과기정통부·KISA, ‘IP카메라 보안 가이드’ 발표

과학기술정보통신부와 한국인터넷진흥원(KISA)이 IP카메라 해킹 및 사생활 영상 유출 피해를 예방하기 위해 ‘IP카메라 설치·운영 보안 가이드’를 2일 발표했다. 가이드는 기기 도입부터 유지 보수까지 관리자가 단계별로 지켜야 할 핵심 보안 수칙을 제시한다.

첫 단계는 안전성이 검증된 제품을 선택하는 것이다. 산업통상자원부의 KC 인증 여부를 필수적으로 확인해야 하고, 여기에 KISA IoT 보안 인증까지 받은 제품을 사용하면 더 안전하다.

기기 설치 직후 초기 계정명과 비밀번호는 반드시 변경해야 한다. ‘admin’과 같이 누구나 유추하기 쉬운 기본 관리자 아이디는 해킹의 1차 표적이 되므로 고유한 아이디로 바꿔야 한다. 또한 기기가 여러 대라면 기기마다 각기 다른 복잡한 비밀번호를 설정하고, 모든 단말기에서 ‘자동 로그인’ 기능을 꺼두어야 무단 접속을 원천 차단할 수 있다.

사용자 권한은 목적에 맞게 분리해야 한다. 시스템 설정이나 펌웨어 업데이트 같은 중요 기능은 관리자만 접근할 수 있도록 제한하고, 일반 사용자에게는 실시간 영상 시청 등 최소한의 권한만 부여해야 한다. 외부인이 무단으로 접속할 수 있는 ‘게스트(Guest) 로그인’ 기능은 차단하는 것이 원칙이다.

해커가 침투할 수 있는 네트워크 통로를 막는 것도 중요하다. 해커들은 80(HTTP), 23(Telnet) 등 알려진 주요 포트 번호를 가장 먼저 공격하므로 이를 임의의 숫자로 변경해야 방어할 수 있다. 외부 접근을 허용하는 포트 포워딩(Port Forwarding) 기능과, 장비가 자동으로 포트를 여는 UPnP(Universal Plug and Play) 기능 역시 해커에게 문을 열어주는 것과 같으므로 반드시 비활성화해야 한다.

다음으로 가급적 기기 자체에는 영상을 저장하지 않는 것이 좋다. 해킹 피해 시 영상이 대량으로 유출되는 것을 막기 위해서다. 부득이하게 저장해야 할 때는 AES-256 비트 이상의 강력한 기술로 암호화할 것을 권장한다. 영상 파일을 주기적으로 백업해 오프라인 장치에 따로 보관하는 것도 좋은 방법이다.

접속 기록(로그)은 법적 기준에 맞춰 관리해야 한다. 주요 설정 변경이나 로그인 기록을 1~2년 이상 의무적으로 보관해야 침해 사고 발생 시 정확한 원인을 파악할 수 있다. 단, 기록 안에 사용자의 비밀번호나 개인 식별 정보가 그대로 남지 않도록 주의해야 한다.

마지막으로 지속적인 업데이트 및 유지 보수가 필수적이다. 기기 펌웨어는 항상 최신 버전으로 업데이트해야 한다. 다만 유지 보수 목적으로 외부에서 곧바로 원격 접속할 수 있는 관리자 계정을 만들어 두어서는 안 된다. 이러한 계정은 평소 관리가 소홀해 보안에 매우 취약하기 때문이다.

이외에도 가이드는 IP카메라 도입 기관 및 관리자가 시스템의 전반적인 보안 상태를 직접 확인할 수 있도록 전 단계에 걸친 세부 점검 항목을 제공한다. 가이드는 KISA 보호나라 홈페이지에서 열람할 수 있다.

글. 바이라인네트워크

<이슬찬 기자>seulbae@byline.network