우리 집 거실 훤히 '월패드 해킹'...똑똑한 아파트일수록 불안 커진다

입력
2021.12.11 12:00
'월패드 해킹 촬영 이미지 유출' 의혹 증폭
불안한 시민들 급한 대로 '카메라 가리기'
이미 수년 전 홈네트워크 보안 취약 제기

경기 수원시 정자동에 사는 송모(25)씨는 지난주 거실의 월패드(주택 관리용 단말기)에 포스트잇 조각을 붙였다. 월패드에 달린 카메라 렌즈를 가리기 위해서다. 송씨가 카메라를 가린 이유는 '월패드 해킹' 논란 때문이다. 최근 온라인 커뮤니티를 중심으로 "해커가 월패드 카메라를 해킹해 촬영한 사생활 영상을 해외 사이트에서 고가에 거래하고 있다"는 피해 사례가 입길에 오르고 있다. 해킹 피해를 입은 것으로 추정되는 700개 넘는 아파트 단지 리스트와 영상의 섬네일 이미지 등도 함께 공유됐다.

다행히도 공개된 리스트에 송씨의 아파트는 없었다. 하지만 송씨의 집이 있는 '정자동 아파트'들의 이름이 있었다. '언제든 내 일이 될 수도 있다'는 생각에 불안했던 송씨는 월패드 카메라를 곧바로 가리고 수원 권선동 등 리스트에 올라있는 다른 동네에 사는 지인에게도 "카메라 해킹 조심하라"고 신신당부했다. 송씨는 "노트북 카메라 같은 것이 해킹될 수 있다는 얘기는 얼핏 들었어도 월패드 해킹은 상상도 못했다"며 놀라움을 감추지 못했다.


경찰, '리스트' 속 아파트 대상 해킹 시도 흔적 확인

경찰이 피해 가능성이 있는 아파트 단지를 대상으로 조사를 벌인 결과, 일부 아파트에서 실제 해킹 시도 흔적을 확인했다. 최근 한국인터넷진흥원(KISA)이 전용기 더불어민주당 의원실에 제공한 자료에 따르면, 지난달 경찰청 사이버범죄 테러수사대는 피해 추정 아파트 리스트의 704개 단지 중 세 곳에 대해 현장조사·관리서버 분석을 실시했다. 그중 두 곳에서 악성코드 '웹 셸(Web Shell)' 사용 흔적을 찾았다. 웹 셸은 해커가 업로드 취약점을 통해 관리자 권한을 얻어 시스템에 명령을 내릴 수 있는 악성코드다.

경찰청 사이버범죄 테러수사대 관계자는 한국일보와 통화에서 "해킹 시도가 있었던 흔적은 발견했지만 실제 해킹이 이뤄졌는지, 개인 정보 판매 등 추가 피해가 있었는지는 확인하지 못했다"며 "월패드 관리업체 세 곳을 상대로 자료 확보 등 추가 조사를 벌이고 있다"고 밝혔다.


월패드 등 홈네트워크 보안 취약은 꾸준히 지적

전문가들은 6년 전부터 인터넷과 연결된 월패드 등 홈 네트워크의 보안이 취약해 해킹 공격의 대상이 될 수 있다는 점을 지적했다. 2015년 고려대 서울캠퍼스에서 열린 '시큐인사이드2015' 콘퍼런스에서는 보안회사 소속 연구원이 월패드 해킹을 직접 시연했다. 연구원은 본인 집의 월패드와 네트워크로 연결된 노트북을 통해 원격으로 전등, 현관 도어록, 화상카메라 등을 제어했다.

특히 '공용 인터넷망'을 쓰는 공동주택에서 해킹 피해가 커질 수 있다는 우려 역시 3년 전에 제기됐다. 2018년 당시 국회 국토교통위원회 소속이었던 윤후덕 더불어민주당 의원은 언론 기고문을 통해 "현 주택법상 단지망은 전체 세대가 하나의 통신망을 공유해도 문제가 없어 단 한 번의 해킹으로도 모든 세대가 공격 대상이 되는데, 안전 장치는 없다"고 지적했다. 윤 의원은 이어 세대 간 사이버 경계벽을 구축하도록 하는 주택법 개정안을 발의했다. 하지만 윤 의원의 주택법 개정 시도는 월패드 업체, 건설업계 등의 거센 반발에 부딪혀 결실을 이루지 못했다.

심지어 최근 월패드와 같은 '스마트홈 기기'가 늘수록 일상적 해킹 위협도 커진다는 외국 실험 결과도 나왔다. 영국 소비자 전문지 위치(Which)는 7월 온도계와 주전자 같은 일상 제품부터 보안 시스템까지 모든 제품이 인터넷과 연결된 '가짜 스마트홈'을 만들었다. 이 스마트홈은 단 1주일 동안 1만2,000회 이상의 해킹 시도에 노출됐다. 공격을 피한 대부분의 제품과 달리 무선 카메라 한 대가 해킹됐고, 해커는 이 카메라를 통해 가짜 스마트홈을 몰래 들여다보려 했다.


정부가 내놓은 해결책, '신축 건물에만 적용' 한계

해킹에 대한 걱정은 커지지만 이를 미리 막을 법이나 제도는 충분히 갖춰져 있지 않다. 그나마 과학기술정보통신부·국토교통부·산업통상자원부는 이달 '지능형 홈네트워크 설비의 설치 및 기술기준' 고시 개정을 예고했는데, 세대별 망 분리, 홈네트워크 장비에 대한 '보안 요구사항' 충족 요구가 핵심이다.

과기정통부 관계자는 한국일보와 통화에서 "2년 전부터 피해를 막을 제도를 만들기 시작했다"며 "지난해 실시한 연구를 바탕으로 고시 개정안을 올해 1월 마련했지만 내용을 더 구체화해달라는 건설업계 관계자들의 요구가 있어 지난달 최종안을 마련했다"고 설명했다.

하지만 정부가 내놓은 개정안 역시 한계가 뚜렷하다. 새로 짓는 건물에만 적용되기 때문이다. 김승주 고려대 정보보안대학원 교수는 "이번 개정 내용은 2, 3년 뒤 지어질 신축 건물에만 적용되고, 당장 피해가 의심되는 아파트는 적용대상에서 빠진다"며 "때문에 국민들이 자신의 월패드가 안전한 것인지 확인할 수 있는 사이트 개설 등의 임시 조치라도 취해야 할 것"이라고 목소리를 높였다.

또 월패드 등 홈네트워크에 대한 보안 요구 수준도 강화해야 한다는 지적도 나온다. 김 교수는 "이번 개정안에는 '최소 보안 기준'이 도입된 것일 뿐 안전이 완전히 보장된다는 착각은 금물"이라며 "현행 KISA의 IoT(사물인터넷) 보안인증, 싱가포르의 사이버보안 표기 제도(CLS)처럼 개별 제품에 적용되는 보안인증을 넘어 '건물이 해킹으로부터 안전하다'는 것을 증명하는 인증제를 고려해야 한다"고 주장했다.

나광현 기자
세상을 보는 균형, 한국일보 Copyright © Hankookilbo