보안인증 안 받는 中 IP카메라…당신의 사생활이 탈탈 털린다

중국 제품 보안 사각지대

하이크비전·샤오미·이지엔 등
가성비 앞세워 국내시장 장악
직구제품 KC인증 의무도 없어

"보안 수준에 따라 혜택 주면 업체 스스로 보안성 높일 것"
Getty Images Bank
방범이나 육아 용도로 널리 쓰이는 인터넷프로토콜(IP) 카메라가 해킹되는 사건이 잇따르고 있다. ‘가성비(가격 대비 성능)’를 앞세워 국내 시장을 장악하고 있는 중국산 IP 카메라 중 상당수가 보안에 문제가 있다는 지적이 나온다.

中 IP카메라, 보안인증은 뒷전지난 1일 국내에서 5000대에 달하는 IP카메라를 해킹한 일당이 경찰에 붙잡혔다. 이들은 2014년 6월부터 지난달까지 국내 가정집 등에 설치된 IP카메라 4912대에 접속해 영상정보를 빼돌린 혐의를 받고 있다. 영상에는 일상 모습부터 민감한 사생활까지 담긴 것으로 전해졌다.

IP카메라 해킹이 빈번해지고 있지만 국내에서 인기를 끌고 있는 중국산 제품 대부분이 보안인증을 제대로 받지 않은 것으로 드러났다. 한국정보통신기술협회(TTA)의 품질·보안 인증절차를 거친 중국산 폐쇄회로TV(CCTV) 및 IP카메라는 하이크비전 제품 2개와 다후아 제품 1개뿐이다. 저가형 IP카메라로 구매가 늘고 있는 샤오미 제품은 한 차례도 인증을 받지 않았다. 하이크비전과 샤오미는 한국 시장에서 점유율 1위와 3위를 달리고 있다.

‘직구(직접구매)’ IP카메라들은 정부가 강제하는 보안 규정을 아예 적용받지 않는다. 정부는 내년 1월부터 국가통합인증마크(KC인증) 규정을 통해 사용자들이 IP카메라 비밀번호를 반드시 설정하도록 의무화할 방침이다. 그러나 직구 제품은 정식 유통업체가 없어 KC인증을 받을 의무에서 자유롭다. TTA의 품질·보안 인증 역시 신청할 주체가 없다는 설명이다.
보안인증제 강제성 없어

정부는 지난해 말 ‘IoT 보안인증서비스’를 시행해 IP카메라를 비롯한 민간 사물인터넷(IoT) 기기의 보안성을 높이겠다는 계획을 밝혔다. 하지만 지난 1년간 이 인증을 통과한 IP카메라 업체는 단 한 곳도 없어 유명무실하다는 비판이 나오고 있다. 강제성이 없어 참여율이 저조한 게 가장 큰 이유다.

정부가 IP카메라의 보안인증을 강제하지 못하는 이유는 국내 영세업체들 때문이다. 보안성을 고려해 개발하면 전체 개발 비용이 상승하므로 저가 중국산 제품과 경쟁하기 어렵다. 박창열 한국인터넷진흥원 IoT융합보안팀장은 “국내 IoT 제조기업 80% 이상이 50인 미만의 중소업체로 보안인증을 강제하기 어려운 상황”이라며 “법으로 해결하면 간단하지만 제조사에 민감한 이슈라서 신중한 검토가 필요하다”고 설명했다.전문가들은 보안인증을 강제하는 것보다 보안성 등급을 매겨 이에 따른 혜택을 부여해 업체들을 유도해야 한다고 조언한다. 이희조 고려대 컴퓨터공학과 교수는 “정부가 보안 인증을 의무화하면 최소 기준을 맞춘 제품만 시장에 나올 것”이라고 지적했다.

공공기관에 설치된 CCTV도 보안 사각지대에 있기는 마찬가지다. 박대출 자유한국당 의원에 따르면 정부과천청사에 설치된 CCTV 328대 중 155대(47.3%)는 보안 인증을 거치지 않은 하이크비전 제품이다. 취약한 보안성 탓에 미국에선 지난 8월부터 사용이 금지됐다. TTA는 보안 우려를 의식해 올해 처음 공공기관용 CCTV에 대한 보안인증을 시행했지만, 보안인증을 통과한 제품 명단에 하이크비전 제품은 포함돼 있지 않았다. TTA 관계자는 “공공기관용 보안인증은 임의 인증으로 교체 여부는 운용기관의 선택사항”이라고 해명했다.

배태웅 기자 btu104@hankyung.com