18일 한국인터넷진흥원(KISA)은 최근 국정감사 과정에서 지적된 IP카메라 무단접속·불법촬영 문제를 근본적으로 해소하기 위해 국립전파연구원의 단말장치 기술기준 고시를 개정했다고 밝혔다.
이에 따라 내년 2월부터는 IP카메라나 CCTV 등 영상정보처리기기를 제조·판매·수입하는 사업자가 초기 비밀번호를 △이용자가 직접 설정하게 하거나 △초기값을 변경하게 하거나 △기기마다 다르게 설정해 쉽게 알 수 없도록 하는 방안을 적용해야한다.
국회 과학기술정보방송통신위원회 변재일 의원(더불어민주당)이 과학기술정보통신부로부터 제출받은 자료를 보면 국내 유통 중인 IP카메라 400개 제품 중 32%인 126개가 올 6월 과기정통부의 접근 아이디·비밀번호 취약설정 여부 조사에서 취약제품으로 분류됐다.
많은 경우 IP카메라나 CCTV의 초기 비밀번호는 0000, 1234 등 유추하기 쉬운 번호를 이용한다. 일부 사업자는 이용자들에게 이를 변경할 것을 권장하기도 하지만, 많은 경우 그대로 사용하는 것으로 파악되고 있다.
문제는 유추하기 쉬운 비밀번호가 통용되는 탓에 이를 쉽게 ‘해킹’할 수 있고, 실시간으로 사생활이 노출될 수 있다는 점이다. 특히 지난 2013년부터 전문가들 사이에서 문제가 불거진 사물인터넷(IoT) 검색포털 ‘쇼단(Shodan)’의 경우 IP카메라 정보를 검색하고 여기에 쉽게 접근할 수 있는 통로가 되고 있다는 지적이 제기돼왔다.
IP카메라를 통한 범죄는 단순히 사생활 노출을 넘어 빈집털이와 같은 다른 범죄로도 이어질 수도 있다. 이 때문에 과기정통부와 KISA도 대책 마련에 나섰고, 이번 의무화 조치를 마련했다는 설명이다.
전문가들은 기존 제품 이용자들도 꼭 비밀번호를 변경하라고 조언한다. 신형 제품에 대한 대책 마련에도 구형 제품에 대해서는 강제 조치가 사실상 어렵고, 위험에 계속 노출되기 때문이다.
KISA는 이 밖에 IP카메라 등 IoT 제품 전반의 보안성 강화를 위한 IoT 제품 보안인증제도 지난해 말부터 시행하고 있다. 또 해외 사이트에 노출된 IP카메라의 소유자에 이를 알리고 조치방법을 알리는 등 계도활동도 진행할 계획이다.
이동근 KISA 침해사고분석단장은 “일반 국민이 IP카메라 등 IoT 보안 제품을 안전하고 편리하게 사용할 수 있도록 신뢰성을 높이고 IoT 보안산업을 차세대 먹거리 산업으로 육성하는데 최선의 노력을 다하겠다”고 말했다.