정부와 공공기관에 설치되는 IP카메라(일명 CCTV)는 앞으로 보안적합성 검증을 받아야 한다.
국가정보원은 4월 1일부터 사이버안보 업무규정 제9조에 규정된 '보안기능이 있는 정보통신기기'에 해당하는 영상정보처리기기 제품군(IP카메라, NVR 등)에 대해 보안적합성 검증을 시행한다고 밝혔다.
국정원이 영상정보처리기기 제품군에 대한 보안 기준과 검증 절차를 정비한 건 CCTV제품군에 대 사이버 위협이 높아진 탓이다.
IP카메라는 국가 주요 기관 곳곳에 설치되고 네트워크로 연결된다. 이런 영상정보처리기기에 숨겨진 백도어를 통해 해킹 가능성 등이 거론됐다. 알려진 취약점 등이 조치되지 않아 사이버 위협에 노출된 사례가 늘었다.
실제로 중국 해커가 우리 국민의 거실과 안방에 설치된 카메라를 해킹한 사례도 있다. 해외에서는 인터넷에 연결된 IP카메라가 분산서비스거부(DDoS) 공격을 위한 봇에 감염되는 사례도 발견됐다.
국정원은 2018년부터 각 부처에 "공공기관에 IP 카메라와 NVR 등 영상보안 장비를 도입할 경우, 한국정보통신기술협회(TTA)의 '공공기관용 보안인증(이하 TTA 인증)'을 획득한 제품을 사용하라"고 권고했다. 2023년 3월 20일부터는 TTA보안인증제품 도입을 의무화하는 등 CCTV제품군에 대한 보안정책을 지속 강화해왔다.
국정원은 국가 공공기관에 도입되는 IT보안제품에 대해 보안적합성 검증을 해왔는데 이번에 IP카메라 등 CCTV제품군까지 범위를 확대한 것이다.
국정원은 공공・국방분야 공통 국가용 보안요구사항(최종안)도 함께 공개하며 의견수렴에 나섰다. 국정원에 따르면 최종 공개에 이르기 까지 수 차례에 걸쳐 관련업계로부터 의견을 받아 수정했다. 국군방첩사령부도 참여, 공공・국방분야 CCTV제품군에 대한 공통 보안기준을 작성했다.
보안적합성 검증의 대상이 되는 제품유형은 IP카메라와 NVR(Network Video Recorder), 영상관리시스템(VMS) 등이다. 사전인증요건은 보안기능 확인서 또는 공공기관용 CCTV 보안 성능품질 TTA 인증(Verified)이다.
IP카메라는 사람 또는 사물의 영상 등을 촬영하고 일부는 오디오까지 IP 네트워크를 통해 전송할 수 있는 하드웨어 일체형 장비다. 연결된 미디어 서버와 제어·관리를 위한 웹 서버를 포함한다.
예를 들어, 실화상 카메라, 영화상 카메라, 머신비전 카메라 등 유형에 관계없이 TCP/IP 네트워크에 연결돼 IP를 할당받고 영상 데이터를 전송하면 보안적합성 검증 대상이다.
국정원은 IP카메라의 펌웨어를 검증대상으로 지목했다. 한국에서 개발 제조된 제품은 물론이고 해외에서 수입돼 판매되는 IP카메라에 대해서도 반드시 업체간의 펌웨어 탑재계약을 요구했다. 해외에서 들여온 보안이 취약한 IP카메라의 무분별한 공공기관 설치를 막는 조치다.
4월1일부터는 보안기능 확인서 또는 TTA보안인증을 받은 CCTV 제품만 공공기관에 설치가 가능하다. IP카메라 제조 및 유통사는 제품설명서 보안기능 구현명세서, 보안기능 운용 설명서, 시험결과서, 취약점 개선 내역서 등 5종 문서를 제출해야 한다.