CCTV에 관한 유익한 정보

제 목 : CCTV 과연 해킹에 안전한가?

등록일자 : 2011-08-09 06:59:41
9월 30일부터 시행되는 CCTV 관련법규를 포스팅했었는데. 그 내용중 보안에 대한 부분이 있습니다. 최근 네이트, 싸이월드 사건도 있고해서 현재 CCTV가 얼마나 간단한 해킹에도 취약한지 알려드립니다.

 

본 내용에 자세한 방법은 설명드리지 않으니, 참고만 하시기 바랍니다. 또한 CCTV해킹 등에 관한 문의는 받지 않습니다.

 

먼저, 로그인방식에 대한 문제점입니다.

 

대부분 별도의 암호화 전송을 사용하지 않으므로, 몇분이면 사용자의 ID와 패스워드를 알아낼 수 있습니다.

 

이 방법은 한가지 제약조건이 있습니다. 사용자가 자신과 동일한 네트워크 상에서 DVR 또는 IP카메라 등에 원격으로 접속하는 경우입니다. 하지만, 최근 무선랜이 급격히 늘어나고 있고, 공유기에 보안설정이 안된 경우도 많기 때문에 절대로 안심할 수 없습니다.

 

우선 대부분의 CCTV(DVR)의 원격접속 방식은 특정 프로그램을 이용하거나, 웹페이지를 통해 접속합니다.

 

그리고 이때 사용자의 컴퓨터에서 원격지(DVR, IP카메라 등)로 사용자의 정보인 Id와 패스워드를 전송합니다.

그런데 대부분의 제품들의 로그인 방식이 전혀 암호화 된 통신 방식이 아니기 때문에 해당 패킷을 분석하면 사용자의 Id와 패스워드를 쉽게 알아낼 수 있습니다.

 

아래는 모회사의 제품에 제가 임의의 ID와 패스워드를 입력해서 접속을 시도한 내용입니다.

 

실제 Id와 패스워드가 아니며 테스트용으로 입력한 정보입니다 


위 내용을 보시면, HTTP/1.1 이라는 전송방식을 사용하였으며, 전송시에는 정보를 urlencode라는 방식으로 인코딩하여 전송하였습니다.

 

또한, 그 사용자의 ID는 cctv이며, 패스워드는 1234입니다.

 

제가 임의로 입력한 ID와 패스워드 이지만, 실제 사용자의 접속순간을 제가 캡쳐했다면 실제 사용하는 ID와 패스워드를 알아 낼 수 있습니다.

 

 

또 다른 회사의 제품으로 테스트를 해봤습니다.




이 제품의 로그인 방식은 위 제품과 달리 ActiveX프로그램을 이용해서 전송합니다. 일반적인 http전송이 아닌 tcp 데이터 전송 방식이라 약간은 더 복잡해 보이긴 하지만, 그래도 실제 사용자의 ID와 패스워드는 암호화 되지 않았습니다.

 

위 그림에서 보시면 제가 임의로 입력한 ID인 cctv와 패스워드 1234라는 정보가 그대로 나타납니다. 물론 잘 모르고 보면, 이 정보가 무엇을 뜻하는지 모를 수 있습니다. 그러나, 저처럼 특별한 목적(?)을 갖고 정보를 분석한 사람이라면 저것이 id와 패스워드라는것을 알 수 있습니다.

 

일부 회사의 제품은 자체 ActiveX 프로그램을 이용하여, 전송 내용을 암호화 하거나, SSL(Secure Socket Layer)라는 암호화 전송방식을 이용하기 때문에 이러한 방법으로 ID와 패스워드를 알아낼 수는 없는 경우도 있습니다. 그러나 위 내용처럼 몇분이면 사용자의 ID, 패스워드를 알아낼 수 있는 제품들도 매우 많다는 것입니다.

 

그리고, ActiveX는 이미 MS에서도 보안이 취약하다고 인정한 프로그램입니다. 즉, 위와 같은 방식으로 바로 알아낼 순 없지만 사용자의 컴퓨터에 설치된 ActiveX 프로그램을 분석해서 어떤 방식으로 로그인이 이루어지는지 확인하면, 충분히 확인할 수 있습니다.

 

제가 생각하는 최선의 대응 방법은 장비의 로그인 시에는 SSL을 적용하는 것이 옳다고 봅니다. 아직 SSL 암호화 전송방식이 뚫렸다는 이야기는 들어보지 못했습니다. 외국의 경우 SSL만으로 인터넷 뱅킹을 모두 처리할 정도로 신뢰성 높고 우수한 암호화 전송방식입니다.

 

SSL은 흔히 우리가 인터넷을 사용할때 HTTPS라는 프로토콜을 이용하는 것으로, 대부분의 규모가 있는 사이트 또는 쇼핑몰 등에서는 사용자의 정보를 처리할때 적용을 하고 있습니다.

 

그러나 애석하게도 DVR및 IP카메라쪽은 적용된곳이 극히 드물다고 판단됩니다.

(국내 모든 DVR을 제가 테스트한 것이 아니므로...)

 

하루빨리 개선이 이루어 지길 바랍니다.

 

 

 

두번째는 사용자의 기본암호 사용문제입니다. 조금 귀찮다는 이유와, 설정이 어렵다는 이유로  제품이 출고될때 설정된 기본 id와 패스워드를 사용하는 경우를 많이 보았습니다.

 

이 경우도 매우 큰 문제입니다. 이런 경우는 위 방법보다 더 쉽습니다.

 

사용자의 접속주소를 무작위로 수집하고, 기본 아이디와 패스워드만 입력하는 해킹 프로그램을 만들면 최소한 하루에 수백에서 수천개는 계정을 확보할 수 있습니다. 경우에 따라서는 그 회사의 고객중 기본 계정을 쓰는 모든 사용자의 정보를 확보할 수 있습니다.

 

9월 30일부터 시행되는 개인정보보호법  제25조 6항 및 제29조에 의거하여 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 해야하는 시점입니다.

 

이제라도 업계에서는 보다 안전한 환경이 되도록 힘써주길 기대합니다 

Product Guidelines

(주)팍스이노베이션에서 운영하는 CCTV 전문 쇼핑몰입니다.

Store Locator

설치가 필요한 경우 가까운 지역 설치 전문점에 문의하세요.  지역 설치 전문점 보기

   월간 베스트 Top 5

 
SSL
Powered by Teraonsys