2024-05-21 12:30 (화)
스마트폰 웹캠서 취약점 발견…누구나 접속 가능!
상태바
스마트폰 웹캠서 취약점 발견…누구나 접속 가능!
  • 호애진
  • 승인 2013.12.15 15:14
이 기사를 공유합니다

ID/Password 인증 기본적으로 비활성화 돼 있어…반드시 설정해야
카메라 제어할 수 있어…프라이버시 침해 등의 피해 우려
최근 스마트폰을 웹캠이나 CCTV로 활용하는 앱이 많이 등장했다. 그러나 보안에 취약한 경우가 많아 사용자 프라이버시 침해 등의 피해가 우려되고 있다.
 
현재 구글플레이스토어에서 다운로드 가능한 ‘IP Webcam’이라는 앱은 사용자가 손쉽게 설치할 수 있어 누적된 다운로드 횟수가 100만건이 넘을 만큼 큰 인기를 얻고 있다. 그러나 유일한 보안 기능인 ‘ID/Password 인증’이 기본적으로 비활성화 돼 있기 때문에 이를 활성화하지 않으면 누구나 접속이 가능해져 카메라를 제어하고 영상을 볼 수 있다는 문제가 발생한다.
 
해당 취약점을 발견하고 데일리시큐에 제보한 부경대학교 정보보호연구실(지도교수 이경현)에서 석사과정 중인 오석윤 학생은 “교내 모의해킹 프로젝트로 교내 CCTV 관리 시스템의 취약점을 점검하던 중 비슷한 취약점이 다른 곳에도 존재할 것으로 예상돼 분석해 봤다”고 밝히고, “‘ID/Password’ 인증이 없다면, 카메라를 제어할 수 있고 이를 통해 영상 녹화, 음성 녹음이 가능해져 사용자 프라이버시 침해 등의 문제를 야기할 수 있다”고 지적했다.
 
그는 국내에 얼마나 많은 사람들이 인증 없이 단순히 기본설정만으로 IP Webcam을 사용하고 있는지 쇼단(http://www.shodanhq.com)을 이용해 검색해 봤다. 쇼단은 구글과 같은 검색 엔진이지만, 실제 시스템(단말기) 정보로 특화된 검색을 한다. 이 검색기를 이용하면 실제 시스템의 정보를 기반으로 검색을 하기 때문에 이를 이용하면 실제 시스템에 접근이 가능한지 여부를 쉽게 알 수 있다.

      <ID/Password 인증이 적용된 경우:
      ‘401 Authorization Required’ 오류가 나타나며 접근이 불가능하다>


     <인증이 적용돼 있지 않은 경우:
     HTTP/1.0 200 OK가 나타나며 접속이 성공하면 영상을 볼 수 있다>

 
오석윤 학생은 이러한 취약점 대응방안에 대해 “앱 개발자는 ‘ID/Password’ 인증을 기본적으로 활성화 되도록 만들어야 하며, 사용자들은 연결 설정(Connection Settings) 항목에서 이를 반드시 설정해야 할 것”이라고 조언했다.
 
데일리시큐 호애진 기자 ajho@dailysecu.com

■ 보안 사건사고 제보 하기

▷ 이메일 : mkgil@dailysecu.com

▷ 제보 내용 : 보안 관련 어떤 내용이든 제보를 기다립니다!

▷ 광고문의 : jywoo@dailysecu.com

★정보보안 대표 미디어 데일리시큐 / Dailysecu, Korea's leading security media!★