상단여백
HOME 기업ㆍ사례
"CCTV 해킹 예방하고 글로벌 시장 입지 다질 것"[인터뷰] 한화테크윈 S-CERT팀 

[시큐리티월드 김성미 기자] 불법 영상 유출 범죄가 사회 문제로 대두되고 있다. CCTV 해킹과 몰래카메라(몰카)가 이런 문제의 원인으로 주목받고 있다.

이에 정부가 몰카 대책을 발표하기도 했다. CCTV 해킹은 사용자가 아이디와 비밀번호만 설정하면 예방할 수 있다는 것이 몰카와는 다른 점이다. 그러나 모두 정보의 유출과 사생활침해라는 점에서 사회적 문제가 되고 있다.

CCTV 해킹을 철통 수비하고 있는 한화테크윈의 S-CERT팀을 만나 CCTV 해킹과 보안 대응에 대해 이야기를 나눴다. 

▲(사진 왼쪽부터) 김혁래 수석연구원/팀장과 김영삼·박영미·허환석 책임연구원 ⓒ시큐리티월드

S-CERT팀 소개를 부탁드립니다
저희는 외부로부터의 보안침해사고에 대한 대응과 보안 이슈를 전담하는 팀입니다.

S-CERT팀은 자체적으로 보안 취약점을 발견해 당사 제품의 보안성을 높이고 있으며 여러 비영리 기관과 화이트해커와의 협조를 통해 자체 역량을 강화하고 있습니다. 또한, 안전한 제품을 설계하고 개발할 수 있도록 ‘제품 보안 정책’을 수립해 가이드하고 있습니다. 

당사가 사이버보안 대응을 강화한 지는 꽤 오래됐습니다. 초기에는 개발팀이 자체적으로 침투 테스트를 진행했고, 지난해 1월 저희 S-CERT 팀이 독립적으로 조직됐습니다.

내부 조사를 하던 중 보안 취약점을 발견하게 됐고, 이를 계기로 2014년 4월부터 본격적으로 사이버보안 대응을 시작하게 됐습니다. 사실 당시는 사이버보안이란 개념이 없었습니다만 보안장비에 대한 초기설정 패스워드(디폴트 패스워드) 취약성 때문에 전담팀과 관련 정책, 소프트웨어까지 만들게 됐습니다.

지금은 다른 업체들도 대응을 하기 때문에 수준이 많이 올라갔습니다. 그러나 2014년을 생각해보면 사이버보안에 대해서는 우리가 다른 업체보다 빨리 눈을 떴다는 생각이 듭니다.

최근 사회적 문제로 CCTV 해킹이 대두되고 있습니다
정부, 공공기관, 기업뿐만 아니라 가정용 홈 카메라까지 CCTV 해킹이 확대되고 있는 추세입니다. 실제로 저렴한 외산 홈CCTV를 사용하는 가정에서 자신도 모르게 영상이 녹화되고 해당 영상이 유출되는 사례가 언론에 보도된 바 있습니다.

이런 해킹 사고의 공통점은 카메라 설치시 기본으로 설정된 아이디와 비밀번호를 변경하지 않고 그대로 사용해서 발생한다는 겁니다. 영상정보에 대한 보안관리 부실과 악의적인 해커들에 의한 해킹으로 CCTV 영상이 불법 유포되는 사례가 지속해서 발생하고 있습니다.

5만원 정도의 저가 카메라가 일정 수준의 보안 정책을 수립하는 것은 사실상 쉽지 않습니다. 대부분 디폴트 패스워드가 공유돼 있기 때문에 해커가 무작위 해킹을 시도할 수 있는 거죠.

CCTV 백도어 문제와 국내 CCTV 영상이 유출된 인세캠 사건은 어떻게 바라보십니까
중국산 카메라의 백도어 문제와 인세캠 사건은 모두 정보의 유출과 사생활 침해라는 관점에서 사회적 문제가 됐지만 사실 서로 다른 성격의 보안 이슈가 존재합니다.

백도어 문제는 선의적(A/S)이거나 악의적인(감시 또는 스파이) 목적을 가진 문제로, 제조사의 보안의식 부재에 따른 것입니다. 이와 다르게 인세캠 사건은 비밀번호 미설정 또는 기본 비밀번호 사용 등에 따른 문제로 사용자의 보안의식 부재에서 출발합니다. 

그렇다면 제조사와 고객의 관점에서 각각 어떻게 대응해야 할까요
제조사와 사용자 모두 보안에 대해 좀 더 경각심을 갖고 대응해야 합니다. 제조사는 보안 사고에도 안전한 제품을 만들어야 하고 또 사용자가 안전하고 쉽게 사용할 수 있는(User-friendly) 관점에서 보안 기능을 제공해야 합니다. 또한 사용자는 제조사에 높은 보안 수준의 CCTV를 요구해야 합니다. 


한화테크윈은 어떤 CCTV 해킹 대책을 마련했습니까
당사는 제품 개발 단계에서 사전 테스트를 통해 보안 위협요인을 관리합니다. 제품이 생산되거나 변경될 때 그 보안 테스트를 수행해 잠재된 보안 위협 요인을 찾아냄으로써 해킹에 대한 리스크를 제거하거나 최소화합니다.

또 S-CERT 활동으로 상시적인 해킹 대응 체계를 구축하고 있습니다. 확인된 보안취약점에 대해 대응방안을 구상하고 최대한 빠르게 조치할 수 있도록 보안협의회와 개발팀간의 역할을 부여하고 의견 조율을 통해 보안 침해 사고에 빠르고 적극적으로 대응하고 있습니다.

S-CERT팀의 활약상도 소개해 주시죠
가장 최근에 있었던 건으로 gSOAP 보안 취약점 이슈를 말씀드릴 수 있겠네요. 타사에서 발생한 gSOAP 보안 취약점이 Onvif 기술 서비스 위원회에 공유돼 당사를 포함한 Onvif 회원사가 해당 보안 취약점을 확인하고 패치할 수 있도록 공지된 건입니다. gSOAP는  많은 시큐리티 업체들이 사용하는 Onvif의 SOAP 프로토콜을 구현한 상용 소프트웨어입니다. 

저희 팀은 이같은 공지를 확인한 즉시 보안협의회를 소집해 유관 개발부서를 통해 취약점 영향도와 발생 가능성을 검토했습니다. 한화테크윈의 경우 다행이 해당 취약점이 lighttpd 웹서버에 필터링(길이 체크)되도록 구현돼 있어 영향도가 없었습니다.

그러나 적극적인 고객 대응을 위해 보안 취약점 영향도를 분석해 웹사이트(www.hanwha-security.com)에 게시했고, gSOAP 최신 버전을 패치할 수 있도록 테스트해서 단계적으로 적용하도록 계획했습니다. 

사이버보안 기술 개발 계획이 있으신가요
CCTV 등 보안기기와 사용자 인증에 대한 PKI(Public Key Infrastructure) 기반의 인증서를 활용하려는 계획을 하고 있습니다. PKI 인증서는 CCTV를 위한 주민등록증에 해당하는 사설 기기 인증서라고 보시면 됩니다.

한화테크윈은 PKI 인증서를 올해 안에 IP 카메라와 NVR를 포함한 모든 제품에 적용할 계획입니다. 당사는 사용자 인증뿐 아니라 기기간의 신뢰된 인증을 영상정보와 데이터의 송수신, 데이터 암호화 처리 등까지 확대해 한층 더 보안을 강화할 예정입니다.

이를 위해 글로벌 사이버보안기업 씨만텍과 인증서 사용 계약을 맺었습니다. 또한 세계 시장의 보안 요구가 날로 높아지고 있는 만큼 이에 대한 선제적 대응을 통해 다른 글로벌 업체보다 한 발 더 나아가도록 할 계획입니다. 

[김성미 기자 (sw@infothe.com)]

[저작권자 © 시큐리티월드, 무단 전재 및 재배포 금지]

김성미 기자의 다른기사 보기
icon인기기사
기사 댓글 0
전체보기
첫번째 댓글을 남겨주세요.
여백
여백
여백
여백
Back to Top