웹캠, 가정용 CCTV(IP 카메라) 해킹에 대한 잡담
우리는 카메라에 둘러 쌓여 살고 있습니다. 공공장소, 카페, 길거리 모두 CCTV가 곳곳에 설치되어있고 집에 들어오면 가정용 CCTV 홈카메라 제품, 스마트폰 카메라, 테블릿 카메라, 노트북 디스플레이 카메라 등등 엄청나게 많죠. 특히 출산하게되면 필수적으로 구매하는게 베이비 모니터 용도의 IP 카메라인데 제가 선물한 것만 6개네요. IOT 시대가 본격화 될수록 우리 주변에는 우리의 정보가 유출될 수 있는 경로가 더 많아지겠죠? 그 중에서 가장 위험한 것은 여전히 ‘카메라’ 입니다.
가정용 IP 카메라 유출
가장 우려스러운 부분입니다. 중국산 가정용 IP 카메라 백도어, 해킹을 통해 우리의 일상이 녹화되어 유출되는 사례가 언론을 통해서 알려지기도 했었죠. 진짜 무서운 보안 문제입니다. 집 그리고 내 방은 피곤한 사회와 단절되어 나만의 시간을 보낼 수 있는 매우 소중한 공간입니다. 나 혼자 있을 때 혹은 연인, 가족끼리 편하게 있을 때의 모습들을 많은 사람들이 몰래 지켜보고 있었다면 얼마나 소름끼치고 무서울까요.
중국에서 영상이 판매된다.
해킹된 IP 카메라 영상은 중국 사이트에서 엄청난 양이 업로드되어 판매까지 되고 있었습니다.
한국에서 사용되고 있는 IP 카메라의 대부분이 중국산입니다. 일반인들이 부담없이 구매할 수 있는 가격대의 제품이 중국산을 제외하면 찾기가 어렵기 때문이죠. 수 많은 제품들이 잠재적 해킹 위험에 노출되어 있다고 볼 수 있습니다.
한국인 사업자가 판매하는 제품 중에서도 택갈이 제품도 있으니 잘 보고 구매하시는게 좋겠습니다.
우리집 거실, 방을 비추는 홈캠 해킹만 일어나는게 아닙니다. 같은 종류의 IP 카메라를 소규모 자영업자들도 사무실 등에서 사용하고 있죠. 프라이빗한 공간에서 사용한다면 누구든 피해자가 될 수 있습니다.
해킹으로 유출된 영상들을 보면 무서울 정도입니다. 필라테스, 요가, 폴댄스 같이 여성들이 주로 운동하는 공간 뿐 아니라 산부인과도 포함되어 있었는데 절대 일어나서는 안될 악질 범죄입니다. 이 영상들의 타겟은 주로 ‘여성’입니다.
브랜드 이야기
주저리주저리 잡담입니다.
판매량이 많은 회사 중 저는 이왕이면 미국 제품을 조금 더 선호하는 편입니다. 어차피 하드웨어는 다 중국에서 만들어지겠지만 가장 중요한 것은 하드웨어를 제어하는 ‘소프트웨어’이기 때문에 회사 규모와 안전성을 어느정도 책임질 수 있는 회사의 제품을 선택합니다.
이 글에서 어떤 홈캠 제품이 좋은지 추천하진 않겠습니다.
왜냐하면 최근 몇 년간 어떤 제품이 좋은지 제대로 공부하지 않았기 때문에 여러분이 최선의 선택을 하도록 도와드리기 어렵기 때문입니다.
다시 브랜드 이야기로 돌아가서 제가 신뢰할 수 있는 회사를 고를 때 몇가지 보는게 있습니다.
- 꾸준한 업데이트 (펌웨어, 소프트웨어)
- 앱 사용 편의성
- 정상적인 국가에 본사 혹은 지사를 설립하고 주요 인력이 고용되는 사업을 하고 있어야 함.
- 설립된지 최소 5년이상 된 기업
- 매출 규모 동종 업계에서 상위권
- 보안 관련 인증있으면 더 좋음
하나하나 다 맞춰서 구매하긴 어렵겠지만 누군가는 이런 기준으로 결정하는구나 정도로 재미로봐주세요.
Amcrest
제가 마지막으로 구매한게 2020년이네요. 아마도 그 뒤로 더 좋고 저렴한 제품들이 많이 나왔을거라 생각합니다. 저는 아주 오래전에 구매한 Amcrest (미국 기업이며 본사는 Houston, TX) 제품을 지금도 고장없이 잘 사용중입니다. Amcrest 역시 단가 맞추려면 중국에서 만들어와야 합니다. Dahua OEM 제품으로 알려져있는데 전송 서버가 AWS라 그나마 조금 더 마음편하게 사용하고 있습니다. (제가 구매했을 당시의 정보이며 지금은 어떻게 바뀌었는지 모르겠습니다.)
TP-Link
네이버 쇼핑에서 홈캠, 가정용 CCTV, 베이비캠, 가정용 IP 카메라 등으로 검색해보면 많이 팔리는 제품 중 티피링크(TP-Link)가 있습니다. 티피링크는 중국 회사 입니다.
티피링크 본사는 중국 심천 혹은 선전(Shenzhen)으로 불리는 도시에 있습니다. 그리고 2008년에는 미국 지사인 TP-Link USA를 설립했으며 2024년 5월부터는 기업 구조 조정을 통해 미국과 싱가포르에 본사를 둔 기업이 되었다고 발표했습니다. (링크드인에도 싱가포르 본사로 나와있고 총 직원수는 1만명이 넘는다고 하네요.)
그런데.. 발표 석 달 후 바로 미국에서 때리기 시작하는데요.
‘중국 사이버 공격’과 관련해 TP-Link 와이파이 라우터(무선 공유기)가 잠재적인 국가 안보 위험을 초래할 수 있다며 TP-Link Technology Co 및 그 계열사를 조사해줄 것을 요청하게 됩니다. (출처 : Reuters)
U.S. Cybersecurity and Infrastructure Agency 그리고 미국 보안업체 Check Point는 TP-Link 공유기에서 원격 코드를 실행하는데 악용될 수 있는 취약점이 있으며 악성 펌웨어를 통해 유럽 외교부 관계자를 표적으로 삼았다는 내용을 발표하기도 했습니다.
이런 발표는 2024년 8월부터 시작되었기 때문에 현재 글을 작성하는 시점에서도 최근 이야기 입니다. 이 의혹을 제기하며 조사를 요구한 사람은 미 공화당 John Moolenaar 의원 그리고 미 민주당 Raja Krishnamoorthi 의원입니다. 가정에서 많이 사용되는 와이파이 공유기 제품에 국한되었지만 이렇게 보안 문제로 들쑤시게 된다면 홈캠 제품에도 불똥이 튀지 않을 수 없죠.
티피링크 제품 위험한가요?
그렇다고 티피링크 가정용 CCTV가 위험한가?라는 질문을 하신다면 저는 그렇게 나쁘진 않다 정도로 판단합니다.(당연히 저는 사용하지 않습니다.) 규모도 꽤 크고 전세계적으로 공유기, IP 카메라 등 상당히 많이 팔리고 있어요. 아마 공유기는 판매대수로 따졌을 때 최상위급일거예요. 하지만 판매량과 보안, 안전성은 별개입니다. 티피링크 공유기 펌웨어 문제는 과거부터 꾸준하게 지적되어 왔기 때문에 카메라 제품도 그렇게 보안에 신경쓰지 않을거라는 선입견이 있습니다.
[업데이트] – 2024년 12월 미국이 티피링크 공유기 제품도 판매 금지 검토 – 자세히 읽기
Eufy
Eufy는 우리에게도 매우 친숙한 Anker 산하 브랜드입니다. 예전에 Eufy가 Amazon.com 에서 엄청 싸게 풀린적이 있었는데 선물하려고 했다가 제가 가지고있던 다른 미개봉 기기를 주게 되면서 구매하지 않았는데 천만 다행이었죠.
2022년 12월쯤 큰 보안 이슈가 터졌어요.
처음엔 Eufy 역시 ‘군사등급 암호화’, ‘ 영상은 로컬에만 저장’ 등 사람들이 좋아할만한 것들을 써놨지만 거짓이었던거죠. 클라우드에 업로드 되었으며, 카메라 스트리밍으로 시청도 가능했었다고하니 소름끼치죠.
암호화도 없었으며, 인증도 없었다고 합니다. 위의 트윗을 올린 사람이 실제 테스트하는 동영상도 있습니다.
이것도 실제 시연 장면인데 만약 저기에 이 글을 읽고계시는 분이나 가족의 모습이 보인다면 어떤 기분일까요?
기타
더 많은 브랜드가 있지만 제품 소개 목적이 아니라 많이 팔리는 제품들에 대해서 대략적으로 말씀드렸습니다. 한국 제품 중에도 중국 카메라 가져다 이름만 바꿔서 파는 곳이 있을 가능성도 있기 때문에 잘 알아보고 구매하세요.
저에게 이 카메라 어때요? 라고 물어보시는 분들이 계실 것 같아 미리 말씀드리는데, 제가 해당 제품을 구매해서 테스트하거나 추측으로 분석해 드릴수는 없기 때문에 특정 제품 질문은 받지 않겠습니다.
가정용 CCTV, 홈캠 안전하게 사용하려면?
출시 단계에서 백도어가 심어져서 나온 것인지, 중국 해커들이 취약점을 공략한 것인지 모르겠지만 이런 일이 생겼다하면 거의 중국이기 때문에 저는 웬만하면 구매하지 않고 구매를 했다면 조심해서 사용해야한다고 생각해요.
저는 애플, 삼성 등 글로벌 대기업을 제외한 다른 회사의 제품들 중 카메라 렌즈가 달려있는 것은 모두 조심합니다.
거실
뉴스에 나온 중국 사이트는 어딘지 몰라서 확인하지 못했지만 어떤 방식으로 동영상이 유통되는지 궁금해서 여러 사이트를 찾아보았습니다.
내 가족이면 정말 멘탈 나가겠다 싶은 수준의 영상도 있었는데, 남자는 웬만해선 타겟이 되지 않으니 크게 상관없지만, 꼭 거실에 IP 카메라를 둬야만 하시는 여성분들은 샤워 후 욕실에서 티셔츠라도 입고 나오시는게 마음 편할 것 같습니다. 그리고 특히.. 거실에서 그.. 서로의 감정을 확인하시는 분들.. 조심하세요.
저는 집 밖에서 애완 동물을 한번씩 보려고 설치해둔 카메라가 거실에 있습니다. 거실에서 저의 일상은 지극히 평범하기 때문에 크게 신경쓰지 않고 사용중입니다.
방
코 파는 행위를 해커 혹은 유포자들이 올리진 않을 것입니다. 이런 경우도 여성 혹은 연인이나 부부가 타겟인데요. 저라면 웬만해선 방안에 IP 카메라를 두진 않을 것 같습니다. 꼭 필요하다면 각도를 잘 맞춰서 본인이 시간을 많이 보내는 책상(특히 컴퓨터 모니터 화면), 침대 쪽은 보이지 않게 하는것이 좋을 것 같아요.
베이비 캠, 아이 방
신생아를 모니터링하기 하기 위한 목적이나, 미취학 아동들이 잘 자는지 혹은 공부를 하고있는지 등 다양한 목적으로 설치하신 분들도 많으실텐데요. 아직 말도 못하는 아기들이야 문제될게 없겠지만 혹시나 모유 수유를 하신다면 카메라 렌즈 방향이나 각도를 조금 신경쓰시는게 마음 편하지 않을까.. 하는 생각이 듭니다.
그리고 아무리 자기 자식이라 하더라도 프라이버시가 중요해지는 시기가 된다면 카메라는 제거하시는게 맞다고 생각해요. (저는 잘 모르겠지만 혼자서 잘 수 있는 나이가 되면 굳이 볼 일이 없지 않나요?)
테블릿 카메라
저는 집에 테블릿이 3대 있습니다. 아이패드, 갤럭시 탭 같은 우리가 신뢰할 수 있는 제품은 크게 신경쓰지 않지만 제가 일하면서 유튜브 틀어놓을 용도로 사용하려고 구매한 중국산 테블릿인 샤오신패드 프로 12.7인치 모델은 카메라 부분만 작게 까만 테이프를 붙여놨습니다. 커스텀 펌웨어를 올릴 수 있다면 마음이 좀 편하겠는데 순정으로 중국 제품을 사용하긴 좀 꺼려지더군요. 저는 어차피 테블릿 카메라는 사용할 일이 없기 때문에 붙이지 않을 이유도 없었습니다.
웹캠
웹캠 해킹 사례도 꽤 많죠. 저는 현재 랩탑은 맥북만 사용하고 있기 때문에 크게 신경쓰지 않으나, 코로나로 인해서 자택근무, 원격 학습 등으로 웹캠 수요가 엄청나게 늘어났었는데, 본인이 사용하는 웹캠 회사가 확실히 신뢰할 수 없는 곳이라면 사용하지 않을때 빼두시는게 좋을 것 같습니다.
업데이트
취약점이 발견될지도 모르니 정기적으로 제품 펌웨어, 보안 업데이트가 있는지 확인하시고 꼭 업데이트를 제대로 해주시는 것도 매우 중요합니다.
결론
얼마전에 거실에서 멍하게 있다가 IP 카메라를 보고 갑자기 생각나서 이 글을 작성하기로 마음먹었는데, 간단하게 잡담식으로 써야지 하다가 글이 조금 길어졌습니다. 다른 분들의 의견도 들어볼 수 있으면 좋겠네요.
iot는 구글, 애플급 아니면 안 쓰는게 답이죠 저거 취약점 덩어리라 어느날 보니 내 냉장고가 디도스 공격에 쓰이고 그런다는
냉장고 ㅋㅋㅋㅋ 아 웃프네요..
이런 이유로 저는 router에서 cctv용 vlan을 분리한 다음에 해당 vlan은 ntp 트래픽만 허용하고 인터넷으로 전송되지 않도록 모든 트래픽을 막아두었습니다. 영상은 synology라던가 scrypted/go2rtc 같은 애드온으로 홈어시스턴트에서만 확인할 수 있게 만들어뒀는데, 이렇게 해도 사실 찜찜한건 마찬가지입니다. 집 안에 도착하는 경우 그냥 웹캠을 꺼버리는게 제일 마음이 편하네요
뭔가 알면 알수록 더 불안해지죠 ㅋㅋㅋㅋㅋ