우리집 아파트도 털렸다? 월패드 CCTV 해킹 리스트·명단·제품 뭐길래? 코맥스 공식입장

살구뉴스 DB
살구뉴스 DB

전국 신축·대단지 아파트에 설치된 월패드 해킹 우려가 지속적으로 제기되고 있는 가운데 울산에서도 10여곳의 아파트가 월패드 해킹 리스트에 포함된 것으로 알려지며 지금까지 공개된 아파트 리스트 목록, 명단, 제품에 대한 관심이 집중되고 있습니다.

월패드는 공동주택에 설치 된 도어락, 조명, 난방, 안심카메라 등 집안 내 사물인터넷(IoT) 기능을 연동·제어하는 홈네트워크 허브를 뜻합니다. 월패드는 인터폰 뿐만 아니라 출입문, 엘리베이터, 전등 등 가구 내 대부분 장치 제어가 가능하고 스마트폰으로도 연결해 월패드를 원격제어할 수 있도록 서비스되고 있습니다.

하지만 공용주거시설에 설치되는 월패드가 공용네트워크를 사용해 한 집만 해킹당해도 아파트 전체가 해킹당할 가능성이 있는 등 보안에 취약합니다.

이 때문에 월패드가 해킹 됐다는 의미는 생각보다 심각합니다. 세대별 현관문이 해커에 의해 자유롭게 열리고, 가전의 작동을 제어하거나 월패드에 내장된 카메라로 CCTV 처럼 활용하며 실내를 몰래 촬영하는 것도 가능해집니다. 사실상 실내외 모든 방범 체계가 무너지는 것입니다.

울산 일부 아파트 관리사무소는 2021년 11월 22일 “아파트 월패드 해킹과 관련한 입주민들 문의가 많아 경찰 사이버수사대에 사실 확인 요청을 했다. 실제 피해가 확인되면 정식 수사지침이 내려올 것이라고 전달받았다”고 말했습니다.

이렇게 해당 아파트들은 경찰에 확인을 요청하는 등 대응에 나섰지만 근본적 해결책인 보안 강화 등 제도 개선은 여전히 지지부진합니다.

실제 2021년 11월 15일 IT 조선의 취재 결과 최근 다크웹(IP 추적이 안되는 웹)에 국내 아파트 사생활이 담긴 영상이 암호화폐 등으로 판매되고 있었습니다.

IT 조선의 취재는 최근 한 해외 해킹포럼을 통해 한국 아파트 내부 생활상을 담은 영상이 불법유통 되고 있다는 제보를 받았으며 시작 됐습니다. 실제로 해당 웹사이트에 들어가 확인해보니, 한 해커는 ‘대한민국 아파트 대부분을 해킹해 스마트홈 기기에서 영상을 추출했다’고 주장했습니다.

해커가 올린 게시글과 아파트 내부영상 해킹 섬네일 일부 / 해킹포럼 웹사이트 갈무리
해커가 올린 게시글과 아파트 내부영상 해킹 섬네일 일부 / 해킹포럼 웹사이트 갈무리

 

그는 수십개의 섬네일(미리보기 이미지)을 증거로 올렸습니다. 섬네일에는 일반 가정집 풍경 외에도 남녀의 알몸사진, 심지어 성관계를 가지는 모습 등 자극적인 이미지가 상당수 포함됐습니다. 화질이 좋지는 않았지만, 얼굴이 크게 찍힌 섬네일의 경우 당사자가 누군인지 식별까지도 할 수 있습니다.

이들 사진은 홍콩의 한 웹사이트에 먼저 공유된 뒤 해킹 포럼에서 재공유되는 방식으로 확산하고 있습니다. 사이트에는 한국 주거지를 특정한 사진 게시물이 지속 업로드 중입니다. 우리나라 아파트 내부 사진이 처음 공유되기 시작한 시점은 2021년 10월 13일(현지시간)이며 이후 주차장, 현관 등 사진이 추가로 올라오는 상황입니다.

 

섬네일을 올린 해커는 강력한 보안기술을 가진 것으로 알려진 프로톤 메일을 사용하고 있었습니다. IT조선이 직접 해커와 접촉을 해봤는데, 그는 한 가구의 하루 영상 가격으로 ‘0.1 BTC’를 제시했습니다. 0.1 비트코인을 한화로 환산해보니 11월 24일 시세 기준 800만원쯤입니다. 적나라한 사생활이 담긴 영상이 본인도 모르는 사이 거액에 유통되는 셈입니다.
 

이들 영상은 국내 아파트 CCTV 네트워크를 해킹해 녹화한 것으로 알려졌는데 해당 해커는 신축 아파트에 설치된 월패드를 해킹해 영상을 몰래 촬영한 것으로 추정됩니다. 이 해커가 공개한 영상 확보 리스트와 목록에는 전국 수백개 아파트 단지가 포함됐고 울산에서도 남·중·북구 등 10여곳의 대단지·신축 아파트가 포함돼 입주민들이 불안에 떨고 있습니다.

 

아래는 현재 온라인 커뮤니티에 확산되고 있는 해커가 해킹했다는 아파트 리스트 명단 입니다. 혹시라도 해당 리스트에 포함 된다면 월패드에 달린 카메라를 임시방편으로 스티커를 붙여두고 비밀번호를 변경하는것이 최소한의 방어 방법입니다.

온라인 커뮤니티
온라인 커뮤니티

이렇게 리스트까지 퍼지며 해외 해킹 사이트인 R사이트에 우리나라로 추정되는 아파트 내부가 담긴 사진이 유출된 가운데 월패드 전문기업 코맥스 홈네트워크 서버가 해킹 된 게 아니냐는 의혹이 제기되기도 했습니다.

그 이유로 업계 전문가 중 한 명은 "홈 화면 UI 구성이 같다"는 근거로 해당 제품을 "코맥스 CDP-1020MB일 것"이라고 추정했습니다.

대량으로 유출된 사진 중 코맥스의 한 제품으로 추정되는 사진의 모습입니다. [출처=R사이트 캡쳐]
대량으로 유출된 사진 중 코맥스의 한 제품으로 추정되는 사진의 모습입니다. [출처=R사이트 캡쳐]

 

코맥스 관계자는 "사진 속 제품은 절대 코맥스 제품이 아니다"라고 부정했습니다. 그는 "사진 속 월패드 홈화면 버튼 색상이 코맥스 제품과 다르며 다른 사진 프레임 역시 제품과 다르다"고 전했습니다. 그는 "해당 데이터를 보관하는 클라우드 서버를 점검한 결과 이상이 없었다"고 강조했습니다.

 

이 후 11월 24일 계속되는 논란에 코맥스 본사는 "최근 일부 언론에서 보도된 해외 해킹 사이트의 홈네트워크 해킹 이슈는 당사 제품과 무관함을 알려드립니다" 라며 다시 한번 해킹 당하지 않았다는 입장을 전했습니다.

코맥스 홈페이지
코맥스 홈페이지

 

보안 강화 대책이 지지부진한 사이 월패드 같은 홈네트워크 보안에 대한 문제는 갈수록 심각해지고 있습니다. 2020년까지 한국인터넷진흥원에 접수된 홈네트워크 보안 관련 신고건수는 총 1500여건, 한 해 평균 300건 이상 접수되고 있는 실정입니다.

실제로 월패드 해킹은 얼마나 취약할까요? 부산일보에서 진행한 테스트 결과 컴퓨터공학 전공 대학원생 ‘해커’가 일면식도 없는 한 아파트 세대의 현관문을 여는 데 걸린 시간은 고작 20분이었습니다.

거실 벽면에 부착돼 홈네트워크를 조정하는 월패드.부산일보
거실 벽면에 부착돼 홈네트워크를 조정하는 월패드.부산일보

 

<부산일보> 취재진과 동행한 ‘해커’ 역은 컴퓨터 전공 대학원생 2명입니다. 홈네트워크 해킹은 이번이 처음이라고 밝혔습니다. 이들이 해킹을 준비하는 데에 걸린 시간은 고작 하루 정도. 월패드 안에 있는 프로그램을 추출하고 코드를 분석해 어떤 기능이 있는지, 취약점을 분석하는 데 걸린 시간입니다.

준비를 마친 이들은 현장에 도착해서 특별한 장비 없이 노트북 한 대만으로 20분 만에 세대 내 홈네트워크 모든 장비를 제어 권한을 얻어냈습니다.

해킹에 참여한 대학원생들은 한 세대가 해킹에 뚫리면 1500세대 아파트 전체의 제어권을 손안에 넣을 수 있다고 설명했습니다. 단지 내 모든 세대의 네트워크는 한 서버로 연결돼 있기 때문입니다.

이 같은 아파트 지능형 네트워크의 '보안 구멍'은 세대별로 해킹을 막는 최소한의 방화벽 역할을 하는 ‘홈게이트웨이’가 제대로 시공되지 않아서입니다. 정부는 2008년 관계 법령을 신설하고 이듬해인 2009년 국토부, 과기부, 산자부 등 3개 부처 장관 공동으로 설비설치와 기술기준을 최초로 고시했습니다. 

 

의무 설비 20가지 중 핵심은 정전 때 홈네트워크를 가동하는 ‘예비 전원장치’와 해킹을 방지하기 위한 ‘홈게이트웨이’입니다. 그러나 지자체와 시공사의 방관 속에 해킹에는 무방비 상태로 방치되어 있습니다. '지능형 홈네트워크'가 2010년부터 전국의 아파트에 본격적으로 시공되며 사물인터넷(IoT)의 핵심 시설로 자리 잡았지만, 보안 시스템은 거의 작동하지 않는 것입니다.

이번 시연의 해커들은 “보통 은행이나 회사의 보안 프로그램에는 ‘안티 리버싱’을 적용해 외부인이 해킹을 못 하도록 하거나 속도를 늦추도록 한다”면서 “하지만 실제로 아파트 홈네트워크에는 그런 장치가 전혀 없었다”고 말했습니다. 또 그는 “IT 전공 대학생 정도만 되면 누구나 쉽게 할 수 있고, 인터넷에서 기본적으로 자료가 많아서 쉽게 따라 할 수 있을 것”이라고 덧붙였습니다.

해킹 대상은 인터폰이 아닌 모든 홈네트워크가 설치된 아파트라는 것이 이들의 설명입니다. 인터넷만 연동되면 어떤 홈네트워크도 해커의 먹잇감이 될 수 있다는 의미입니다. 더 큰 문제는 아파트 밖이나 심지어 다른 도시에서도 마음만 먹으면 다른 지역의 아파트 해킹이 가능하다는 점입니다. 이들은 “월패드 프로그램을 한 번 분석하기만 하면 그곳이 집 밖이던 심지어 서울에서도 무선으로 그 아파트 모든 세대의 현관문을 여는 것이 가능하다”고 전했습니다.

전문가들은 ‘스마트홈’ 시대를 대비해 홈네트워크 보안 문제를 해결해야 한다고 지적합니다. 한국정보통신기술사회 남우기 회장은 “2년 전에 한 고등학생이 관리 시스템을 해킹해 수도권 아파트의 전기세를 0원으로 만드는 사례가 있었다”면서 “홈네트워크는 인터넷에 모두 노출된 구조로 스토킹을 포함한 심각한 보안 문제를 가지고 있지만, 여전히 관심이 부족하다”고 전했습니다.

저작권자 © 살구뉴스 - 세상을 변화시키는 감동적인 목소리 무단전재 및 재배포 금지
당신이 좋아할 만한 뉴스
많이 본 뉴스