preLoad Image preLoad Image
검색 바로가기
주메뉴 바로가기
주요 기사 바로가기
다른 기사, 광고영역 바로가기
중앙일보 사이트맵 바로가기
닫기
닫기

침실·수영장 … 전 세계 CCTV 7만3000대 누구나 본다

8일 오전 11시부터 오후 2시 사이에 인세캠 사이트에서 캡처한 한국 서울시내 CCTV 영상들. 헬스클럽(왼쪽 상단)부터 공연장, 사무실, 가정집, 피부관리실, 강습소 등 다양한 장소의 CCTV가 해킹된 것으로 나타났다.
전 세계에 설치된 CCTV 7만3013개가 해킹됐다.

구입 후 비밀번호 안 바꿔 쉽게 해킹 … 한국도 6000여 개 무방비 노출

 해킹된 CCTV 화면은 익명의 설립자가 개설한 ‘인세캠’ 사이트(insecam.com)를 통해 최근 공개됐다. 8일 중앙SUNDAY가 확인한 결과 한국에서는 모두 6536개 장소에 설치된 CCTV가 뚫렸다. 미국(11046개)에 이어 두 번째로 많은 숫자다. 중국(4770개), 멕시코(3359개), 프랑스(3285개)가 뒤를 이었다. 북한은 목록에 없었다.

 공개된 CCTV는 모두 인터넷에 연결된 IP(인터넷프로토콜)카메라다. 컴퓨터에 내장된 웹캠은 포함되지 않았다. 해킹된 IP카메라들은 모두 공장 출고 당시의 아이디와 비밀번호를 바꾸지 않은 것들이었다.

 공개된 장소는 가정집과 공연장, 사무실, 공장, 수퍼마켓, 미용실, 헬스클럽, 수영장, 카페, 피부관리실 등 다양하다. 집 침대를 바로 비추는 화면도 있고, 하체 비만관리를 받는 남성들이 침대 위에 엎드려 있는 모습도 생생하게 나와 있다. 전통춤 학원에서는 여성들이 부채춤을 배우는 모습도 잡혔다. 건물 밖을 향해 설치한 CCTV는 대문 앞 골목을 비추고 있다. 카메라의 해상도가 높을수록 사람들의 얼굴도 뚜렷하게 보였다.

 사이트에는 CCTV가 설치된 위도와 경도도 나와 있다. 구글 맵을 이용해 해당 위치를 추적할 수도 있다. 다만 한국은 CCTV에 좌표를 입력하는 경우가 적어 정확한 곳을 알긴 어렵다. 서울·안동·제주와 같이 도시명만 나와 있다.

 실시간 동영상이지만 해외 인터넷망을 경유하는 탓에 우리나라에선 정지화면처럼 보여지거나 실제 화면이 뜨지 않는 곳도 많았다. 하지만 고해상도 카메라가 설치된 곳에서는 어떤 일이 벌어지는지 충분히 알 수 있다. 사용자가 몰리면서 사이트 접속이 원활하지 않아 공공기관 등 주요 국가시설의 CCTV까지 공개됐는지는 확인할 수 없었다.

 해킹 원리는 간단하다. 인세캠 운영자는 사용자들이 CCTV를 구입한 뒤 아이디와 비밀번호를 대부분 변경하지 않는다는 점에 착안했다. 공개된 CCTV들은 아이디가 admin, 비밀번호는 12345 또는 admin이었다. 처음 기기를 구입했을 때의 초기값이다.

 이후 과정은 CCTV 사용자가 집에 설치해둔 카메라의 화면을 스마트폰 앱을 통해 들여다보는 것과 같은 방식이다. 아이디와 비밀번호를 이용해 카메라 업체가 제공하는 네트워크에 우회 접속한 셈이다. 방대한 양을 소화하기 위해 인세캠 운영자는 일종의 ‘로봇 코드’를 넣어 단시간에 전 세계 CCTV 화면을 찾아냈다.

 CCTV로 쓰이는 IP카메라는 인터넷망을 통해 업체 네트워크상으로 영상을 보낸다. 예전에는 CCTV 영상을 건물 내 관리실에 있는 테이프 등에 저장했지만, 요즘은 클라우드(Cloud)나 서버로 전송을 한다. 소비자들이 스마트폰으로 실시간 화면을 볼 수 있게 된 것도 이 때문이다. 더구나 IP카메라 업체도 한정돼 있다. 힉비전과 포스캠, 링크시스, 파나소닉 등 주요 CCTV 업체의 네트워크는 구글을 통해서도 금세 찾을 수 있다. 네트워크 정보는 곳곳에 뿌려져 있고, 아이디와 비밀번호는 admin과 12345로 통일돼 있던 셈이다.

 이번처럼 7만 개 넘는 영상을 모아둔 곳은 없었지만 IP카메라의 보안 문제는 수차례 지적돼왔다. 2012년 네트워크솔루션 업체인 ‘트렌드넷’의 카메라가 보안에 취약하다는 게 밝혀진 것을 시작으로 “IP카메라를 해킹했다”는 사례는 종종 보도됐다. 지난해 미국에서 열린 보안 콘퍼런스 ‘블랙캣(Blackcat)’에 참가한 한 해커도 “IP카메라의 소스가 모두 공개돼 있는 데다 아이디와 비밀번호만 알면 충분히 들어가서 남의 일상을 지켜볼 수 있다. 해커들로선 매우 매력적인 아이템”이라고 했다. 그는 이 콘퍼런스에서 “아이디와 비밀번호를 바꾸는 건 물론 아이디 자체를 암호화하는 과정도 필요하다”고 주장했다.

 인세캠 운영자는 홈페이지 전면에 “이 사이트는 보안 설정의 중요성을 알려주기 위해 만들어졌다”며 “이 사이트에서 당신의 개인 카메라 장면을 지우고 싶다면, 가장 먼저 당신 카메라의 비밀번호부터 바꾸라”고 밝혔다. IT 전문가인 이준행씨는 “집 CCTV 카메라의 아이디와 비밀번호를 초기 상태 그대로 방치한 건 현관문 비밀번호를 1234로 해둬서 도둑이 쉽게 들어올 수 있게 한 것이나 다름없다”고 말했다.
 


※기사 본문에서 언급된 CCTV는 인터넷을 통해 정보가 전달되는 감시카메라(Surveillance Camera)를 일컫는 것으로 ‘폐쇄회로TV’와는 다소 차이가 있다. 하지만 국내에선 이 같은 감시카메라를 통칭 CCTV라 일컫는 경향이 있어 CCTV로 명칭을 통일했다.


유재연 기자 queen@joongang.co.kr

구독신청

AD
온라인 구독신청 지면 구독신청

PHOTO & VIDEO

shpping&life

많이 본 기사

댓글 많은 기사