CCTV 해킹 실제 사례 — IP카메라 영상보안 취약점과 대응
KISA 통계 기준 IP 카메라 해킹 경로와 저가 장비의 하드코딩 패스워드·펌웨어 방치 취약점 분석. 한화비전 TLS 1.3 영상보안과 주기적 패치 체계 비교.
이 활동은 키퍼 메이트 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다.
목차
- IP 카메라 해킹, 얼마나 자주 일어나나
- 해킹이 일어나는 3가지 경로
- 저가 IP 카메라의 구조적 보안 취약점
- 국가별 보안 인증 현황
- 한화비전의 보안 대응 방식
- 실제 매장 피해 사례
- Q&A: 자주 묻는 질문
- 정리: 매장 CCTV 보안 점검 항목
CCTV 해킹 실제 사례 — 저가 IP 카메라 vs 한화비전 보안 차이
"내 매장 CCTV가 해킹당할 리 없겠지"라고 생각하는 자영업자가 많다. 그런데 실제로는 인터넷에 연결된 IP 카메라는 24시간 해킹 시도에 노출된다. 설치하고 나서 한 번도 비밀번호를 바꾼 적 없는 카메라, 펌웨어 업데이트를 한 번도 안 한 카메라는 전 세계 누구나 접근할 수 있는 상태일 수 있다.
CCTV가 뚫리면 단순히 영상이 유출되는 것으로 끝나지 않는다. 매장 내부 구조와 루틴이 노출되고, 이를 기반으로 절도·침입이 계획되기도 한다. 어떤 경로로 해킹이 일어나는지, 장비 선택이 왜 중요한지 구체적으로 정리한다.
IP 카메라 해킹, 얼마나 자주 일어나나
한국인터넷진흥원(KISA)이 발표한 자료에 따르면, 2023년 한 해 동안 국내에서 신고·접수된 IP 카메라 관련 개인정보 침해 신고는 총 1,243건으로 전년 대비 18% 증가했다. 이 중 80% 이상이 "취약한 비밀번호 사용" 또는 "펌웨어 미업데이트" 상태의 기기에서 발생했다.
글로벌로 보면 더 심각하다. 보안 검색 엔진 Shodan에서 "RTSP"(IP 카메라 스트림 프로토콜) 키워드로 검색하면 한국 IP만 수천 대의 카메라가 비밀번호 없이 노출된다. 대부분 소상공인 매장이나 소규모 사무실의 카메라다.
| 연도 | KISA 신고 건수 | 주요 원인 |
|---|---|---|
| 2021 | 892건 | 기본 비밀번호 미변경 |
| 2022 | 1,052건 | 펌웨어 취약점 |
| 2023 | 1,243건 | 포트 노출 + 취약 비밀번호 복합 |
해킹이 일어나는 3가지 경로
1. 기본 비밀번호 미변경
IP 카메라는 공장 출하 시 기본 아이디/비밀번호가 설정돼 있다. admin/admin, admin/1234, admin/password 같은 패턴이 대표적이다. 공격자는 Shodan·Censys 같은 보안 검색 엔진으로 인터넷에 노출된 카메라 IP를 수집한 뒤, 이 기본 패턴을 자동으로 대입하는 크리덴셜 스터핑 공격을 실행한다. 전체 해킹 사례의 약 60%가 이 방법으로 발생한다.
2. 펌웨어 업데이트 방치
펌웨어는 카메라 자체의 운영체제다. 보안 취약점이 발견되면 제조사가 패치를 배포하는데, 이 업데이트를 적용하지 않으면 알려진 취약점을 통한 공격에 무방비 상태가 된다. 저가 카메라 제조사 중 상당수는 출시 후 1~2년이 지나면 보안 패치를 중단한다.
3. 외부 접근 포트 노출
공유기 포트포워딩 설정으로 카메라에 외부에서 직접 접근할 수 있게 열어두는 경우다. HTTP 포트(80, 8080), RTSP 포트(554), ONVIF 포트(8899) 등이 공개되면 자동화된 스캐너가 수 시간 내에 해당 기기를 발견한다. VPN 없이 원격 접속을 허용하면 이 위험이 상시 존재한다.
저가 IP 카메라의 구조적 보안 취약점
가격만 보고 구매하는 저가 IP 카메라에는 구조적 취약점이 반복적으로 나타난다.
하드코딩 패스워드 (Hardcoded Password)
일부 제품은 사용자가 비밀번호를 변경해도 내부 시스템에 제조사가 고정해 둔 관리자 계정이 별도로 존재한다. 이 계정은 사용자가 접근할 수 없지만 공격자는 소스코드 분석이나 펌웨어 리버스엔지니어링으로 알아낼 수 있다. 2023년 KISA가 공개한 취약점 분석 보고서에서 국내 유통 저가 카메라 7개 모델 중 4개에서 이 문제가 발견됐다.
미검증 API 엔드포인트
웹 인터페이스나 모바일 앱과 카메라를 연결하는 API에 인증이 없거나 토큰 검증이 누락된 경우다. 공격자가 특정 URL을 직접 호출하면 인증 없이 영상 스트림을 가져가거나 카메라 설정을 변경할 수 있다.
암호화 없는 통신
일부 저가 제품은 카메라-앱 간 통신에 HTTPS가 아닌 HTTP를 사용한다. 같은 네트워크(예: 카페 와이파이)에 있는 공격자가 패킷을 가로채면 영상 데이터를 그대로 볼 수 있다.
국가별 보안 인증 현황
CCTV 구매 시 보안 인증 여부는 장비의 기본 보안 수준을 판단하는 기준이 된다.
| 인증 | 국가/지역 | 주요 요구사항 |
|---|---|---|
| KC 인증 | 한국 | 전자파·안전 기준 (보안 항목은 일부) |
| UL 인증 | 미국 | 제품 안전 전반 |
| CE 인증 | 유럽 | 안전·EMC 기준 |
| NDAA 준수 | 미국 | 미 국방수권법 — 특정 제조사 제품 연방 조달 금지 |
| CC(Common Criteria) | 국제 | 사이버보안 평가 기준 (EAL 레벨) |
KC 인증은 전기 안전 중심이라 사이버 보안을 직접 검증하지 않는다. 보안 측면에서는 CC 인증이나 NDAA 준수 여부가 더 의미 있다. 미국 연방 기관은 NDAA 섹션 889에 따라 특정 중국 제조사 카메라를 조달할 수 없도록 규정하고 있다.
한화비전의 보안 대응 방식
한화비전은 세계 3위 CCTV 제조사로, 자체 보안 조직(PSIRT, Product Security Incident Response Team)을 운영한다. 취약점이 발견되면 90일 이내 패치 배포를 목표로 하며, 주요 보안 대응 방식은 다음과 같다.
암호화 프로토콜
카메라-클라우드-앱 간 통신에 TLS 1.3 암호화를 적용한다. TLS 1.0·1.1은 알려진 취약점이 다수 존재해 현재 주요 보안 표준에서 비권장 상태다. TLS 1.3은 핸드셰이크 과정을 단순화해 속도를 높이면서도 보안 강도는 높인 최신 버전이다.
보안 패치 주기
한화비전 Wisenet 시리즈는 출시 후 최소 5년간 보안 업데이트를 지원하며, 취약점 발견 시 CVE(Common Vulnerabilities and Exposures) 공개와 함께 패치를 배포한다. 키퍼(Keeper) 제품군은 앱을 통한 자동 펌웨어 업데이트 알림을 지원해 사용자가 수동으로 확인할 필요를 줄였다.
기본 비밀번호 정책
최초 설치 시 기본 비밀번호 변경을 강제하는 UI 흐름을 적용한다. 변경하지 않으면 카메라 기능 사용이 제한된다. 하드코딩 관리자 계정은 없다.
실제 매장 피해 사례
편의점 영상 무단 공유
2022년 경기 지역 편의점 프랜차이즈 3곳에서 CCTV 영상이 인터넷 커뮤니티에 유출됐다. 조사 결과 3곳 모두 설치 당시 기본 비밀번호를 변경하지 않은 상태였고, 외부 접속을 위해 공유기 포트포워딩이 활성화돼 있었다. 개인정보보호위원회로부터 각 300만 원씩 과태료가 부과됐다.
음식점 영업 비밀 유출
서울 마포구의 한 음식점에서는 주방 CCTV가 뚫려 조리 과정·레시피가 경쟁업체에 유출된 것으로 의심되는 사건이 있었다. 피해 입증이 어려워 법적 대응은 못 했지만, 이후 해당 업주는 장비를 전면 교체했다.
Q&A: 자주 묻는 질문
Q. 내 CCTV가 해킹당했는지 확인하는 방법은?
공유기 관리 페이지에서 연결된 기기 목록과 외부 트래픽을 확인한다. 평소보다 업로드 트래픽이 급증했다면 의심 신호다. 또 Shodan.io에서 자신의 공인 IP를 검색해 카메라가 노출돼 있는지 직접 확인할 수 있다. KISA 사이버민원센터(118)에 점검 요청도 가능하다.
Q. 공유기 포트포워딩이 왜 위험한가?
포트포워딩은 인터넷에서 특정 포트를 카메라 내부 IP로 직접 연결해주는 설정이다. 이렇게 하면 전 세계 누구나 해당 포트로 접근 시도를 할 수 있다. 자동화된 포트 스캐너가 24시간 돌아가고 있어 포트포워딩 설정 후 수 시간 내에 공격 시도가 시작되는 경우가 많다.
Q. VPN 없이 외부에서 안전하게 접속하는 방법은?
클라우드 릴레이 방식을 사용하는 것이 현실적이다. 카메라-제조사 클라우드-앱을 TLS 암호화 통신으로 연결하는 구조로, 포트포워딩 없이도 외부 접속이 가능하다. 한화비전 키퍼도 이 방식을 사용한다. 다만 제조사 클라우드 서버 보안 수준을 확인해야 한다.
Q. 이미 설치된 저가 카메라는 어떻게 해야 하나?
당장 교체가 어렵다면 최소 3가지를 즉시 조치한다. ①비밀번호를 복잡하게 변경, ②펌웨어를 최신 버전으로 업데이트, ③불필요한 포트포워딩 해제. 장기적으로는 교체를 검토하는 것이 안전하다.
Q. 해킹 피해가 발생하면 법적 책임은 누구에게 있나?
카메라 운영자(매장 사장)가 개인정보처리자로서 1차 책임을 진다. 관리 소홀(기본 비밀번호 유지, 보안 조치 미흡)이 확인되면 개인정보보호법 위반으로 3,000만 원 이하 과태료가 부과될 수 있다. 장비 제조사의 하드코딩 취약점이 원인이면 손해배상 청구 여지가 있지만 입증이 어렵다.
정리: 매장 CCTV 보안 점검 항목
카메라를 새로 설치하든, 기존 장비를 점검하든 아래 체크리스트를 기준으로 삼는다.
- 설치 후 즉시 기본 비밀번호 변경 (8자리 이상, 영문+숫자+특수문자)
- 펌웨어 최신 버전 업데이트
- 불필요한 포트포워딩 해제
- TLS 암호화 통신 지원 여부 확인
- 제조사의 보안 패치 지원 기간 확인 (최소 3년 이상)
- 클라우드 릴레이 방식 외부 접속 설정 (포트포워딩 대체)
- 공유기 방화벽 설정 점검
CCTV 장비 선택 단계에서 보안 스펙을 따지는 것이 사후 대응보다 훨씬 비용이 적게 든다.