해외사이트에 아파트 내·외부 사진
촬영시점 등 표기…동영상 캡처한 듯
"홈 자동화시스템 통한 대형 유출"
악성코드 유포·디도스 공격 우려도
개인정보 거래를 전문으로 하는 해외 해킹 웹사이트에 우리나라 아파트 내부로 추정되는 사진이 무더기로 유통되고 있다. 이들 사진에는 소파에 앉거나 누워 있는 모습, TV를 보거나 식사를 하는 모습, 집안을 오가는 모습을 비롯해 현관 카메라에 비친 얼굴 전면까지 그대로 포함됐다. 사진 상단에는 촬영 시점을 나타내는 시각이 표기된 상태로 공격자가 단순히 특정 순간을 엿본 것이 아닌 동영상으로 생중계 중인 화면을 일부 캡처한 것으로 파악됐다.
해외 해킹 웹사이트 R(이니셜 표기)에 최근 한국에서 송출된 것으로 보이는 아파트 내·외부 사진이 대거 업로드됐다. 아파트 내부가 그대로 촬영된 사진 상단에는 한국어로 '오후 12시 0분 10초' 등 현재 시각과 함께 해당 영상 용량도 표시됐다. 웹캠을 통해 노출된 장면에는 한국 TV 프로그램이 방송 중인 화면도 있다.
R사이트 이용자는 “홍콩의 한 웹사이트에서 이들 사진을 확보했다”면서 “홈 자동화 시스템을 통한 대형 유출로 보인다”고 전했다. 사진은 일회성 업로드에 그치지 않고 여러 시간대에 걸쳐 등록됐지만 아파트 관리자, 거주자 등이 침해 사실을 파악하지 못한 것으로 보인다. 이희조 고려대 교수(소프트웨어보안연구소장)는 “사생활이 유출된 아파트는 같은 업체 제품을 사용 중인 것으로 보인다”면서 “우리나라는 아파트형 공동주택이 일반화된 가운데 건설사가 초고속망에 스마트홈 기능을 경쟁적으로 채용해 연결 기능이 증가, 다른 나라보다 피해가 더 클 수 있다”고 설명했다. 이어 “아파트 스마트홈 기기는 한 번 설치하면 10년 이상 쓰는 만큼 세대 망 분리를 포함한 접근 제어, 폐쇄회로(CC)TV와 월패드에 사물인터넷(IoT) 보안 인증을 받은 제품을 도입하는 것 등 건설과 분양 이전 단계부터 보안 관리를 포함해야 할 것”이라고 강조했다.
사이버 범죄자가 보안에 취약한 웹캠을 공유하는 이유는 사생활 침해 외에도 이를 악성코드 유포와 분산서비스거부(디도스) 공격 등에 활용할 수 있기 때문이다.
보안 인텔리전스 전문기업 에스투더블유는 웹캠 공유 사이트가 R 외에도 여러 곳이라고 지적한다. 곽경주 에스투더블유 이사는 “웹캠 가운데 무단으로 영상 확인이 가능한 기기는 특정 사이트 기준으로만 2000개 이상”이라면서 “외부 노출된 IoT 장비는 사생활 침해뿐만 아니라 악성코드 유포지, 디도스 공격 등에도 활용된다”고 경고했다.
실제로 에스투더블유가 파악한 웹캠 해킹 전용 I 웹사이트에 접속해보면 세계 각국 도시별로 침해된 웹캠을 통해 내부 영상이 실시간 송출 중이다. 우리나라도 현재 식당, 교회, 주택, 주차장 등 웹캠을 통한 내부 상황이 그대로 노출된다. 각 웹캠에는 카메라 제품명과 인터넷프로토콜(IP) 주소, 웹캠이 촬영 중인 위치까지 공유된다. 무엇보다 우리나라는 I 웹사이트에서 침해된 웹캠이 2674개로 집계, 미국(3826개)에 이어 세계에서 두 번째로 웹캠에 의한 침해 수준이 심각한 것으로 나타났다.
한국인터넷진흥원(KISA)은 웹캠으로 인한 피해를 줄이기 위해 통신사와 공조하고 있다. 이동근 KISA 침해대응단장은 “침해된 것으로 식별된 웹캠에 대해 통신사에 조치 요청을 보낼 것”이라면서 “개인도 보안에 취약한 IP 카메라를 파악하면 아이디와 패스워드를 바꿔야 한다”고 말했다.
오다인기자 ohdain@etnews.com