ID/Password 인증 기본적으로 비활성화 돼 있어…반드시 설정해야
카메라 제어할 수 있어…프라이버시 침해 등의 피해 우려
최근 스마트폰을 웹캠이나 CCTV로 활용하는 앱이 많이 등장했다. 그러나 보안에 취약한 경우가 많아 사용자 프라이버시 침해 등의 피해가 우려되고 있다.카메라 제어할 수 있어…프라이버시 침해 등의 피해 우려
현재 구글플레이스토어에서 다운로드 가능한 ‘IP Webcam’이라는 앱은 사용자가 손쉽게 설치할 수 있어 누적된 다운로드 횟수가 100만건이 넘을 만큼 큰 인기를 얻고 있다. 그러나 유일한 보안 기능인 ‘ID/Password 인증’이 기본적으로 비활성화 돼 있기 때문에 이를 활성화하지 않으면 누구나 접속이 가능해져 카메라를 제어하고 영상을 볼 수 있다는 문제가 발생한다.
해당 취약점을 발견하고 데일리시큐에 제보한 부경대학교 정보보호연구실(지도교수 이경현)에서 석사과정 중인 오석윤 학생은 “교내 모의해킹 프로젝트로 교내 CCTV 관리 시스템의 취약점을 점검하던 중 비슷한 취약점이 다른 곳에도 존재할 것으로 예상돼 분석해 봤다”고 밝히고, “‘ID/Password’ 인증이 없다면, 카메라를 제어할 수 있고 이를 통해 영상 녹화, 음성 녹음이 가능해져 사용자 프라이버시 침해 등의 문제를 야기할 수 있다”고 지적했다.
그는 국내에 얼마나 많은 사람들이 인증 없이 단순히 기본설정만으로 IP Webcam을 사용하고 있는지 쇼단(http://www.shodanhq.com)을 이용해 검색해 봤다. 쇼단은 구글과 같은 검색 엔진이지만, 실제 시스템(단말기) 정보로 특화된 검색을 한다. 이 검색기를 이용하면 실제 시스템의 정보를 기반으로 검색을 하기 때문에 이를 이용하면 실제 시스템에 접근이 가능한지 여부를 쉽게 알 수 있다.
‘401 Authorization Required’ 오류가 나타나며 접근이 불가능하다>
HTTP/1.0 200 OK가 나타나며 접속이 성공하면 영상을 볼 수 있다>
오석윤 학생은 이러한 취약점 대응방안에 대해 “앱 개발자는 ‘ID/Password’ 인증을 기본적으로 활성화 되도록 만들어야 하며, 사용자들은 연결 설정(Connection Settings) 항목에서 이를 반드시 설정해야 할 것”이라고 조언했다.
데일리시큐 호애진 기자 ajho@dailysecu.com
■ 보안 사건사고 제보 하기
★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★
저작권자 © 데일리시큐 무단전재 및 재배포 금지