캠퍼스 프로젝터와 카메라 수천 대를 손에 넣은 한 학생의 네트워크 탐험기

호기심에서 시작된 캠퍼스 스캔

한 대학생이 자기 학교 네트워크를 호기심에 스캔해 봤다가, 캠퍼스에 설치된 프로젝터와 카메라, 회의실 디스플레이를 거의 다 제어할 수 있는 권한을 얻게 된 이야기예요. 무서운 듯 흥미로운 이 사례는 보안에 관심 있는 분이라면 한 번쯤 곱씹어볼 만한 교과서 같은 케이스라서 정리해봤어요.

출발점은 단순했어요. 강의실에 있는 프로젝터의 IP 주소가 모니터 한 구석에 떠 있는 걸 본 거예요. 학교 와이파이에 접속한 노트북으로 그 주소에 접속해 보니, 인증도 없이 곧장 프로젝터 관리자 페이지가 열렸어요. 거기서 켜고 끄기는 물론이고, 입력 신호 바꾸기, 음량 조절, 심지어 이미지 업로드까지 가능했죠. 한 대만 그런 게 아닐 거라는 직감으로 학교 네트워크 대역 전체를 Nmap으로 훑어보기 시작한 게 이번 이야기의 본격적인 시작이에요.

Nmap과 배너 그래빙, 무엇을 했나

Nmap이 뭐냐면, 네트워크에 어떤 기기가 어떤 포트를 열어두고 있는지 확인하는 표준 도구예요. "이 IP 대역에서 80번 포트(웹) 열려 있는 기기 다 찾아줘" 같은 명령 한 줄이면 수천 개의 기기를 몇 분 만에 스캔할 수 있어요. 글쓴이는 학교가 사용하는 사설 IP 대역을 추측하고, 거기에 대해 웹 포트와 프로젝터 제조사들이 흔히 쓰는 포트들을 골라 스캔을 돌렸어요.

그 다음 단계가 배너 그래빙(banner grabbing) 인데요, 이건 각 기기에 살짝 연결해서 "너 누구야?" 하고 물어보는 거예요. 웹 서버라면 응답 헤더에 "이 모델은 Epson PowerLite", "Sony VPL-CH" 같은 정보가 그대로 노출되는 경우가 많아요. 이런 식으로 모델명을 알아내고, 해당 모델의 공식 매뉴얼을 인터넷에서 받아 기본 비밀번호를 확인하는 거예요. 보통은 admin/admin, 1234, 빈 문자열 같은 게 그대로 쓰이고 있어요.

결과적으로 글쓴이는 수백 대의 프로젝터와 IP 카메라, 디지털 사이니지에 관리자 권한으로 접근할 수 있었어요. 마음만 먹으면 강의 중에 화면을 다른 이미지로 바꾸거나, 카메라 영상을 가로채거나, 모든 장비를 동시에 꺼버릴 수도 있었던 거죠. 글쓴이는 당연히 장난을 치지 않고 학교 IT 부서에 책임 있게 공개(responsible disclosure)했고, 그 과정과 답변까지 글에 담아 두었어요.

왜 이런 일이 가능했을까

핵심 원인 세 가지를 짚을 수 있어요. 첫째, 네트워크 분리(segmentation)가 없었어요. 학생용 와이파이와 강의실 장비가 같은 네트워크에 묶여 있으니, 학생 노트북에서 프로젝터에 곧장 접근이 됐어요. 원래는 VLAN이나 방화벽으로 학생 단말과 시설 장비를 격리해야 해요. 둘째, 기본 자격증명이 그대로 살아 있었어요. 프로젝터, 카메라, 사이니지 같은 "설치하고 잊어버리는" 장비들은 한번 천장에 매달리면 누구도 다시 손대지 않다 보니 출고 시 비밀번호가 몇 년이고 유지돼요. 셋째, 펌웨어 업데이트가 안 되고 있었어요. 알려진 취약점이 그대로 남아 있는 경우가 많아서, 비밀번호조차 필요 없는 백도어 같은 경로도 종종 발견돼요.

IoT 보안, 사실은 전 세계 공통 골칫거리

이 문제는 한 학교의 일이 아니에요. Shodan이라는 검색엔진이 있는데, 이게 전 세계 인터넷에 노출된 장비를 검색해주는 사이트거든요. "기본 비밀번호로 열리는 프로젝터", "인증 없이 노출된 산업제어 시스템" 같은 게 진짜로 검색되는 세계예요. 2016년의 Mirai 봇넷 사태가 대표적이에요. 기본 비밀번호를 쓰는 IP 카메라와 공유기 수십만 대가 한꺼번에 좀비가 돼서 DNS 공급자 Dyn을 마비시켰고, 그날 미국 절반의 인터넷이 흔들렸어요. 이후로 미국 캘리포니아주에서는 IoT 기기에 출고 시 고유 비밀번호 부여를 의무화하는 법까지 만들었고요.

비슷한 사례로 학교, 병원, 호텔의 회의실 시스템이 무방비로 노출된 케이스가 매년 보안 콘퍼런스에서 발표돼요. 비교 대상이 되는 또 다른 흐름은 제로 트러스트 네트워크예요. "내부 네트워크는 안전하다"는 전제를 버리고, 모든 장비와 사용자가 매번 인증을 거쳐야 한다는 사상인데, 이런 IoT 사고를 보면 왜 업계가 그 방향으로 가는지 직관적으로 이해돼요.

한국 개발자에게 주는 시사점

실무에서 IoT 장비나 사내 네트워크를 다룬다면, 이번 사례에서 체크리스트를 뽑아 둘 만해요. 첫째, 설치 즉시 기본 비밀번호를 바꾸는 절차를 운영 매뉴얼에 못 박으세요. 사람이 잊을 수밖에 없으니, 설치 검수 단계에서 자동 스캔 도구로 기본 자격증명 사용 여부를 확인하는 게 좋아요. 둘째, 시설 장비와 사용자 네트워크는 반드시 VLAN으로 분리하세요. 작은 사무실이라면 공유기 두 대로도 충분히 분리할 수 있어요. 셋째, 펌웨어 업데이트 정책을 만드세요. 분기에 한 번이라도 점검하는 사이클이 있는 것과 없는 것은 5년 뒤에 큰 차이를 만들어요.

또 보안 공부를 시작하는 분이라면, 이번 글이 좋은 학습 로드맵이 돼요. Nmap, 배너 그래빙, Shodan, 책임 있는 공개 절차까지가 침투 테스트 입문의 거의 전부거든요. 단, 반드시 본인 소유의 네트워크나 명시적 허락을 받은 환경에서만 실습해야 해요. 학교 네트워크라도 사전 허락 없이 스캔하면 정보통신망법 위반이 될 수 있어요. 글쓴이도 결과적으로는 학교가 고마워했지만, 일반화하기 어려운 사례예요.

마무리

물리적으로 천장에 박혀 있는 장비라고 해서 안전한 게 아니에요. 네트워크에 연결되는 순간 그것도 컴퓨터고, 컴퓨터인 이상 공격 대상이에요. 여러분이 다니는 회사나 학교에서 "저거 누가 관리하지?" 싶은 장비, 떠오르는 게 있나요?