[기고] 네트워크 관점에서의 IP CCTV (2)

 

*** 아래는 월간 시큐리티 월드 (2012년 11월 1일 발행 통권 190호 p.33 )에 게재된 기고 내용입니다.

 

 

네트워크 관점에서의 IP CCTV (2)

 

 

IP기반 CCTV의 보안위협 : 영화가 현실이 될 수 있다.

첫번째 연재에서는 아날로그 CCTV에서 IP CCTV로 진화되면서 네트워크 기반의 IP CCTV에 대한 정확한 이해와 이로 인한 득(得)과 실(失)에 대해서 설명했다. 그리고 이번 두 번째 연재에서는 실생활과 밀접하게 연관되어 있는 IP CCTV 보안 위협에 대해 영화를 통해서 설명하고자 한다.

최무석 ㅣ 한드림넷 기술지원팀 팀장 ( tippingpoint@handream.net)

 

개인적으로 기술(Technology)을 담당하고 있지만, 기술보다 더 앞서는 것은 예술(Art)이라고 생각한다. 이는 IP CCTV도 마찬가지이다. CCTV 해킹 기술(Technology)은 최근에 만들어졌으나, CCTV 해킹을 소재로 하는 영화(Art)는 오래 전부터 제작되었고, 이제는 TV 드라마나 영화에서 CCTV 해킹이 나오면 식상하다고 느낄 정도다. 그런데 정말로 영화처럼 CCTV를 해킹할 수 있는 걸까?

 

CCTV 해킹의 위험성
지난 9월 24일 '영화가 현실로, CCTV 실시간 범죄추적 시스템'이라는 내용이 KBS 뉴스에서 방영되었다. 방송은 범죄자가 군중들 사이로 숨어들자 곳곳에 설치된 CCTV를 통해서 범죄자의 위치를 확인해 현장 요원들이 범인을 검거했다는 내용이었다. 실제로 영화에서도 많이 나왔던 내용이다. 필자는 이 뉴스를 본 후 두 가지 두려움을 느겼다. 첫 번째는 '그럴 일은 없겠지만 만약 국가 기관에서 나를 감시한다면 얼마나 두려울까'라는 생각이 들었다. 또한, 피하고 싶어도 절대로 피할 수 없다는 무력감도 느껴졌다. 다른 한 가지는 '만약 CCTV 네트워크가 해킹을 당해서 악용된다면 그 피해는 얼마나 클까'라는 두려움이었다. 사생활 침해부터 스토킹, 그리고 유괴에 이르기까지 너무 큰 피해가 발생할 것이다.
실제로 이런 상황을 그린 영화도 있다. 모두 오래된 영화이지만 개인적으로 상당히 재미있게 본 영화인데, 바로 'The Bourne Identity'와 'Enermy of the State'다. 두 영화에서는 거대적 조직(빅브라더)이 주인공이 어디에 있든 CCTV와 위성을 사용해 주인공을 감시한다. 길거리에 있든, 건물에 있든 버스나 지하철을 타든 모든 곳에서든 주인공을 감시한다. 추적을 따돌렸다고 생각하더라도 어김없이 다시 CCTV가 포착해 낸다. 이런 시스템이 해킹돼서 범죄에 악용된다면 정말 무서운 일이 일어날 것이다.

 

드라마나 영화에서의 CCTV 해킹
영화나 드라마에서 나타난 CCTV 해킹 유형을 분석해 네트워크 기반 IP CCTV의 위험성을 살펴보자. CCTV 해킹은 아주 오래 전처럼 단순하게 케이블을 전달하는 수준이나, 기본적으로 사용하는 패스워드를 사용하여  IP Camera에 접근하는 단순한 방법이 아니다.
CCTV 해킹을 소재로 하는 영화는 많이 있다. 대부분 첩보물이나 도둑이 주인공인 영화인데, 'Mission Impossible 4'나 '다이하드 4'에서는 CCTV 네트워크를 해킹해 해당 장소의 영상을 확인하 이후에 침투한다. 'National Treasure'에서는 CCTV 영상을 탈취하고, 'Password'에서는 다른 영상으로 대체한 후 침입한다.
요즘은 국내 드라마도 대형화되고 소재도 다양화되면서 CCTV 해킹도 많이 다루고 있다. '아이리스'에서는 CCTV 이미지를 삭제하고, '시티헌터'에서는 CCTV를 멈춘 후 침입한다. 그리고 '유령'에서는 CCTV 영상을 복사하는 등 수 많은 드라마나 영화에서 CCTV 해킹을 직·간접적인 소재로 다루고 있다.
영화나 드라마에 나온 CCTV 해킹을 유형별로 정리하면 5가지로 구분할 수 있는데, 모두 네트워크와 관련되어 있다.

 

1. CCTV 시스템에 접근하여 영상을 몰래 보는 행위
이는 2가지 방법으로 가능하다. 한 가지는 IP Camera가 웹 기반으로 동작하므로 비밀번호 정보만 해킹한다면 쉽게 접속할 수 있다. 만약 비밀번호를 변경하지 않고 기본 비밀번호를 사용한다면, 이는 문을 열어 놓고 도둑을 맞이하는 격이다. 두 번째는 관제시스템을 해킹하여 관제시스템에 보이는 영상을 해커 자신도 동일하게 보는 방법이다.

 

2 IP CCTV 화면을 멈추는 행위
이는  IP Camera에 대용량의 트래픽을 전송하면, 화면을 전송할 수 없게 만들 수 있다. 즉 DDoS 트래픽을 보내면 IP Camera는 영상을 보내거나 제어할 수 없게 된다. 간단한 방법으로 해당 네트워크에서 허브만 1개 연결하고 그 상태에서 케이블을 서로 연결해 루핑만 만든다면, 전체 네트워크를 다운시켜서 IP CCTV를 포함한 모든 서비스를 중지시킬 수도 있다. 실제로 이러한 과다 트래픽이나 DDoS 트래픽을 전송하는 툴은 인터넷에서 쉽게 구할 수 있다.

 

3. CCTV 기록 삭제
이는 저장장치를 해킹하는 행위다. IP Camera가 아닌 DVR이나 NVR계정을 탈취, 원하는 시간대의 기록을 삭제하는 것이다.

 

4. 실시간으로 다른 영상으로 대체하는 행위
ARP Spoofing 공격을 통해 자신의 PC로 모든 영상정보가 저장되도록 할 수 있다. 이러한 ARP Spoofing이나 IP Spoofing 공격을 통해서 다른 영상으로 대체하는 것이 가능하다. 실제로 ARP Spoofing 툴도 인터넷에서 쉽게 구할 수 있다.

 

5. 지정된 영상을 다른 영상으로 대체하는 행위
이 공격도 저장장치를 해킹하는 행위이다. CCTV 기록을 삭제하는 것과 마찬가지로 계정만 얻는다면 원하는 시간대의 기록을 얼마든지 삭제할 수 있다.

사실 글을 쓰고 있는 필자도 영화에서와 같이 USB만 장착해서 해킹을 하라고 하면 할 수 없다. 이는 전문적인 해커나 개발자 수준이 되어야지 가능한 일다. 그러나 실제로 IP Camera를 멈추게 하는 것은 지금 이 순간에도 얼마든지 가능하다. 테스트를 위해 현재 회사에 있는 IP 주소를 스캔한 후, MAC 주소 정보를 통해 IP Camera를 확인하고, 그 후에 IP Camera로 과다한 트래픽을 보냈더니 바로 IP Camera 영상이 멈추는 것을 확인할 수 있었다. 불과 5분도 걸리지 않은 작업이다. 스캔하고 과다한 트래픽을 보내는 프로그램은 인터넷에서 누구나 쉽게 구할 수 있는 프로그램이다. 그 방법은 한 시간 이내에 누구든지 배울 수 있을 정도로 간단하다.

 

 

완벽한 네트워크 보호망 갖춰야
필자는 네트워크를 구성할 때 담당자로부터 종종 다음과 같은 얘기를 듣는다. "우리 네트워크는 폐쇄망이라서 안전합니다." IP CCTV 네트워크를 구축할 때도 이런 얘기를 들었다. 하지만 이 말의 위험성은 상상할 수도 없다. CCTV 네트워크는 인터넷과 연결되어 있지 않은 폐쇄망이니까 별도의 보안이 필요하지 않다는 내용인데, 이는 역으로 해석하면 해당 네트워크에 연결만 할 수 있다면, 모든 것을 다 할 수 있다는 의미다. 해당 네트워크에서 케이블을 연결해 IP 공유기나 무선 AP를 붙일 수만 있다면 나는 어디에서든지 CCTV 네트워크에 접근할 수 있다. 물론 폐쇄망이라서 별도의 추가적인 보안 기능을 구축하지 않았을 경우에 가능한 일이다. 실제로 영화에서도 대부분 CCTV 네트워크는 폐쇄망이었으나 이를 USB나 기타 다른 방법으로 연결하여 해킹한 사례였다.
이 글에서 말하고 싶은 것은 CCTV 해킹 방법을 소개하고, CCTV를 해킹하라는 것이 아니다. 첩보 영화에서처럼 멋진 남자 배우가 좋은 용도로 CCTV 해킹을 하는 것이 아니다. 내 주위의 CCTV가 해킹되어 나의 사생활이 노출된다면 얼마나 끔찍하겠는가? 한 가지 영화를 더 예로 들고자 한다. 국내 영화로서 '미확인 동영상'이라는 영화다. 다른 영화와 다르게 이 영화는 첩보물이 아닌 공포영화로 CCTV 해킹이 직접적인 소재다. 이 영화에서 CCTV가 해킹된 후 등장인물들은 CCTV카메라만 보더라도 두려움을 느낀다. 영화를 보고 나온 사라들도 대두분 비슷한 생각을 하였을 것이다. 그 만큼 CCTV가 해킹되었을 때 그 폐해성은 크다.
IP CCTV 네트워크를 구성할 때는 CCTV가 가지는 장점만을 부각할 것이 아니라 CCTV 자체에 대한 보안도 함께 고려하여야 한다. 물리적 보안부터, 네트워크 보안, 시스템 보안 등 다양한 분야의 보안이 포함되어야 한다.
마지막으로 정리하면, 이 글은 '영화가 현실이 될 수 있다'라는 제목으로 시작했다. 이 제목은 이제 '영화는 현실이다'로 변경되어야 한다. 그 만큼 현실에서 쉽게 CCTV 해킹이 이루어질 수 있으므로 보안을 중요시해야 한다는 의미이다. 다음 글에서는 이러한 보안 위협을 네트워크에서 어떻게 막을 수 있는지에 대해 논의할 것이다.

 

 

 ----------------------------------------------------------------------------------------------------

 *** 첨부된 파일을 통해 원본 내용을 확인하실 수 있습니다.

 

20121100_SecurityWorld_gigo.pdf