‘영상 유출’ 강남 성형외과는 중국산 IP캠 썼다…해킹 쉬운 3가지 이유

임종철 디자이너 /사진=임종철 디자이너

탈의실과 진료실 내부 영상이 유출된 서울 강남구의 한 유명 성형외과가 보안에 취약하고 저렴한 중국산 IP(인터넷 프로토콜)카메라를 사용했던 것으로 파악됐다. 전문가들은 해킹의 위험성을 줄이기 위해서는 신뢰도가 높은 제조사의 제품을 사용해야 한다고 조언했다.

9일 경찰 등에 따르면 지난 5일 유명 연예인 등 수십명의 여성이 옷을 갈아입고 진료받는 장면이 담긴 서울 강남구의 A성형외과 내부 IP카메라 영상 일부가 온라인상에 유출됐다.

IP카메라는 인터넷에 연결해 사용하는 촬영기기로 영상을 실시간으로 송출할 수 있다. 통상 외부에서 내부 상황을 휴대전화로 점검하기 위해 사용된다. 외부와 접속이 차단된 폐쇄회로(CC)TV와 달리 보안에 취약하다.

서울경찰청 사이버수사2대는 지난 7일 A성형외과를 상대로 현장조사를 진행했다. 이날 경찰은 디지털 포렌식 전문 인력 2명을 병원으로 보내 IP카메라의 로그인 기록과 운영 시스템 등을 확보했다. 또 경찰은 방송통신심의위원회·여성가족부 등과 함께 온라인에 유포된 영상을 차단 조치했다.

경찰은 해킹 가능성을 염두에 두고 정확한 영상 유출 경위를 파악하고 있다. 아직 피의자나 범죄 혐의는 특정되지 않았다. 일각에서는 중국 내 음란 사이트를 중심으로 유포된 정황을 토대로 중국 해커의 소행인 것으로 추정하고 있다. 경찰 관계자는 “어느 한쪽에 치우치게 되면 오히려 수사에 방해된다”며 “여러 가능성 고려해 객관적인 증거로 차근차근 조사를 진행하고 있다”고 말했다.

A성형외과, 미국·영국서 ‘퇴출당한’ 업체 제품 사용

임종철 디자이너 /사진=임종철 디자이너

A성형외과가 설치한 IP카메라는 중국의 최대 폐쇄회로(CC)TV 제조업체 ‘하이크비전’의 제품인 것으로 파악됐다. 하이크비전 제품은 지난해 미국·영국에서 수입·판매 금지 조치를 당했다.

하이크비전은 중국 정부가 42%의 지분을 보유하고 있어 사실상 국영기업이다. 실제 중국 정부의 위구르족 등 소수민족 탄압 과정에 연루됐다는 의혹으로 2019년 미국의 무역 블랙리스트에 올랐다. 업체 측은 의혹을 부인하고 있다.

이와 관련, 폐쇄회로(CC)TV 판매업체들은 중국에서 생산된 제품도 보안 인증받았거나 국내에 서버를 뒀다면 해킹 우려가 낮다고 설명한다.

용산전자상가의 한 폐쇄회로(CC)TV 전문매장의 업주는 “가장 많이 팔리는 IP카메라는 중국 대기업인 TP-Link에서 만든 5만7000원짜리 기본 모델”이라며 “중국산이라도 보안 인증받은 제품은 믿고 쓴다”고 했다.

국내 브랜드는 대부분 중국에 제조공장을 두고 OEM(위탁생산) 방식으로 제품을 생산하고 있다. OEM 제품의 200만 화소 기본 모델은 1대당 약 5만원이다. 반면 국내에서 제작된 제품은 10만원대로 2배 더 비싸다.

강남구의 한 폐쇄회로(CC)TV 전문매장의 업주도 “중국에서 위탁생산한 국내 브랜드의 IP카메라만 판매하고 있다”며 “국내에서 제작된 제품을 사려면 따로 주문해야 된다”고 했다. 이 업주는 특히 “위탁생산 제품이 해킹 위험도가 높은 것은 아니다”라며 “제조사의 서버가 한국인지 중국인지가 중요하다”고 주장했다.

예를 들어 중국 브랜드 A사의 IP카메라에 찍힌 영상은 A사의 모바일 앱으로 전송된다. 이 과정에서 중국 서버를 사용하게 된다. 따라서 중국 해커들에게 노출될 가능성이 더 높다. 업주는 “국산을 쓴다고 해킹 위험이 아예 없는 건 아니지만 국내 서버를 사용하는 국산이 더 안전하다”고 말했다.

보안 업데이트 안 해주는 중국산…기본 암호 설정도 취약점

정석화 경찰청 사이버수사1대장이 지난 2018년 11월 1일 오전 서울 서대문구 경찰청에서 IP 카메라를 해킹해 불법촬영한 사건에 대해 브리핑하고 있다.사이버수사과는 국내 반려동물 사이트를 해킹해 15,000여명의 회원들의 IP카메라 정보를 포함한 개인정보를 유출한 후, 264대의 IP 카메라에 무단 접속해 사생활을 엿보거나 불법촬영한 피의자 10명을 검거했다고 밝혔다. /사진=뉴스1

전문가들도 특히 중국산 IP카메라가 해킹에 취약하다고 지적한다. 우선 ‘보안 업데이트 부재‘를 꼽았다. 김명주 서울여대 정보보호학과 교수에 따르면 중국 제조사들은 제품 출시 이후 보안 업데이트를 제공하는 경우가 적다. 비용을 줄이기 위해 소프트웨어 보안에 대한 투자를 적게 하기 때문이다.

김 교수는 “중국 중소기업에서 만드는 저가형 카메라는 싼 가격에 팔아서 유지보수를 안 해준다. A/S(사후관리) 또는 시스템 업그레이드가 없다”며 “IP카메라도 컴퓨터의 일종이라서 (보안 강화를 위해) 계속 업그레이드를 시켜줘야 하는데 안 하면 개인정보가 뚫리는 것”이라고 했다. 이어 “반면 국내 기업들은 책임지고 유지보수와 시스템 업그레이드를 주기적으로 해준다”고 덧붙였다.

중국산 IP카메라는 출시할 때 기본 암호가 설정돼 있는 점도 취약 요인이다. 대부분의 사용자가 이를 변경하지 않는 경우가 많다. 이는 해커들이 기본 암호를 뚫고 카메라에 접근하는 것을 쉽게 만든다. 김 교수는 “사용자 잘못도 있다. IP카메라를 처음 구입할 때 설정된 기본값 암호를 대부분의 사용자들이 방치한다”며 “해커들이 이런 취약점을 노린다”고 지적했다.

스파이웨어 탑재 가능성도 제기된다. 중국 제조사는 법적 제약이 적은 만큼 일부 제조사에서는 제품 내부에 스파이웨어나 백도어 등의 악성 코드를 탑재할 가능성이 있다. 이는 카메라를 해킹하거나 카메라에서 수집되는 정보를 탈취하는 데 사용될 수 있다.

염흥렬 순천향대 정보보호학과 교수는 “서방 국가들은 중국산 IP카메라에 백도어가 탑재돼 있어서 중국으로 정보가 들어갈 수 있다고 의심하고 있다”며 “미국·영국의 보안 전문가들도 중국산을 사용하지 않는 게 좋다고 권고하고 있다. 백도어가 설치됐다는 의혹을 받는 화웨이의 제품을 쓰지 말라고 LG유플러스에 권유한 적이 있다”고 말했다.

한편 A성형외과 병원장은 지난 8일 환자의 귀중품 도난을 막기 위한 목적과 의료사고 예방을 위해 IP카메라를 설치했다고 밝혔다. 2017년부터 IP카메라를 설치해 사용해 온 A성형외과 측은 향후 IP카메라 대신 폐쇄회로(CC)TV를 설치할 예정이다.