국제 해킹·보안 컨퍼런스 POC2013에서 주목할 만한 발표 중 하나가 바로 CCTV 관련 제로데이 발표였다. 몰도바 출신 해커 안드레이 코스틴(Andrei Costin)은 지난해 이어 올해도 POC 발표자로 참가해 흥미로운 주제 발표를 하게 됐다.
 
데일리시큐는 안드레이와 사전 인터뷰를 통해 이번에 공개될 CCTV 취약점 관련 내용에 대해 자세히 들어보는 시간을 가졌다.
 
그는 현재 프랑스에 거주하고 EURECOM이라는 시큐리티 연구기관에서 박사과정을 밟고 있으며 보안연구가로 활동하고 있다. 그에게 CCTV 취약점을 연구하게 된 동기를 먼저 물었다.
 
안드레이는 “보안연구활동을 하면서 전세계 컨퍼런스를 많이 다니게 됐다. 집을 많이 비우기 때문에 가족들 안전을 위해 집에 CCTV를 설치하게 됐는데 어느날 과연 저 CCTV는 안전한 것일까란 의구심이 들어 연구하게 됐고 그 과정에서 백도어도 발견하고 여러 가지 취약점도 발견하게 됐다”고 말했다.
 
그는 이번 POC에서 CCTV의 특정 취약점 보다는 전반적인 문제점을 소개할 예정이며 CCTV 시큐리티는 어떻게 해야 하는지 이야기할 것이다.
 
그는 “전세계에 설치된 CCTV 중 어떤 CCTV에 취약점이 있는지 보여줄 것이다. 온라인에 물려 있는 스카다 시스템을 찾아주는 쇼단(Shodan)을 활용해 어떤 CCTV가 온라인에 연결돼 있는지 찾아내고 이를 통해 취약점을 찾아 공격을 진행할 수 있다”고 전했다.
 
온라인에 연결돼 있는 모든 CCTV에 공격이 가능한 것일까. 그는 “아니다. 온라인에 연결된 100만대 CCTV 중 현재 10만대 정도가 위험한 상황”이라며 “한 밴더에서 제작한 CCTV 한 모델이 보안에 취약해 원격에서 CCTV를 조작하고 볼 수 있는 상황”이라고 설명했다.
 
그가 설명한 공격 과정은 간단하다. 쇼단이나 구글을 통해 온라인에 연결된 CCTV를 찾아 내고 현재 취약한 CCTV 디바이스에는 하드코딩으로 아이디와 패스워드가 박혀있어 쉽게 관리자 권한을 탈취할 수 있다는 것. 이를 통해 여러 가지 공격이 가능하게 된다고 한다.
 
어떤 제품일까. 그는 “대만 HUNT사에서 만든 CCTV 제품에 아이디와 패스워드가 하드코딩 돼 있어 위험한 상황”이라며 “미국 MITR이나 서트에 이번 취약점을 알려준 상태다. 하지만 패치가 이루어지지 않아 사용자 안전을 위해 공개하게 됐다”고 설명했다.
 
즉 하드코딩된 아이디와 패스워드는 사용자가 손 쓸 수 없는 것이라 밴더사에서 박혀 있는 펌웨어 자체를 업데이트 해줘야 해결될 수 있어 제조사의 적극적인 패치가 시급하다.
 
그는 “관리자 권한을 가지면 다양한 공격으로 범죄에 악용할 수 있으며 심각한 프라이버시 침해 사고를 유발할 수 있어 위험하다. 조치가 필요하다”고 강조했다.
 
한편 이번 POC 발표에서 그는 삼성의 CCTV를 이용해 취약점을 찾아내는 과정도 보여줄 예정이다. 그가 개발한 자동화 공격툴로 CCTV 뿐만 아니라 자동차, 에어컨, 셋톱박스, 휴대폰 등 임베디드시스템 전체에 대해 제로데이 취약점을 손쉽게 찾을 수 있다고 한다. 그 과정을 이번 발표에서 시연할 예정이다.

데일리시큐 길민권 기자 mkgil@dailysecu.com