우리 집 CCTV가 전쟁 무기가 된다면

테헤란 시내 교통카메라 수천 대가 이스라엘 정보기관의 눈이 되어 있었다. 이란 최고지도자 알리 하메네이의 일상을 실시간으로 감시하며, 암살 작전의 핵심 정보를 제공했다. "우리는 예루살렘을 아는 것처럼 테헤란을 알고 있었다"고 이스라엘 정보 당국자가 증언했다.

이것은 SF 영화 속 이야기가 아니다. 지금 중동에서 벌어지고 있는 현실이다.

전쟁터가 된 우리 동네 CCTV

이스라엘 보안업체 체크포인트가 수요일 발표한 연구에 따르면, 이란과 관련된 해커 그룹이 중동 지역 민간 보안카메라 수백 대를 해킹하려 시도했다. 공격 시점은 이란의 미사일과 드론 공격과 정확히 일치했다.

해킹 대상은 평범한 가정집과 상점가에 설치된 히크비전과 다후아 브랜드 카메라들. 바레인, 키프로스, 쿠웨이트, 레바논, 카타르, UAE는 물론 이스라엘 내부에서도 수백 건의 침입 시도가 포착됐다.

"이제 카메라 해킹은 군사 작전의 표준 절차가 됐다"고 체크포인트의 세르게이 시케비치 연구원은 말한다. "값비싼 군사 위성 없이도 직접적인 시야를 확보할 수 있고, 해상도도 더 좋다."

5가지 취약점, 10년 된 보안 구멍

해커들이 악용한 취약점은 5개. 모두 2017년부터 알려진 오래된 보안 구멍들이다. 제조사가 이미 패치를 배포했지만, 대부분의 사용자는 업데이트 존재조차 모르고 있다.

"복잡하거나 정교한 공격이 아니다"라고 시케비치는 강조한다. "그냥 쉽고 효과가 좋아서 시도하는 것이다."

공격 시기도 의미심장하다. 2월 28일과 3월 1일 집중 공격은 미국과 이스라엘의 이란 공습 시작 시점과 일치한다. 1월 중순 공격은 이란 내 시위 확산과 미-이스라엘 공격 준비 시기와 겹친다.

우크라이나가 보여준 '카메라 전쟁'

이런 전술은 이미 우크라이나 전쟁에서 본격화됐다. 러시아는 키예프의 보안카메라 2대를 해킹해 우크라이나 인프라와 방공망을 감시했다. 우크라이나 보안청은 "침략자가 이 카메라들을 이용해 키예프 공습을 준비하고 조정했다"고 밝혔다.

대응도 극단적이었다. 우크라이나는 러시아가 악용할 수 있는 인터넷 연결 카메라 1만 대를 강제로 차단했다. "거리 웹캠 소유자들은 온라인 방송을 중단하라"는 공식 요청까지 나왔다.

흥미롭게도 우크라이나도 같은 전술을 사용했다. 크림반도 세바스토폴 만에서 러시아 잠수함을 폭파할 때 공개된 영상은 해킹된 감시카메라에서 나온 것으로 추정된다.

한국도 예외가 아니다

국내에도 히크비전과 다후아 카메라가 수십만 대 설치되어 있다. 아파트 단지, 상가, 개인 주택까지 광범위하게 사용 중이다. 미국은 이미 두 회사 제품을 보안 우려로 사실상 금지했지만, 한국은 여전히 널리 사용되고 있다.

문제는 책임 소재의 애매함이다. "제조사와 소유자는 피해자가 아니고, 정작 피해자는 이 도구를 통제할 수 없다"고 전 미국 사이버보안청 고문 보 우즈는 지적한다.

삼성전자와 LG전자 등 국내 기업들도 보안카메라 시장에 진출하고 있지만, 여전히 중국산 저가 제품이 시장을 장악하고 있다. 가격은 저렴하지만 보안 업데이트는 뒷전인 구조다.