의 저장'삭제'조작도 가능해 증거 인멸 및 조작 등 범죄행위를 저지를 수 있다.

예를 들어 그래픽 프로그램을 이용해 이미지 파일을 조작하면 실제 없는 사림이나 물체를 현장에 있는 것처럼 꾸밀 수 있다. 또 영상이 삭제됐을 때 복원은 가능하지만 삭제됐다는 사실을 알아채야 하고 복원하기까지 시간도 많이 걸리는 어려움이 있다.

안전행정부에 따르면 지난해 말 기준 전국에 약 400만 대의 CCTV가 설치된 것으로 추정된다. 공공부문 CCTV가 약 40만 대, 기업이나 개인 등이 방범을 목적으로 설치한 민간부문 CCTV가 약 360만 대에 이른다는 것. 국가인권위원회는 국내 CCTV 설치 대수가 해마다 11% 정도 늘고 있다고 밝혔다.

이처럼 CCTV가 보편화되고 있지만 보안은 취약하다. 요즘 CCTV는 과거 케이블에 연결한 폐쇄형 제품이 아니라 네트워크로 연결돼 컴퓨터나 스마트폰으로 영상을 볼 수 있는 제품이 대부분이다. 공공부문 CCTV는 자체 방화벽이 설치돼 있어 그나마 해킹 위험이 덜하다. 하지만 국내에 설치된 CCTV의 90% 정도를 차지하는 민간용의 경우 보안 시스템이 허술해 누군가가 해킹을 통해 무단으로 영상을 볼 수 있다.

보안업계 관계자는 "일반적으로 관리자가 비밀번호를 설정하지만 패스워드 크랙 프로그램을 통해 비밀번호를 찾을 수 있다. 게다가 민간 CCTV의 70~80%는 초기 비밀번호를 그대로 사용하고 있어 인터넷 검색만으로 쉽게 알아낼 수 있다"고 했다. 전문가들은 가이드라인 수준으로 취약한 CCTV 관련 규정을 강화해야 한다고 지적했다.

이 교수는 "개인정보보호법 내 '공공기관 및 민간분야 영상정보처리기기 설치'운영 가이드라인'은 설치 기준과 용도 규정만 명시했을 뿐이다. CCTV 영상 화면의 관리나 처리 등에 대한 구체적'세부적 지침이 없다"며 "또한 일반인은 CCTV 비밀번호를 자주 바꿔 해킹 위험을 최소화해야 한다"고 했다.