우리집 거실이 생중계된다.. 계정정보 2000만건 유출된 '딥웹'에 웹캠 영상도 유출

웹캠 해킹해 찍은 집안 사진 딥웹에 나타나
올해 9월까지 웹캠 해킹 2980건 접수
"IoT 제품 아직 보안 취약해.. 경각심 가져야"

한국인의 개인정보가 불법적으로 유통되는 해외 웹사이트에 국내 아파트 내부를 찍은 웹캠 사진까지 유통되고 있는 것으로 확인됐다. 이 사이트는 지난해 국내 웹사이트 1362곳에서 해킹된 계정정보 2346만건이 거래되기도 한 곳이다. 단순한 계정정보뿐만 아니라 아파트 웹캠 영상까지 해킹돼 거래되는 것으로 새로 밝혀진 것이다.

개인정보가 유통되고 있는 딥웹 '레이드포럼'에 올라온 국내 아파트 내부로 추정되는 사진. /웹사이트 캡처

문제가 된 해외 웹사이트는 ‘레이드 포럼’이라는 곳이다. 일반적인 검색 엔진으로는 찾을 수 없는 ‘딥웹’의 하나다. 이 사이트에 올라온 아파트 웹캠 사진에는 사람이 소파에 앉아있는 모습, 아파트 내부를 들어가기 위해 현관 카메라를 보고 있는 모습, 사람이 없는 아파트 거실을 비추는 모습 등이 여과 없이 찍혔다. 촬영 시각과 용량이 표시된 것으로 미뤄봤을 때 웹캠이 촬영하고 있는 영상을 캡처한 것으로 보인다.

게시물을 작성한 딥웹 이용자는 “홍콩 사이트에서 한국의 홈 자동화 시스템 해킹 사건을 목격했다”며 “홍콩 사이트에서 더 많은 사진을 얻을 수 있다”고 밝혔다. 이 이용자는 첫 게시물을 포함해 네 번에 걸쳐 IP 카메라를 해킹한 것으로 추정되는 사진 총 17장을 업로드했다.

IP 카메라 해킹은 매년 수천 건이 발생하고 있다. 과기정통부에 따르면 2018년부터 올해 9월까지 4년간 IP 카메라 해킹 관련 조치 건수는 총 1만951건이다. IP 카메라 해킹 조치 건수는 2018년이 5502건으로 가장 많았고 2019년 1021건, 2020년 1448건, 올해는 9월까지 2980건을 기록했다. 과기정통부는 사용자가 인지하지 못해 신고하지 않은 건수를 감안한다면 카메라 해킹 건수는 더 많을 것으로 예상했다.

과기정통부 관계자는 “IP 카메라 해킹은 가정이나 기업 등 다양한 분야에서 발생하고 있다”며 “이 중 80~90%는 딥웹에 공유된다고 볼 수 있다”고 말했다. 이어 “이용자들이 주로 IPTV나 사물인터넷(IoT) 기기들을 사용할 때 단순하게 설정된 초기 비밀번호를 바꾸지 않는 경우가 많아 해킹되기 쉽다”며 “제조사가 자율적으로 참여하는 IoT 보안 인증제를 실시하고 있지만, 규제 우려 때문에 의무화하고 있지는 않고 있다”고 말했다.

‘레이드 포럼’이 문제가 된 건 이번이 처음이 아니다. 해킹된 국내 개인정보가 이곳에서 유출되거나 유통된 적이 있다. 개인정보보호위원회와 과기정통부는 지난해 12월 레이드 포럼에 해킹된 국내 1362개 웹사이트의 계정정보 2346만건이 유통되고 있다고 발표한 바 있다. 해킹된 계정정보는 이메일 주소와 비밀번호 등이었다.

한 차례 논란이 됐던 곳이지만 1년이 채 되지도 않아 또다시 해킹된 개인정보가 버젓이 거래되고 있는 셈이다. 작년말 개보위는 레이드 포럼 관리자에게 계정정보 유출 여부에 대한 확인을 요청하는 등 후속조치를 하겠다고 밝혔지만, 달라진 건 없었다. 정부도 딥웹은 직접 모니터링하기가 쉽지 않기 때문에 경찰과 모니터링 업체의 도움을 받아야 하는 한계가 있다고 밝혔다.

전문가들은 현관 카메라나 IP 카메라 등 IoT 기기 보안은 이용자가 직접 챙겨야 한다고 강조했다. 염흥열 순천향대학교 정보보호학과 교수는 “웹캠과 같은 IoT 기기에 적용된 운영 체제들의 보안이 여전히 취약한 상태”라며 “특히 중국산을 중심으로 한 저가 기기의 경우 구입 후 반드시 비밀번호를 변경해야 한다”고 했다. 이어 “이용자들 뿐만 아니라 건설사들도 아파트에 탑재되는 IoT 기기가 해킹될 수 있다는 경각심을 가져야 한다”며 “IoT 보안 인증제는 국가보안을 위협하거나 사생활 침해 위험이 높은 기기에 한정해 의무화도 고려될 수 있다”고 강조했다.

- Copyright ⓒ 조선비즈 & Chosun.com -