[기고] 네트워크 관점에서의 IP CCTV (3) - 시큐리티 월드

*** 아래는 월간 시큐리티 월드 (2012년 12월 1일 발행 통권 191호 p.46)에 게재된 기고 내용입니다.

 

 

 

 

네트워크 관점에서의 IP CCTV (3)

 

 

IP기반 CCTV 보안의 필요성 : 네트워크부터 시작하는 IP CCTV 보안

그동안 두 번에 걸쳐 네트워크 관점에서의 IP CCTV에 대한 이야기를 해왔다. 첫 번째 연재에서는 네트워크 기반 IP CCTV의 득(得)과 실(失)에 대해서 이야기했고, 두 번쨰 연재에서는 IP CCTV에서 다양한 네트워크 보안 위협이 발생할 수 있는 것을 영화와 드라마를 예로 설명하였다. 그리고 이번에는 마지막 연재로, 두 번째 연재에서 나왔던 '보안 위협'을 네트워크 관점에서 어떻게 예방할 수 있는 지에 대해 이야기를 나누고자 한다.
최무석 ㅣ 한드림넷 기술지원팀 팀장 (tippingpoint@handream.net)

 

IP CCTV를 구축할 때 '우리 회사는 방화벽을 사용하고 있으니까 문제가 없다'고 생각하거나, '세계 점유율 1위 네트워크 제품을 사용하고 있으니까 문제없다'는 식의 사고는 대단히 위험하다.
오히려 어느 위치에 네트워크 제품을 설치했고, 그 제품에 어떤 기술을 적용했으며, 이를 어떻게 운영하는 지가 훨씬 더 중요한 요소이다. 이처럼 네트워크 기반 IP CCTV의 보안을 강화하기 위해 네트워크 관점에서 고려할 점은 어떤 것들이 있을까.

 

 

네트워크 기반 IP CCTV 보안 강화시 고려할 점

 

네트워크 구성

먼저 IP CCTV 네트워크는 다른 서비스와 구분시켜 독립적으로 구성할 것을 권장한다. 다른 네트워크와 구분하는 이유는 2가지 때문인데, 그 중 한 가지는 보안 때문이다. 인터넷과 연결되어 있지 않는 폐쇄망이나 다른 서비스와 구분되어 일반 사용자들이 접속할 수 있는 경로가 없는 것은 당연히 더 안전하다. 두 번째는 트래픽 문제다. IP CCTV는 특성상 실시간으로 대용량 트래픽을 전송해야 한다. 따라서 IP Telephony와 같은 다른 네트워크 서비스와 함께 사용할 경우 지연이나, 대역폭 부족 등 다양한 문제가 발생할 수 있어서 독립적으로 구성할 것을 권장한다.

그러나 이를 위해서는 물리적으로 모든 네트워크 장비 및 케이블을 서비스 별로 개별적으로 구성해야 하는 비용적인 문제가 발생할 수 있다. 이런 비용 이슈까지 보완하기 위해 네트워크 관점에서는 다음과 같은 솔루션을 제공한다. 한 가지는 가상화(VRF) 기술이다. 가상화 기술을 사용하면 물리적으로 하나의 네트워크 장비인데 논리적으로 2개 이상인 것처럼 구분할 수 있다. 서로 접속할 수 없게 구성함으로써 보안을 강화한 것이다. 두 번째 트래픽 관련 문제는 QoS(Quality of Service)로 대응할 수 있다. QoS를 잘 구현하면 CCTV 영상 트래픽을 우선 처리하거나, 대역폭을 제한해 사용할 수도 있다.

 

 

외부 보안

네트워크 보안장비도 없이 IP CCTV를 구성하는 것은 삼국지에 나오는 개문읍도(開門揖盜)라는 말처럼, 스스로 문을 열어 도둑을 맞이하는 것과 같다.
외부 인터넷과 연결할 때는 반드시 네트워크 보안 장비가 필요하다. 네트워크 보안장비 없이 인터넷과 연결해 IP CCTV를 구성한다면, 이는 사이트를 해킹하도록 방치하는 것과 같다. 인터넷과 연결되어 있다면 이전에는 방화벽 기능만 제공하는 장비를 요구했지만, 현재는 Virus Wall, IPS, DDoS 방지 기능까지 포함되어 있는 UTM(Unified Threat Management) 장비를 도입하는 것이 더 좋다. 또한, 지사에 있는 IP CCTV 영상을 본사에서 관리하기 위해서는 영상 트래픽을 모두 암호화해 전송하는 VPN 기능까지 포함한 UTM 장비가 요구된다.

  

내부 보안
외부에 보안 장비를 구축했다고 안심해서는 안된다. "외부의 적보다 내부의 적이 더 무섭다"는 말은 전쟁이나 조직에서 많이 쓰이지만 네트워크 분야에서도 많이 인용되며, IP CCTV도 역시 동일하다.
내부는 보안 솔루션이 많지 않고, 한 번 공격을 당하면 그 피해는 외부 공격보다 더 크다. 또한, 실제로 공격이 발생하고 있는지 확인도 쉽지가 않다. 내부에서 발생할 수 있는 보안 위협으로는 과다 트래픽 발생으로 인한 IP CCTV 서비스 중지와 ARP Spoofing 공격을 통한 영상 가로채기나 변조가 대표적인 공격이다.
이를 막기 위해서는 일반 스위치에서 가능한 보안 기능르 적절히 활용해야 한다. 즉, DHCP 환경에서는 DHCP Snooping, Dynamic ARP Inspection, IP Source Guard, Storm Control 등의 보안 기능을 활성화해야 한다. 아니면 특화된 보안 기능이 있는 보안 스위치를 활용해서 더 안전한 네트워크를 구축하는 것도 좋은 솔루션이다.

 

무선랜(Wireless LAN)

최근 IP CCTV를 구축할 때 케이블 포설이 어려운 곳이 많아서 무선랜을 많이 사용하고 있다. 하지만 무선랜은 사용에 있어 누구나 접속할 수 있기 때문에 항상 보안을 염두해야 한다. 예를 들면 무선 AP의 접근 식별자로 이용되는 SSID를 설정해 AP에 대한 접속을 제한한다. 이 때, SSID는 Broadcast되는 것을 막아서 보안을 더 강화하는 것이 좋다. 또한, 인증방식으로 MAC 정보를 통한 인증, 공유키 방식인 WEP 인증 및 인증서버를 통한 EAP 인증 등을 이용해 더욱 보안을 견고히 한 후, 무분별한 접근을 차단하고 불법 사용자의 접근을 제어해야 한다. 이처럼 다양한 방법을 통해 무선랜에 대한 보안을 다각도로 고려해야지만 무선랜 환경에서 IP CCTV가 해킹되는 것을 막을 수 있다.

 

접근 제어(Access Control)

접근제어는 말 그대로 관리자로부터 인증 받은 장비와 사용자만 IP CCTV 네트워크에 접근을 허용하는 방법이다. 넓은 뜻으로는 ID와 Password를 관리하는 것도 이 범주에 속한다.
가장 권장하는 방식은 인증서버를 두고 802.1x를 통해 인증하는 것이다. 이는 유선과 무선 모두에 해당되는 내용이다. 또한, 장비에 접속하려고 할 때 특정 IP에 대해서만 필터링을 설정하는 것도 좋은 접근 제어 방식이다.

 

Banner 및 Logging
Banner 및 Logging은 직접적인 IP CCTV에 대한 보안 방안은 아니지만 그 효과는 크다. 예를 들어서 해커가 네트워크 장비나 IP CCTV에 접속했을 때 Warning Message를 담고 있는 Banner룰 본다면 누구라도 접속을 망설일 것이다. 특히, 내용에 모든 접속관련 기록이 저장되고 침입 시 법적 책임을 질 수 있다는 문구가 포함되어 있으면 더욱 망설일 것이다. 또한, Logging 기능으로 누가 언제 접속을 시도했고 실패했다는 내용 등을 모두 저장한다면 이는 사후처리에 용이하다.

 

 

보안 강화의 현실적 어려움

앞에서 네트워크 기반의 IP CCTV를 구축할 때, 네트워크 관점에서 고려해야 하는 보안사항에 대해 알아봤다. 그러나 일반적으로 이를 구축하기에는 2가지의 현실적인 문제가 있다.
첫 번째는, 사업을 주관하는 담당 부서가 다르다는 것이다. CCTV는 대부분 회사에서 보안팀이나 시설관리팀 등에서 담당한다. 그리고 이와는 다르게 네트워크는 전산팀이나 IT팀에서  담당한다. 즉 부서가 다르다 보니, 전체적으로 IP CCTV 관련 사업을 설계, 구축, 운영하는데 문제가 발생한다.
두 번째는, 네트워크와 Voice에 대해서 동시에 알고 있는 전문 엔지니어가 부족하였다. 그러나 현재는 IP Telephony 분야는 많은 전문가가 생겨서 보안을 강화한 IP Telephony를 구축하는데 어려움이 적다. 그러나 아직 네트워크 기반의  IP CCTV 분야는 IP Telephony와 같은 수준에 미치지 못하고 있다.

 

 

최적의 IP CCTV 보안 강화 위해 노력 필요해

이러한 현실적인 어려움은 있지만, 첫 번째 연재에서 언급한 바와 같이 결론은 이미 정해져 있다. 향후 네트워크 기반의 IP CCTV가 더욱더 발전할 것은 명백하다. 따라서 IP CCTV를 더 안전하게 구축하기 위해서는 네트워크에 대한 정확한 이해와 IP CCTV의 특성을 잘 고려하여 최적의 보안을 적용해야 한다.
IP CCTV 구축 시에 네트워크부터 보안을 강화한다면, 틀림없이 우리의 삶을 더욱더 안전하게 만들어 줄 것이다. 반면에 네트워크에 대한 고려없이 무분별하게 IP CCTV만 구축한다면, 이는 오히려 부메랑이 되어 더 큰 위협으로 우리에게 날아올 것이다. 보안을 위해 설치한 IP CCTV가 오히려 보안을 위협하는 요소가 되는 웃지 못할 일이 벌어지는 것이다. 결국 그 선택은 여러분에게 달려 있다.