한 집만 해킹돼도 아파트 전체 해킹 가능
전국 704개 아파트 내부를 촬영한 영상이 무더기로 유출됐다. 한 해외 해킹 웹사이트 ‘R’에는 국내 아파트의 실내를 비춘 모습으로 추정되는 사진들이 불법유통 중이라는 소식이 전해졌다. 거실 전경부터 발코니, 정원, 바깥 전망까지 한눈에 들어오는 사진이 대거 포함됐고, 사생활 유출이 의심되는 동영상의 썸네일도 있었다. 속옷 차림의 남성이 거실 커튼을 묶고 베란다 창문을 여는 모습, 이른 새벽 한 여성이 아이를 안고 방에서 나오는 모습, 알몸으로 집 안을 돌아다니는 모습, 성관계를 하는 모습 등 사적인 모습이 있었다고 전해진다. 다크웹에서 해당 영상을 불법유통 중인 해커들은 하루치 영상에 0.1비트코인(약 800만원)을 요구한다고.
문제는 월패드 속 카메라였다. 월패드는 아파트나 빌라 등 각 가정 벽면에 부착된 단말기로 현관 출입문, 냉난방, 환기 등을 제어할 수 있는 장치다. 경비실이나 다른 세대와 영상통화 등을 위해 카메라가 달려 있는데, 월패드 카메라를 통해 촬영한 영상이 유출된 것. 월패드에 영상을 저장하는 기능은 없지만, 해커들이 아파트 보안망을 뚫고 월패드 카메라에 접속해 실시간으로 내부를 촬영한 뒤 외부로 전송한 것으로 보인다. 다만 지금까지는 동영상 썸네일을 올린 뒤 돈을 받고 거래하겠다는 식의 미끼만 던져놓은 수준이라 구체적인 피해 사실은 드러나지 않았다고.
경찰은 한국인터넷진흥원(KISA)으로부터 해당 수사를 의뢰받고 내사에 착수했다. 관리업체의 자료를 받아 외부 침입 흔적이 있는지 살펴보고 영상이 어떻게 유출·유통됐는지를 파악해 해커를 검거하는 데 수사력을 집중하고 있다. 경찰은 월패드에 접속한 로그 기록 분석과 국제 수사 공조를 통해 피의자들을 추적할 방침이다.
전용기 더불어민주당 의원실이 한국인터넷진흥원에서 제출받은 자료에 따르면 따르면 일부 아파트에서 악성 코드 웹셸(Web Shell) 사용 흔적이 발견됐다. 웹셸은 업로드 과정의 취약점을 이용해 해커가 시스템에 명령을 내리는 악성 코드로, 해당 코드가 설치되면 보안 시스템을 피해 별도 인증 없이 쉽게 시스템에 접속할 수 있다. 2008년 옥션, 2011년 현대캐피탈에서 발생한 개인정보 유출도 웹셸을 이용해 이뤄졌다.
그보다 더 큰 문제는 아파트 단지가 해킹을 막는 방화벽 없이 하나의 서버로 연결돼 있다는 것이다. 특정 아파트 모든 세대의 월패드 데이터가 수집부터 처리까지 한 서버에서 이뤄지기 때문에 한 세대의 월패드만 해킹하면 모든 세대의 월패드 카메라 데이터를 확보할 수 있었던 것. 월패드 각각에 비밀번호를 설정할 수 있지만 비밀번호를 설정하지 않은 세대의 월패드를 해킹하면 모든 세대의 카메라 데이터를 확보할 수 있다. 월패드 해킹의 위험성은 여기서 끝나지 않는다. 월패드는 가정 내 냉난방과 조명, 환기, 출입문 개폐 등을 모두 제어할 수 있기에 더 큰 범죄로 이어질 가능성도 배제할 수 없다.
대안은 있을까?
가장 간단하면서 확실한 대안은 월패드 카메라 렌즈를 가리는 것이다. 월패드에 내장된 카메라 위에 스티커를 붙이는 식으로 사생활 노출 자체를 차단하는 것. 또 월패드 비밀번호를 변경하는 것도 방법이다. 월패드는 제품에 사용자의 전화번호 등 등록된 개인정보를 기반으로 개별 비밀번호를 생성하는데, 비밀번호를 변경해 보안의 강도를 높이는 것. 비밀번호는 전화번호나 이메일 아이디, 1234나 ABC처럼 쉬운 것은 피해야 한다. 또 월패드 설정·제어 기능 수행 시 반드시 비밀번호 인증을 거치도록 해야 한다. 잘못된 비밀번호를 통한 인증 시도 횟수를 제한함으로써 외부에서의 불법 접근을 최소화할 수 있게 된다. 이와 함께 월패드도 악성 코드에 감염될 수 있기 때문에 주기적으로 펌웨어 업데이트와 보안 패치 업그레이드가 필요하다. 월패드의 환경설정 탭을 클릭해 업데이트 기능을 설정해놓으면 펌웨어가 최신 버전으로 설치된다. 업데이트는 인터넷이 연결된 경우 업데이트를 실행하면 자동으로 설치된다.
월패드만 해킹에 노출된 것은 아니다. 최근 서울의 한 아파트 내 시설물 관리용 설비 자동제어 체계 서버가 해킹을 당해 해외 국가 대상 공격에 악용됐다는 사례도 있었다. 2021년 12월 3일 발표된 국가정보원 등 유관 기관 합동 조사 결과에 따르면 시설물 관리용 설비 자동제어 체계가 2021년 3월 최초 해킹을 당했다. 이후 원격제어 프로그램이 설치돼 해외 40개국 인터넷 서버를 공격하는 경유지로 활용됐다고. 아파트 설비 자동 체계는 아파트 냉난방기, 배수펌프, 저수조, 우수조, 냉난방기 팬, 난방수 온도 조절 등을 자동으로 제어하는 체계로 해커가 임의 조작할 경우 입주민 피해로 연결될 수 있다. 해당 체계는 한 업체를 통해 최소 국내 아파트 260곳에 보급됐으며, 10여 개 업체가 같은 체계를 납품한 것으로 추정됐다.
아파트 해킹과 관련된 문제를 해결하기 위해선 무엇이 필요할까? 전문가들은 아파트 가구 간 인터넷망을 분리하는 게 시급하다고 목소리를 모은다. 한 번에 모든 세대가 해킹되는 것을 막기 위함이다. 현재 전국 대부분의 아파트에는 세대마다 설치돼야 할 홈게이트웨이(세대끼리 연결된 인터넷망을 통한 해킹을 막는 역할)가 시공되지 않았고 단지 서버에는 방화벽이 없는 것으로 추정된다.
과학기술정보통신부는 국토교통부, 산업통상자원부와 함께 마련한 ‘지능형 홈네트워크 설비 설치 및 기술 기준’ 고시 개정안을 발표했다. ▲홈네트워크 설비 설치자가 사용자에게 설비 유지·관리 매뉴얼을 제공 ▲단지 서버와 세대별 홈게이트웨이 사이 망을 분리해 구성 ▲홈네트워크 설비는 데이터 기밀성·데이터 무결성·인증·접근 통제·전송 데이터 보안 등 보안 요구 사항을 준수할 것 ▲정보보호 인증 획득 기기 설치 권고. 이 중 가장 중요한 내용은 세대별 망 분리 의무화 규정이다. 공동주택망을 구성할 때 단지 서버와 세대별 홈게이트웨이 간 망은 전송되는 데이터의 노출을 방지하기 위해 물리적 방법으로 분리하라는 것. 다만 서버에서 각 동까지 하나의 광케이블로 연결한 뒤 허브로 각 세대를 연결하는 기존 방식에서 탈피해 각 세대까지 개별망을 갖춰야 한다. 소프트웨어를 이용한 가상 사설 통신망, 가상 근거리 통신망, 암호화 기술 등을 활용해 논리적 방법으로 분리하고 구성하도록 했다. 또 홈네트워크 기기의 보안성 구현을 의무화했다.
홈네트워크 기기는 이용자 식별정보, 인증정보, 개인정보 등에 대해 암호 알고리즘, 암호키 생성·관리 등 암호화 기술과 민감 데이터 접근제어 관리 기술을 통해 기밀성을 확보해야 한다. 이용자 식별정보, 인증정보, 디지털서명 등 기술을 적용해 위·변조 여부 확인·방지 기능을 갖추고 전자서명, 아이디·비밀번호, 일회용 비밀번호(OTP) 등 신원 확인과 인증 수단도 확보해야 한다. 개정안 공포 후 6개월 뒤 고시가 시행됨에 따라 2022년 하반기에 개정안이 적용될 예정으로 위반 사업자는 2년 이하 징역, 2,000만원 이하 벌금 등의 형사처벌을 받는다.
더 진보한 보안기술 필요하다
해킹을 통한 사생활 노출을 막기 위해 더 근본적인 접근이 필요하다. 도시 거주자는 하루에 100회 이상 CCTV에 노출된다고 한다. 집 안에는 월패드뿐만 아니라 컴퓨터와 가전제품에 카메라가 있다. 또 어린 자녀나 반려동물을 살펴보기 위해 집 안에 CCTV를 설치한 경우도 적지 않다.
실제로 지난 2018년 경찰청 사이버수사과는 반려동물 사이트 등을 통해 가정집 IP카메라에 무단 접속한 뒤 불법 촬영한 혐의로 피의자 10명을 불구속 검거했다. 피의자는 모두 남성이었고 피해자 대부분은 반려동물을 키우며 혼자 생활하는 여성이었다. 피의자들은 IP카메라의 줌 기능이나 각도 조절 기능을 조작해 사생활을 엿보거나 녹화했다. 집 밖 또한 안전하지 않다. 길거리와 공공시설 등 곳곳에 CCTV가 설치됐기 때문. 우리는 CCTV의 사각지대가 없는 시대에 살고 있고, 이는 어느 누구도 불법 촬영으로부터 안전하다고 볼 수 없다는 것을 의미한다. 아예 촬영할 수 없도록 카메라를 가리는 게 가장 확실한 방법이라는 데 의견이 모이지만 그보다 우리를 안전하게 해줄 보안기술이 더 필요한 때다.