본문바로가기

팩트체크 상세보기

HOME > 팩트체크 상세보기

송희경

"(사물인터넷 검색엔진) 쇼단에 국내 IoT 기기 취약점 정보가 대량 노출되고 있다"

출처 : 10월 10일 국회 과학기술정보방송통신위원회 과학기술정보통신부 국정감사

  • 정치인(공직자)의 발언
  • 사회, IT/과학
보충 설명

    • Banner inews24

    최종 등록 : 2018.11.16 17:50

    검증내용

    웹캠, CCTV 등 인터넷(IP) 카메라가 해킹을 당해 사생활이 온라인에 실시간으로 노출되는 사건이 끊이지 않고 있다.

    올해 국정감사에서도 사물인터넷(IoT) 검색엔진 '쇼단'이 문제가 됐다.  송희경 자유한국당 의원은 지난 10월  과학기술정보통신부 국감  현장 시연을 통해 '쇼단'에서 웹캠을 검색하면 국내 사무실이나 수영장의 모습이 무방비 하게 노출되고 있다고 지적했다.

    이 자리에서 송 의원은 "쇼단에 국내 IoT 기기 취약점 정보가 대량 노출되고 있지만, 정부의 파악과 대응이 미흡하다"며 정부의 대책을 촉구했다.


    쇼단은 인터넷에 연결된 다양한 기기의 정보를 제공하고, 시스템상 하자 등 취약점 정보까지 제공해 해커들이 공격 대상을 물색할 때 주로 사용되는 IoT 검색 엔진이다.  쇼단을 통해 IoT 취약점을 검색하고 사생활을 들여다볼 가능성이 커 대책 마련이 필요하다는 지적이 나오는 이유다.


    그렇다면 쇼단에 국내 IoT 기기 취약점 정보가 대량 노출되고, 검색되는 것만으로 위험한 것일까.

    확인결과 16일 기준 쇼단에서는 CCTV는 1천673개, 웹캠은 431개가 검색됐다. 그러나 CCTV나 웹캠 등 IoT 기기라도 보안성만 갖췄다면 검색만으로 해킹에 악용될 취약점이 대량 노출된다고 보기는 어렵다.


    화이트해커 출신의 홍동철 엠시큐어 대표는 "웹사이트가 외부 노출돼 있지만 보안이 잘 돼 있다면 안전한 것처럼 쇼단에 IoT 기기가 검색돼도 안전한 보안 정책(복잡한 아이디와 비밀번호, 재시도 횟수 차단 등)을 이용한다면 문제없다"고 설명했다.

    쇼단에 IoT 기기 정보가 검색된다는 게 곧바로 취약점이 노출됐다는 것을 의미하지는 않는다는 얘기다.

    화이트해커 출신의 신동휘 스틸리언 기술이사 역시 "취약점이 있는 상태로 외부에 IoT 기기가 공개되면 심각하지만, 쇼단에 기기가 노출되는 것만으로 위험하다고 말하기는 어렵다"고 말했다.


    다만 현재 대다수 웹캠과 CCTV, IoT 기기 보안이 허술한 상태로 방치돼 취약점을 내포하고 있다는 점에서는 지금처럼 쇼단에서 이들 기기가 검색되는 것만으로도 문제가 될 소지는 있다.

    실제 관리자 권한으로 접속할 수 있는 아이디와 비밀번호가 'admin' ,'1234' 등 초깃값으로 설정된 채 방치되는 경우가 많다.  누구나 관리자 페이지에 접속해 카메라를 들여다볼 위험성이 존재하는 것.  또 취약점을 보완할 수 있는 펌웨어 업데이트를 진행하지 않은 채 기기를 방치하는 경우가 많다.


    더욱이 아직 쇼단이 IoT 기기 정보를 수집하는 방법, 개인이나 기업이 쇼단의 정보 수집을 차단하는 방법 등은 정확히 알려지지 않았다.  한국인터넷진흥원(KISA) 또한 쇼단 측에 정보 삭제 방법 등을 문의했지만, 답변을 받지 못했다.

    이에 따라 쇼단을 통한 정보 수집·공개에 따른 위험성을 차단하려면 철저한 계정관리, 주기적인 펌웨어 업데이트 등 기본적인 보안 수칙을 지키는 게 중요하다.

    신 이사는 "건물 내부에 있는 설치·녹화용 CCTV 등 인터넷에 연결될 필요가 없는 기기는 이를 차단하고 구분할 필요가 있다"며 "카메라 등 기기 자체를 안전하게 만드는 제조사 노력도 필요하다"고 조언했다.


    다행히 내년부터는 카메라 보안 문제가 일부 개선될 것으로 기대된다. 정부가 내년 2월부터 IP카메라와 CCTV의 경우 초기 비밀번호를 바꿔야 동작하도록 강화된 보안조치를 마련, 시행키로 한 것.  관련 기술고시도 개정, 앞으로 제조·판매·수입업체는 해당 기기에 초기 비밀번호를 설정 또는 변경하는 기능을 의무적으로 탑재해야 한다.


    검증기사

 

×

SNU팩트체크는 이렇게 운용됩니다.