가정용 보안 카메라의 영상이 해킹됐다

  • 리오 켈리언
  • 테크 데스크 에디터
Swann camera

사진 출처, Swann

회사나 가정의 보안용으로 사용하는 무선 보안 카메라가 해킹에 취약하다는 게 밝혀졌다.

스완 시큐리티 사의 카메라는 앱의 취약점을 활용해 간단한 조작만으로 다른 사람의 집에 설치된 카메라에서 나오는 영상을 훔쳐볼 수 있다.

한 사용자가 다른 사람의 영상을 받은 사례에 대해 BBC가 보도한 이후 연구자들은 기기에 이러한 문제가 있다는 걸 발견했다.

호주 소재의 스완 시큐리티와 이 회사가 사용하는 클라우드 기술을 제공하는 이스라엘 기업 오즈비전은 문제가 현재는 해결된 상태라고 말했다.

스완은 자사의 SWWHD-Intcam 모델 하나에만 이런 취약점이 있다고 말했다. 스완 스마트 시큐리티 카메라라는 이름이 붙어 있는 이 모델은 2017년 10월 시판됐다.

그러나 오즈비전의 기술을 사용하고 있는 다른 기업의 카메라들도 이런 취약점을 가지고 있을 수 있다는 우려가 나온다.

의도치 않게 자기 집 주방의 모습을 다른 스완 카메라 사용자에게 보이게 된 한 고객은 불쾌해했다.

웨스트미드랜즈에 거주하는 한 IT 노동자는 BBC에 자신의 사례를 알려왔다.

동영상 설명,

스완의 앱으로 집 주방의 모습이 유출된 사례

당시 스완은 이 문제를 "일회성" 문제라고 말했다.

"이건 심각한 프라이버시 침해입니다. 앞으로 이 회사에서 나온 제품은 사지 않을 거예요." 자신의 성은 공개하지 말라달라고 요청한 해리는 BBC에 이렇게 말했다. 그는 문제의 카메라를 5대 보유하고 있다고 말했다.

"저는 4살 짜리 아이가 있어요. 누군가 제 가족을 지켜보고 있었을지 모른단 생각을 하면 등줄기에 소름이 돋습니다."

오픈 액세스

유럽의 보안 컨설턴트 다섯 명이 스완의 카메라 문제에 대해 조사하기 위해 뭉쳤다. 켄 문로, 앤드류 티너리, 반젤리스 스티카스, 앨런 우드워드, 스콧 헬름이 바로 그들.

조사 결과 새로운 취약점이 발견됐다. 사이버보안 업계에서 흔히 사용되는 무료 툴을 가지고 오즈비전의 컴퓨터 서버에서 스완 카메라 앱으로 보내지는 메시지를 가로챌 수 있다는 것이다.

스완의 카메라는 전천후 사용 가능하며 어떤 사용자들은 집의 바깥에도 설치한다

사진 출처, Swann

사진 설명,

스완의 카메라는 전천후 사용 가능하며 어떤 사용자들은 집의 바깥에도 설치한다

스완 카메라 앱은 카메라가 촬영한 영상을 스마트폰으로 보는 데 사용된다.

가로챌 수 있었던 메시지에는 각각의 카메라가 공장에서 부여받는 제조번호도 포함돼 있다.

이 제조번호를 바꾸어서 연구진은 다른 카메라에서 나오는 영상을 획득할 수 있었다. 연구진은 한 사람이 구입한 카메라의 제조번호를 넣어서 이를 성공시켰다.

이 과정에서 다른 사용자 계정의 아이디나 비밀번호를 입력할 필요는 없었다.

한 제조번호를 다른 제조번호로 바꿔칠 수 있는 프로그램은 여러 가지가 있다

사진 출처, Ken Munro

사진 설명,

한 제조번호를 다른 제조번호로 바꿔칠 수 있는 프로그램은 여러 가지가 있다

또한 스완의 카메라가 사용하고 있는 제조번호를 확인하는 방법도 발견했다. 이론적으로는 어떠한 계정의 영상이든 빠르게 훔쳐볼 수 있게 되는 것이다.

그러나 연구진은 이러한 행위가 불법이기 때문에 실제로 이를 시도하진 않았다.

그 대신 연구진은 스완에 이를 제보했고, 스완은 문제를 인정했다.

"스완은 켄 먼로와 그의 연구진이 해킹을 시도한 시스템을 확인했고 취약점을 즉각 해결했습니다." 스완의 대변인은 이렇게 말했다.

"이 취약점은 다른 스완 사 제품에는 적용되지 않습니다. 이와 비슷한 다른 시도도 포착되지 않았습니다."

연구진은 300km 떨어진 동료의 보안 카메라에서 이러한 영상을 가로챌 수 있었다

사진 출처, Scott Helme

사진 설명,

연구진은 300km 떨어진 동료의 보안 카메라에서 이러한 영상을 가로챌 수 있었다

먼로는 기존의 해킹 방식이 더는 적용되지 않음을 확인했다.

"스완에서 문제를 해결해서 기쁩니다. 하지만 저희가 이걸 찾지 않았다면 지금도 누군가가 다른 사람의 영상을 훔쳐보고 있을지 모른단 생각이 드는군요." 그는 말했다.

수백만 개의 카메라 영상

스완의 카메라의 취약점에 대한 보도 이후 연구진은 오즈비전의 기술을 사용하는 다른 브랜드 플러 시스템스의 제품에 대해서도 비슷한 문제점이 미국의 보안 컨설턴트에 의해 제기된 바 있음을 발견했다.

플러 시스템스의 경우, 이 취약점이 1년 전에 제기됐음에도 불구하고 먼로의 연구진은 여전히 스완의 제품을 해킹할 때와 비슷한 방식으로 플러 시스템스의 카메라를 해킹할 수 있었다.

플러 시스템스의 FXV101H와 FXV101W가 해킹 가능한 제품이었다.

연구진은 플러 FX 카메라 2종도 해킹할 수 있었다

사진 출처, Flir

사진 설명,

연구진은 플러 FX 카메라 2종도 해킹할 수 있었다

오즈비전의 웹사이트는 자사의 기술이 3백만 개가 넘는 비디오 채널을 지원하고 있다고 말한다.

오즈비전의 영업상무 유리 커스테인은 BBC에 "철저한 보안 점검" 중이라고 말했다.

"몇주 전 제기된 보안 우려 사항은 즉각 조치됐으며 폐사와 파트너들에 의해 해결됐습니다." 그는 말했다.

"오즈비전은 잔존해 있거나 잠재성이 있는 보안 문제를 수일 내 해결하기 위해 시스템에 대한 철저한 조사를 실시 중입니다."

오즈비전의 웹사이트는 자사의 기술이 3백만 개가 넘는 비디오 채널을 지원하고 있다고 한다

사진 출처, OzVision

사진 설명,

오즈비전의 웹사이트는 자사의 기술이 3백만 개가 넘는 비디오 채널을 지원하고 있다고 한다

그럼에도 불구하고 먼로는 모든 인터넷 기반 보안 카메라 시스템에 리스크가 있다고 말한다.

"저라면 침실과 같은 매우 개인적인 장소에는 두지 마라고 할 겁니다." 그는 말했다.

"누군가 들여다 보고 있을지도 모른다고 생각하세요."