“기본 비밀번호 덕분에” 7만여 대 보안 카메라 무방비로 엿보기에 노출

어제 필자가 방문한 한 사이트에 따르면 현재 256개 국에 걸쳐 7만 3,011개 지점의 보안 카메라가 무방비 상태로 노출되어 있다. 여기서 무방비란 출하 시 기본 설정된 사용자 이름과 암호를 그대로 사용해서 “보호되고 있음”을 의미한다.

러시아의 IP 주소로 파악된 이 사이트에서 제공하는 정보는 포스캠(Foscam), 링크시스(Linksys), 파나소닉과 Av테크(AvTech), 힉비전(Hikvision) DVR 등 제조업체별로 세분화되어 있으며, 그 외에 단순히 “IP 카메라”로 분류된 경우도 있다.

무방비 보안 카메라의 수가 가장 많은 국가는 11,046개의 링크가 올라온 미국이다. 한 링크에는 최대 8개 또는 16개의 채널이 있는데, 이는 한 페이지에 몇 개의 보안 카메라 뷰가 표시되는지를 의미한다.



사이트 운영자는 이 사이트가 “보안 설정의 중요성을 보여주기 위해 만든 사이트”라고 주장한다. 즉, 기본 암호를 변경하지 않을 경우 결국 “모든 인터넷 사용자에게” 그 보안 카메라의 영상을 공개하는 것과 마찬가지라는 사실을 보여주는 데 외견상 목적을 두고 있는 듯하다. 기본 암호를 변경해서 카메라를 보호하면 사이트 인덱스에서 해당 카메라 링크는 사라진다. FAQ에 따르면 암호로 카메라를 보호할 생각이 없는 관리자라면 사이트 관리자에게 URL 삭제를 따로 요청하면 된다고 한다. 하지만 이를 위해서는 일단 이 사이트의 존재(http://www.insecam.com)를 알아야 한다.

상위 10개 국가에만 4만 746개의 무방비 카메라가 있다. 미국 1만 1,046개, 한국 6,536개, 중국 4,770개, 멕시코 3,359개, 프랑스 3,285개, 이탈리아 2,870개, 영국 2,422개, 네덜란드 2,268개, 콜롬비아 2,220개, 인도 1,970개다. 이 사이트의 주장대로 “전세계 모든 나라의 침실”을 볼 수 있다. 사이트에는 256개국, 그리고 국가 범주로 분류되지 않은 1개의 디렉터리가 있다.



지난 번 네트워크 월드에서는 Pastebin에 게시된 취약한 카메라 링크 400개와 취약한 TRENDnet 카메라의 위치를 표시한 구글 지도 목록을 다룬 바 있지만, 총 7만 3,011개의 링크 모음을 제공하는 이 사이트에 비하면 초라해 보일 지경이다. 1년 전 FTC는 “소비자 수백 명의 사생활을 인터넷에 노출한 해이한 보안 관행”을 이유로 TRENDnet에 철퇴를 가했다. 이런 유형으로는 첫 사례였다.

보안 카메라의 목적은 보안에 있지, 누구나 영상을 볼 수 있도록 하는 것이 아니다. 기업의 경우 별 문제가 없겠지만 집안의 카메라가 제대로 보호되지 않을 경우 사생활 침해로 이어지게 된다. 이 경우에는 한 제조업체의 문제도 아니다. 물론 구글 도크(Dork)나 쇼단(Shodan)을 사용해서 같은 결과를 얻을 수도 있지만, 무방비 보안 카메라 영상들을 한 곳에 모아 관음증 환자들을 불러모으는 것은 엄연히 다른 문제다.



이 목록에는 기업, 상점, 쇼핑몰, 창고, 주차장 카메라도 있지만 유아용 침대, 침실, 거실, 부엌 등 가장 안전해야 할 집안에 설치된 카메라도 엄청나게 많다. 보호를 목적으로 한 “보안 감시 카메라”가 일순간에 사생활 침해 수단으로 악용될 수 있다.



무작위로 아무거나 클릭하는 중에 스코틀랜드에서 카메라 바로 앞에 앉아 있는 할머니를 볼 수 있었다. 버지니아에서는 링크시스 카메라를 통해 한 여자가 마루에 앉아 아기와 노는 모습이 나왔고, 캐나다에서는 유아용 침대에 가장 많이 사용되는 브랜드인 포스캠 카메라를 통해 유아용 침대 안에서 자는 아기 모습이 나왔다. 유아용 침대를 내려다보도록 설치된 카메라가 어찌나 많은지 소름이 끼칠 정도였다. 유아용 카메라 “해커”가 카메라를 통해 아기에게 소리를 지른 사건도 있었던 만큼 그 전에 사람들이 카메라를 보호하도록 유도하는 것이 급선무다.



필자는 이렇게 집안으로 통하는 디지털 창문을 무심코 열어둔 사람들에게 연락해서 기본 사용자 이름과 암호를 바꾸도록 돕고자 하는 마음에 몇몇 보안 카메라의 소유자를 찾아봤다. 그 사람들의 인생이고 그들이 생각하기에 최선의 방법으로 카메라를 사용하고 있겠지만, 기본 사용자 이름과 암호를 사용함으로써 관음증 환자에게 구경할 구멍을 제공하는 것은 당연히 그 “최선의 방법”에 포함되지 않는다.

이 사이트에는 카메라 제조업체, 기본 로그인과 암호, 시간대, 도시가 나와 있다. 또한 구글 지도상에서 위도와 경도로 정확한 위치까지 나온다. 새 브라우저 창에서 이 지도를 열고 확대한 다음 구글 어스로 변환한다. 운이 좋다면 스트리트 뷰를 통해 주소를 확인해서 주소에 연결된 전화번호를 검색할 수 있다. 회사이거나 건물 이름이 보인다면 조금 더 쉬워지지만 느리고 힘든 과정이다. 더 쉬운 방법이 있을지도 모르겠다.



전화를 몇 통이나 했는지는 굳이 밝히지 않겠다. 그걸 밝히면 아마 필자는 헛고생을 즐기는 사람처럼 보일 것 같다. 대략 말하자면, 어제 하루 종일 그 일을 하며 보냈다. 위치를 확인할 수 없거나 아파트이거나 전화번호 검색에 주소가 나와 있지 않은 경우가 부지기수였다. 반복해서 벽에 부딪친 후, 결국 찾고 연락하기가 비교적 쉬운 회사로 대상을 바꾸었다.



한 번은 군사 시설에 연결됐다. 아름다운 가을 낙엽 풍경이었으므로 의도적으로 카메라의 기본 암호를 그대로 두었는지 여부를 확인해도 “안전한” 경우로 보였다. 연락 전화번호를 검색해서 찾은 사이트는 공격을 받고 있을 가능성이 있었고 “사생활 노출”과 관련된 것으로 보였다. 전해야 할 이야기가 두 개로 늘어났지만 전화 연결이 되지 않았다. 결국 다른 연락처를 찾아서 통화가 되어 두 가지 문제를 장시간 동안 논의했는데, 상대방은 내게 펜타곤에 전화를 하라고 했다. 펜타곤이라니!