인터넷에 그대로 열려 있는 웹캠들
요즘은 반려동물 보려고, 매장 관리하려고, 현관 확인하려고 IP 카메라 하나쯤 두는 집이 정말 많아졌죠. IP 카메라가 뭐냐면 그냥 인터넷에 연결된 CCTV라고 보면 돼요. 스마트폰 앱으로 어디서나 영상을 볼 수 있으니까 편하잖아요. 그런데 이 카메라들 중에서 놀랄 만큼 많은 수가 비밀번호 같은 최소한의 잠금장치도 없이 인터넷에 그대로 열려 있다는 사실, 혹시 알고 계셨나요?
IP Crawl이라는 프로젝트는 바로 이 점을 적나라하게 보여줘요. 공개된 인터넷을 자동으로 훑고 다니면서, 누구나 인증 없이 들어갈 수 있는 웹캠을 찾아내 한곳에 지도처럼 모아 보여주거든요. 사실 이런 시도가 완전히 새로운 건 아니에요. 예전부터 Shodan이나 Insecam 같은 서비스가 비슷한 일을 해왔죠. 그런데도 이런 프로젝트가 계속 등장한다는 건, 바꿔 말하면 '지금 이 순간에도' 무방비로 노출된 기기가 여전히 어마어마하게 많다는 뜻이에요.
도대체 왜 이런 일이 벌어질까
원인은 크게 세 가지로 정리할 수 있어요.
첫째는 기본 비밀번호예요. 카메라를 처음 사면 보통 admin / admin 같은 공장 초기 계정이 들어 있는데, 이걸 안 바꾸고 그냥 쓰는 분이 정말 많아요. 문제는 이 기본 계정 목록이 인터넷에 다 공개돼 있다는 거죠. 비밀번호가 잠겨 있어도 사실상 안 잠긴 거나 마찬가지인 셈이에요.
둘째는 포트 포워딩과 UPnP예요. 집 밖에서 카메라 영상을 보려면 공유기에 외부에서 들어올 수 있는 '문'을 하나 열어줘야 하는데, 이걸 포트 포워딩이라고 해요. 그런데 이 문을 여는 순간 우리 집 카메라가 전 세계 인터넷에 그대로 보이게 되는 거예요. 게다가 UPnP라는 기능이 있는데, 이게 뭐냐면 기기가 알아서 공유기한테 '나 문 좀 열어줘'라고 요청해서 자동으로 열어버리는 기능이에요. 사용자는 자기가 문을 열었는지도 모르는 채로 노출되는 거죠.
셋째는 방치된 펌웨어예요. 카메라 소프트웨어에 취약점이 발견돼서 제조사가 패치를 내놔도, 업데이트를 안 하면 구멍은 그대로 남아 있어요.
IP Crawl 같은 도구의 동작 원리도 의외로 단순해요. 인터넷에 존재하는 IP 주소를 쭉 훑으면서, 웹캠이 자주 쓰는 포트(웹 화면용 80·8080, 영상 스트리밍용 RTSP 554 같은 것들)가 열려 있는지 두드려 보고, 돌아오는 응답을 분석해서 '아, 이건 웹캠이구나' 하고 판별하는 식이에요.
업계에서는 어떻게 봐왔나
이런 흐름의 원조 격은 Shodan이에요. 흔히 '사물인터넷 검색엔진'이라고 부르는데, 웹사이트가 아니라 인터넷에 연결된 '기기' 자체를 검색해주는 서비스죠. 카메라뿐 아니라 공유기, 산업용 제어장치, 심지어 발전소 설비까지 검색되는 걸로 유명해요. Censys도 비슷한 결을 가진 서비스고요.
이게 단순한 호기심거리로 끝나지 않는다는 걸 보여준 사건이 바로 2016년 Mirai 봇넷이에요. 공격자가 기본 비밀번호를 안 바꾼 IoT 기기 수십만 대를 감염시켜서 거대한 좀비 군단을 만들었고, 이걸로 대형 인터넷 서비스들을 한꺼번에 마비시키는 DDoS 공격을 일으켰거든요. '내 카메라 하나쯤이야' 하고 방치한 기기들이 모이면 인터넷 전체를 흔드는 무기가 될 수 있다는 걸 똑똑히 보여준 사건이었죠.
한국 개발자에게 주는 시사점
먼저 분명히 해둘 게 있어요. 남의 웹캠을 들여다보는 건 명백한 불법이에요. 정보통신망법 위반이고, 그냥 '구경'이라고 넘어갈 수 있는 일이 아니에요. 이런 프로젝트는 흥밋거리가 아니라 '당신 기기도 이렇게 열려 있을 수 있다'는 경고로 받아들이는 게 맞아요.
그래서 사용자 입장에서 당장 할 수 있는 건 이래요. 카메라를 사면 제일 먼저 기본 비밀번호를 길고 복잡한 걸로 바꾸고, 공유기에서 UPnP를 꺼두세요. 외부에서 꼭 봐야 한다면 포트를 직접 여는 대신 VPN을 통해 집 네트워크 안으로 들어와서 보는 방식이 훨씬 안전해요. 그리고 펌웨어 업데이트 알림이 오면 미루지 말고 바로 적용하세요.
개발자라면 한 걸음 더 들어가야죠. IoT 제품이나 관리자 페이지를 만들 때 기본 비밀번호를 그대로 못 쓰게 강제로 변경시키는 절차를 넣고, 인증 없는 접근은 아예 막아야 해요. '사용자가 알아서 잘 설정하겠지'라는 가정이 바로 이 모든 사고의 출발점이거든요.
마무리
결국 핵심은 하나예요. 편리함을 위해 연 문 하나가, 전 세계에 우리 집을 생중계하는 창문이 될 수 있다. 여러분이 쓰는 IP 카메라나 공유기, 지금 어떤 상태인지 한번 점검해보면 어떨까요? 혹시 UPnP가 켜진 채로 방치돼 있진 않나요?
🔗 출처: Hacker News
"비전공 직장인인데 반년 만에 수익 파이프라인을 여러 개 만들었습니다"
실제 수강생 후기- 비전공자도 6개월이면 첫 수익
- 20년 경력 개발자 직강
- 자동화 프로그램 + 소스코드 제공