5월 22일 오전, 베트남 정보통신부( 정보보안부 )와 베트남 넷(VietNamNet) 신문이 공동 주최한 "감시 카메라 기본 네트워크 정보 보안 기준" 세미나에서 국가사이버보안협회(NCS) 기술부 부장 겸 NCS(국가사이버보안협회) 기술 이사인 부 응옥 썬(Vu Ngoc Son) 씨는 네트워크 보안 관점에서 감시 카메라에 대한 자신의 견해를 공유했습니다. 그는 카메라가 듣고, 보고, 생각하고(AI와 통합될 경우), 자신이 관찰하는 물체와 공간을 감지할 수 있기 때문에 특수 컴퓨터로 볼 수 있다고 말했습니다. 카메라는 절대 꺼지지 않고, 24시간 연중무휴 온라인 상태를 유지하며, 패치가 거의 적용되지 않고, 패치나 백신 소프트웨어 업데이트도 거의 이루어지지 않습니다. 따라서 공격이 발생하더라도 카메라를 보호할 사람이 아무도 없을 것입니다.

감시 카메라용 기본 네트워크 보안 표준에 대한 W-VietNamNet 토론(1).jpg
부 응옥 손(Vu Ngoc Son) 씨, 국가사이버보안협회 기술부장, NCS 회사 기술 이사. 사진: 레 안 융(Le Anh Dung)

VNPT Technology의 부총괄 이사인 응우옌 비엣 방(Nguyen Viet Bang) 씨는 같은 의견을 밝혔습니다. 카메라는 작고 단순하지만 광학, 방송, WiFi, LAN 등 여러 부분으로 구성된 복잡한 구조를 가지고 있습니다. 이러한 두 가지 네트워크 인터페이스를 통해 카메라는 정보 수집 장치로 활용될 수 있습니다. 집에 설치된 카메라는 운영 체제가 탑재된 컴퓨터처럼 소리와 이미지를 녹화하고, 마치 집에 또 다른 사람이 있는 것처럼 조용하게 작동할 수 있습니다. 따라서 취약점이 발견될 경우, 카메라는 정보를 완전히 외부로 전송할 수 있습니다.

감시 카메라용 기본 네트워크 보안 표준에 대한 W-VietNamNet 토론(2).jpg
VNPT Technology의 Nguyen Viet Bang 부사장. 사진: Le Anh Dung

이처럼 인기 있고 중요한 기기임에도 불구하고, 사용자들은 여전히 감시 카메라의 정보 보안에 대해 잘 알지 못합니다. 전문가 부 응옥 손(Vu Ngoc Son)은 최근 카메라 시스템에 대한 여러 대규모 공격 사례를 언급했습니다. 2023년에는 많은 하이크비전(Hikvision) 고객이 카메라를 볼 때 화면에 해커 공격 경고 메시지가 나타났습니다. 제조사가 패치를 제공했음에도 불구하고, 해커들이 2021년의 오래된 취약점을 이용해 하이크비전 카메라를 공격했다는 점은 주목할 만합니다.

베트남에서는 아직 대규모 공격은 발생하지 않았지만, 상황은 심각합니다. 2020년 베트남 조사에 따르면 비밀번호가 업데이트되지 않은 카메라의 수는 최대 70%에 달했습니다. 2023년에는 일부 해커들이 베트남에서 최대 10만 대의 카메라로 구성된 시스템에 대한 접근 권한을 판매했습니다. 카메라 15대를 열람하는 데 드는 비용도 약 80만 동(VND)으로, 적은 편입니다.

부 응옥 손 씨는 카메라 정보 보안을 위협하는 6가지 주요 원인을 지적했습니다. 사용자가 취약한 비밀번호를 설정하거나, 비밀번호를 공유하거나, 페이스북, 구글 등 다른 계정을 사용하여 카메라 시스템을 관리하는 경우입니다. 기술자로부터 인수인계를 받았을 때 비밀번호를 변경하지 않는 경우, 카메라에 제로데이 취약점이 있는 경우, 패치를 업데이트하지 않는 경우, 저장 서버에 취약점이 존재하여 해커의 공격을 받는 경우, 탈중앙화가 엄격하지 않은 경우(예: 건설 부서와 공유한 후 권한을 철회하지 않는 경우) 등이 있습니다.

감시 카메라용 기본 네트워크 보안 표준에 대한 W-VietNamNet 토론.jpg
정보통신부 정보보안국 부국장 Tran Dang Khoa 씨. 사진: Le Anh Dung

이 문제에 대해 정보통신부 정보보안국 부국장인 쩐 당 코아(Tran Dang Khoa) 씨는 현재 일반 사용자, 특히 베트남 사용자의 네트워크 안전 및 보안에 대한 인식이 여전히 부족하다고 말했습니다. 사용자들은 네트워크 보안의 위험성과 비밀번호 변경 및 패치 업데이트의 필요성을 인지하고 있지만, 많은 사람들이 이를 인지하지 못하고 이를 실행하지 않습니다. 정보보안국은 감시 카메라의 기본 네트워크 정보 보안 요건에 대한 기준을 마련할 때 이 점에 중점을 두었습니다. 정보통신부는 5월 7일 이 기준을 발표했습니다.

전문가 부 응옥 손(Vu Ngoc Son)에 따르면, 감시 카메라가 해킹되면 사용자는 심각한 결과에 직면하게 됩니다. 가정에서는 가장 큰 문제는 사생활 침해이며, 그 다음으로는 개인 이미지, 민감한 소리 또는 기타 범죄 행위에 대한 협박 위험입니다. 예를 들어, 해커는 감시 카메라를 통해 수집된 이미지와 소리를 이용하여 딥페이크를 제작하여 사기를 칠 수 있습니다. 또 다른 문제는 원격으로 감시당하는 것입니다.

따라서 감시 카메라로 인한 정보 보안 손실 및 데이터 유출 위험을 피하기 위해 Vu Ngoc Son 씨는 사용자에게 몇 가지 권고안을 제시했습니다. 즉, 출처가 명확한 카메라를 선택하고, 영상 저장 위치와 사용자의 데이터 보안 정책을 공지해야 합니다. 인수인계를 받으면 즉시 비밀번호를 변경하고, 2단계 인증을 사용해야 합니다. 적절한 설치 위치를 선택하고, 민감한 장소에는 설치를 피하고, 중요한 구역에는 표준 카메라를 설치하고, 중요 정보 유출 사례를 피하고, 최소한의 접근 권한 구성을 사용해야 합니다. 정기적으로 모니터링하고 패치를 업데이트해야 합니다.

트란 당 코아(Tran Dang Khoa) 씨는 사용자가 보안에 대한 인식과 기술을 갖추도록 하려면, 자신과 조직을 보호하는 데 대한 인식을 제고해야 한다고 강조했습니다. 먼저, 사용자는 기기 비밀번호를 변경하고 기본 비밀번호를 사용하지 않아야 합니다. 기기를 어디에 둘지, 그리고 그 위치에 두어야 할지 여부를 결정해야 합니다.