우리집 월패드가 내 가족을 훔쳐본다...해킹 여부 파악 거의 불가능 '카메라 가리는 임시 조치' 부터

 

최근 불거진 아파트 월패드(가정 내 사물인터넷(IoT) 연동 기기) 보안 해킹 사건의 공포가 쉽사리 사라지지 않고 있습니다. 무려 700여 곳에 이르는 아파트에서 월패드 해킹으로 촬영된 사생활 영상이 유출된 것으로 파악되면서 피해 가구들은 외부 유포 등 2차 피해의 위험에 노출된 상태입니다.

 

게티이미지뱅크

 

월패드는 각 가정 벽면에 부착된 단말기로 현관 출입문, 난방, 환기 등을 제어하는 장치로 여기에 더해 가전제품, 조명까지 연결돼 홈 IoT의 핵심 기구라고 할 수 있습니다.

문제는 개인정보 거래를 전문으로 하는 해외 해킹 웹사이트(일명 다크웹)에서 지난달부터 우리나라 아파트 내부로 추정되는 사진이 무더기로 유통되고 있다는 점으로 해당 자료에는 거주자의 일상뿐 아니라 남녀의 알몸 사진, 성관계 장면 등 자극적인 내용도 담겼습니다.

하루치 영상 가격은 0.1비트코인(500만원 후반)이었습니다. 개인정보가 유출된 것도 모자라서 제3자에게 판매까지 되고 있다는 점이 드러나면서 충격을 줬습니다. 남구준 경찰청 국가수사본부장은 지난달 29일 "한국인터넷진흥원(KISA)에서 연락을 받고 점검을 시작한 결과 700건 정도의 촬영이 있었던 것으로 보인다"며 "해당 영상이 게재된 웹사이트에 삭제를 요청해둔 상태"라고 밝혔습니다.

경찰에 따르면 지난 8월 강남구 소재 한 아파트의 월패드를 시작으로 무차별적인 해킹이 전개된 것으로 알려졌습니다. 월패드에 영상 저장 기능은 없지만, 해커들이 각 가구 월패드의 카메라를 통제해 실시간으로 내부를 촬영한 뒤 외부로 전송한 것으로 파악됩니다.

월패드 해킹 공포가 불거지면서 실제 어느 아파트 단지가 피해를 봤는지에 대한 여론의 관심이 고조되고 있습니다. 인터넷에 유출된 자료를 토대로 보면 경기 지역이 총 219가구로 가장 많았습니다. 이어 서울 106가구, 경상(경남·경북) 78가구, 충청(충남·충북) 58가구, 전라(전남·전북) 57가구 등 순이다. 월패드가 홈 IoT 기기의 핵심 설비인 데다 신축 아파트 위주로 설치된다는 점을 감안하면, 신축 아파트 입주민들의 불안감은 더욱 커지는 상황입니다. 아울러 단지 내 한 가구만 해킹을 당했어도 이미 아파트 전체 단지가 해킹 피해를 입었을 가능성을 배제할 수 없습니다.

 

하지만 일반인이 해커의 침투 여부를 파악하는 것은 현실적으로 어려우며 보안 전문가들은 내부 카메라 부분을 종이로 가리는 등 임시 조치부터 시작해야 한다고 조언합니다.

홈 카메라 이미지 / 픽사베이

보안 전문가들은 현실적인 해킹 피해 예방법으로 홈캠과 월패드의 카메라를 사용하지 않을 경우 물리적인 장치로 가려 놓을 것을 권했습니다. 사물인터넷(IoT) 제품 제조사의 보안 장치 강화와 정부 차원의 대응도 필요하다는 의견도 제시했습니다.

문종현 이스트시큐리티 시큐리티대응센터장(ESRC)은 "실력이 좋은 해커는 서버에 침입한 후 나가면서 흔적을 지우는데, 이럴 경우 추적이 거의 불가능하다"며 "해킹 피해 원인 파악에는 보안 전문가 여러 명이 달라붙어도 분석하는 데 시간이 오래 걸린다"고 말했습니다.

이어 "이번 아파트 월패드 해킹은 해커가 이슈 메이킹을 하기 위해 의도적으로 자극적인 섬네일을 올린 것으로 보인다"며 "일반인은 해킹 피해 후 스스로 인지하기 어려운 경우가 많기 때문에 제품의 보안 인증 절차 강화 등 정부 차원의 대응이 필요하다"고 말했습니다.

해킹 피해가 확인된 월패드 제품명을 공개해 해당 제품을 사용하는 이들이 카메라를 가릴 수 있도록 하는 방법, 카메라가 포함된 월패드를 카메라를 물리적으로 가리는 방법을 권하기도 했습니다.

김학용 사물인터넷(IoT) 전략연구소장은 "카메라를 가리는 임시 조치가 필요해 보인다"며 "제조사들이 제품을 만들 때부터 물리적으로 카메라를 가릴 수 있는 장치를 만드는 것도 하나의 방법이다"고 제언했습니다. 관리사무소와의 소통을 위해서 필요할 때만 카메라를 사용할 수 있도록 하는 것입니다.

이어 "인터넷 공유기를 통해 침투하는 경우도 많기 때문에 초기 설정 비밀번호를 바꾸는 것도 중요하다"며 "건설사에서도 그동안 부실하게 서버를 운영해 왔지만, 이제는 비용 문제를 떠나 관리를 보다 철저하게 해야 한다"고 덧붙였습니다.

정보통신망 연결기기 등 정보보호 인증을 받은 제품을 검색해 보는 것도 방법으로 월패드 제품 중 삼성SDS, 코맥스, 현대통신, HDC 아이콘트롤스, 코콤 등 5개사 13개 제품이 인증을 받았으며, 인증제품은 정보보호산업포털에서 확인할 수 있습니다.

실효성이 부족한 제도의 변화를 요청하는 목소리도 있었습니다. 보안업계 한 관계자는 "해커들이 디폴트 패스워드(초기설정 비밀번호)를 공개하는 해외 사이트를 이용해 해킹하는 사례가 많지만, 해당 정보를 활용해 국내 정부기관이 사용자들에게 비밀번호를 바꾸라 권유하는 것조차 현재로서는 불법이다"며 "일본은 정부기관에 한해 디폴트 패스워드의 변경 요청을 허용해 주기도 하므로, 우리나라도 한시적이라도 변경을 요청할 수 있거나 감염된 제품을 조사할 수 있는 권한이 필요하다"고 말했습니다.

아라드네트웍스 관계자는 세대 간 망 분리에 대해서 강조하기도 했다. 최영근 아라드네트웍스 기획실장은 "월패드에 기본적 방화벽( 네트워크주소변환·NAT),인증, 암호화 기능 강화만으로는 해킹방지에 한계가 있다"며 "아파트는 알지도 못하는 이웃 세대와 홈네트워크를 공유해 해킹확산에 취약한 구조로 기존 보안과 더불어 세대별 독립된 네트워크 구축이 필요하다"고 말했습니다.

우리나라는 아파트 문화가 발달한 만큼 해외 표준이 아닌 한국의 특성을 반영한 보안 기준이 필요한 상황이라는 주장입니다. 

김승주 고려대 교수(정보보호대학원)는 "망 분리를 무조건 하는 것보다는 어떻게 망 분리를 하느냐가 중요하다"며 "획일적인 보안 대책을 강요하는 정책은 과거에도 실패한 경험이 있기 때문에, 효과적인 보안 대책에 대한 논의가 필요하다"고 말했습니다.

정부는 홈·가전 IoT 보안가이드에 있는 내용을 개정을 진행 중인 ‘지능형 홈네트워크 고시’에 반영할 예정입니다.