중국산 가정용 CCTV에서 관리자 권한까지 탈취 가능한 치명적 취약점이 발견됐다.
CCTV에서 제공하는 영상을 몰래 보거나 백도어 설치, 분산서비스거부(DDos)공격 등 악용 가능하다.
F1시큐리티는 해당 취약점을 '국제취약점표준코드(CVE)'에 공식제보, 해당 사실을 사용자가 인지하도록 했다.
10일 F1시큐리티에 따르면 자체 취약점 진단을 통해 중국 '위드앤올'이 출시한 '브이스타캠(모델명 VSTARCAM-200V' 'VSTARCAM-100T)'에서 치명적 펌웨어 업데이트 관련 취약점을 발견했다고 밝혔다. 해당 모델은 국내서도 쉽게 구할 수 있는 제품이다. 주로 가정용 CCTV로 사용한다. F1시큐리티는 취약점 2건을 CVE를 통해 공식 제보했다.
CVE는 미국 국토안보부(DHS) 사이버보안청(OCSIA) 산하 US-CERT가 지원하며 비영리연구개발기관(MITRE)이 CVE 코드와 웹사이트를 운영, 관리한다. 보안취약점을 가리키는 고유 표기다.
해당 취약점 2건 CVE코드는 'CVE-2019-12288, CVE-2019-12289'다. 이들 취약점 2건은 미국 국립표준기술연구소(NIST)가 제공하는 국가 취약점 데이터베이스(NVD) CVSS 심각성 평가에서 최고 수준에 해당하는 등급을 부여했다. 등급이 높을수록 취약점 위험도가 높다.
브이스타캠 IP카메라 모델 VSTARCAM-200V와 VSTARCAM-100T 각각 펌웨어 업데이트 취약점 공격이 가능하다. 브이스타캠 IP카메라는 시스템 펌웨어와 웹서비스 펌웨어 두 가지 종류 업데이트 기능을 제공한다. 두 기능 모두에서 취약점이 발견됐다. 시스템 펌웨어 업데이트를 통해 원격에서 임의 운용체계(OS) 명령어를 실행하거나 웹서비스 펌웨어 업데이트를 통해 펌웨어 변조까지 가능하다.
브이스타캠 IP카메라는 제어 등을 위해 관리자 아이디와 패스워드를 요구한다. 펌웨어 업데이트 취약점을 악용해 아이디와 패스워드 없이 서비스 사용가능하다.
펌웨어 업데이트 취약점 공격 성공 시 IP카메라 계정 정보 변조뿐 아니라 탈취까지 가능하다. IP카메라를 완전히 관리자 권한으로 획득해 서비스를 제어할 수 있다. 스냅샷 촬영, 영상 스트리밍, 모션 제어를 통해 사생활 침해까지 우려된다. 뿐만 아니라 최악의 경우 백도어 설치, 펌웨어 파괴, 분산서비스거부 공격(DDos)도 가능하다.
이대호 F1시큐리티 대표는 “국내에서 이미 많은 사람이 사용하는 CCTV카메라를 선정해 취약점 테스트한 결과 중국산 CCTV에서 치명적 취약점을 발견하게 됐다”면서 “해당 펌웨어 업데이트 취약점 조치 방안으로 아이디·패스워드 검증, 패킷암호화, 바이너리 난독화 등을 권고했다”고 말했다.
F1시큐리티는 이번을 시작으로 향후 사물인터넷(IoT)관련 취약점 정보를 지속 연구·배포한다. 오펜시브 리서치 역량을 강화해 자사 IoT보안솔루션 'IoT 허니넷'을 고도화하고 IoT 위협분석 리포트도 외부 배포한다.
정영일기자 jung01@etnews.com