30일 서울 중구 페럼타워에서 열린 기자간담회에서 장형욱 이큐스트 전문위원이 다크웹에 올라온 사생활 유출 동영상에 대해 설명하고 있다.© 뉴스1

#특수한 브라우저로만 접속할 수 있는 '다크웹'에서 'spycam'을 검색하자 수많은 사이트가 떠오른다. 이 중 1곳을 클릭해 들어가자 웹캠, IP카메라 등에 찍힌 동영상 썸네일이 무수히 나열된다. 범죄의 온상으로 불리는 다크웹에서 해킹으로 유출된 사생활 동영상이 버젓이 유통되는 모습이다.

SK인포섹의 보안전문가그룹 '이큐스트'(EQST)는 30일 서울 중구 페럼타워에서 기자간담회를 열고 가정용 사물인터넷(IoT) 기기 해킹방법과 유출된 사진·영상이 불법 유통되는 과정을 시연했다.

이큐스트는 "가정용 사물인터넷(IoT) 기기 해킹에 따른 사생활 침해 위협은 이미 심각한 수준에 이르고 있다"고 경고했다. 현장에서 접속한 다크웹 사이트 화면에는 개인이나 유명인의 사생활 영상과 사진이 여과없이 노출됐다.

장형욱 이큐스트 전문위원은 "다크웹은 IP 추적이 불가능해 익명성이 보장되고 추적도 어렵기 때문에 불법적인 영상이나 물건을 거래하는데 쓰인다"며 "IP 카메라 해킹 동영상이나 비밀리에 촬영된 사생활 침해 동영상 사이트가 굉장히 다양하다"고 설명했다.

현재 세계적으로 사용되고 있는 IoT기기는 약 80억개에 이르며, 2025년에는 215억개로 늘어날 전망이다. 이를 노린 IoT 해킹 시도 역시 매년 늘어나고 있는데, 특히 비교적 보안이 허술한 가정용 IoT기기를 해킹해 사생활을 침해하는 사례가 두드러진다.

이미 세계적으로 인터넷에 연결된 장난감, 가전제품, IP카메라 등 수많은 가정용 IoT기기가 공격당한 사례가 나왔고, 국내에서도 지난해말 반려동물용 IP카메라를 해킹해 사생활을 훔쳐본 일당이 대거 검거되며 더이상 안전지대가 아니라는 사실이 알려졌다.

김태형 이큐스트 랩장은 "주로 정부나 기업을 목표로 했던 사이버공격이 유독 IoT 분야에서는 일반 개인을 노리는 경우가 잦아지고 있다"며 "큰 노력을 들이지 않아도 쉽게 해킹할 수 있는 가정용 IoT기기의 취약성을 고려할 때 공격은 더 늘어날 것"이라고 말했다.

특히 국내에선 IoT기기의 절반 이상이 가정에서 사용될 만큼 가정용 IoT기기가 보편화되고 있어 이용자들의 각별한 주의가 필요한 상황이다.

가장 확실한 대응방법은 IoT 기기의 비밀번호를 바꾸는 것이다. 해커들은 자동화 프로그램으로 비밀번호를 바꾸지 않은 기기의 인터넷주소를 찾아 공격하기 때문에 비밀번호만 바꿔도 해킹의 70~80%는 피할 수 있다. 비밀번호는 되도록 10자리 이상으로 대문자와 소문자, 특수문자를 섞어쓰는 것이 권장된다.

김 랩장은 "IP카메라 해킹에는 여러 유형이 있지만 대부분이 관리자 계정과 비밀번호가 기본값으로 설정돼 있는 기기부터 노린다"며 "비밀번호를 설정하는 것만으로도 해킹 위험이 크게 낮아진다"고 강조했다.

현재 국내에서 IP카메라 등을 제조하는 업체들은 대부분 영세한 규모로, 중국산 제품의 저가공세에 대응하느라 자체적인 보안 기능을 강화할 여력이 크지 않다. 정부도 가정용 IoT기기 해킹으로 인한 사생활 침해 문제가 대두되자 '비밀번호 개별 설정 및 변경 의무화' 제도를 오는 2월 시행할 예정이지만, 제도가 자리잡기까진 개별 이용자들이 좀 더 보안의식을 갖고 사용하는 것이 최선이라는 게 전문가들의 조언이다.

김 랩장은 "IoT기기 제조사들의 보안투자와 사용자의 보안의식이 개선되지 않으면 사생활 침해는 앞으로 계속 늘어날 것"이라며 "개인정보 보호를 위해 정부와 기업, 국민 모두가 IoT기기 해킹 문제에 관심을 가져야 한다"고 말했다.