[김수연기자] 유명 물리보안업체 고객사에 설치된 'DVR(Digital Video Recorder) 시스템'에 외부인이 쉽게 접근 가능한 것으로 드러났다.
'DVR 시스템'은 CCTV로부터 들어오는 영상을 디지털로 변환 처리해 하드디스크나 광자기 디스크 등에 압축, 저장하는 CCTV 영상 감시·저장 시스템이다. 물리보안업체는 고객사들이 CCTV에 녹화되는 영상을 모니터링할 수 있도록 지원하기 위해 이 시스템을 제공하고 있다. 또한 고객 편의를 위해, 이 시스템에 원격으로 접속할 수 있는 웹 페이지도 제공한다.
문제는 ▲'DVR 시스템'에 대한 원격 접속을 지원하는 웹 페이지에 대한 기술적 보안 조치가 취해지지 않아 비인가자도 이 시스템에 접근할 수 있고 ▲디폴트 ID와 비밀번호로 접속 가능한 웹 페이지가 상당 수라는 것이며 ▲ID와 비밀번호가 암호화 되지 않은 채 네트워크 환경으로 전송되고 있다는 것이다.
특히 물리보안업체가 'DVR 시스템'에 접속할 수 있는 웹 페이지의 ID와 비밀번호를 보다 복잡도가 높은 새로운 ID와 비밀번호로 바꾸도록 고객사들에게 공지하고 고객들이 실제로 ID와 비밀번호를 변경했는지 지속적으로 관리하지 못하고 있다는 것이다.
국내 한 보안업체 전문가가 조사한 바로는 상당수의 'DVR 시스템'이 디폴트 ID와 비밀번호로 접근 가능했으며, IPS, IDS 등 시스템에 대한 기술적 ·관리적 보호 조치도 취해지지 않은 채 운영되고 있었다.
이렇게 되면 고객에게만 공개돼야 하는 CCTV 모니터링 영상이 외부로 쉽게 유출될 수 있다는 게 이 관계자의 지적이다.
실제로 구글 검색창에 'cctv user id password'와 '11111111', '1234' 등 시스템 설치 시 디폴트 비밀번호로 흔히 쓰이는 숫자들을 함께 입력하면, 특정 'DVR 시스템'의 디폴트 ID와 비밀번호가 포함된 다수의 문서들이 검색된다.
해커가 국내 IP 대역을 이용해, 특정 'DVR 시스템'이 설치된 곳의 웹 사이트를 찾아내, 이 사이트에 구글에서 찾아낸 디폴트 ID와 비밀번호로 접속하면 CCTV에 녹화되고 있는 화면이 고스란히 해커에게 노출될 수 있다는 설명이다.
고객 사이트를 고객도 모니터링하고, 해커도 모니터링하게 되는 셈이다.
보안업체의 한 전문가는 "디폴트 ID, 비밀번호로 접속할 수 있었던 'DVR 시스템' 상당수가 유명 물리보안 업체인 A사를 비롯, 다수의 중소 물리보안업체들의 고객사에 설치된 것들이었다"며 "웹 기반 서비스를 운영하는 업체들은 통상 VPN, IDS, IPS, 방화벽 등 정보보안 서비스를 구축해야 하는데, 이같은 기술적 조치가 전혀 취해지지 않고 있다"고 지적했다.
이에 대해 A사 관계자는 "홈페이지나 고객 뉴스레터를 통해 디폴트 ID와 비밀번호를 바꾸도록 권유하고 있다"고 설명했다.
그는 "비밀번호를 주기적으로 바꾸지 않으면 서비스를 이용할 수 없도록 하는 등 비밀번호 정책을 복잡하게 바꿀 계획이고 이는 지난해부터 준비해 온 것이지만 실행이 좀 늦어졌으며 올해 하반기까지 완료하도록 할 예정"이라고 해명했다.
A사는 'DVR 시스템' 보안에 대한 기술적 조치를 위해 오는 4월부터 DVR이 연결돼 있는 웹 서버에 대한 방화벽 구축 작업을 진행할 계획이다.
김수연기자 newsyouth@inews24.com
--comment--
첫 번째 댓글을 작성해 보세요.
댓글 바로가기