요즘 시대에 주위를 둘러보면 쉽게 볼 수 있는 것이 웹캠이다. 노트북, 휴대폰에도 달려있고 스마트 홈 카메라, 애완견을 확인하는 카메라 등 각양각색으로 사용되고 있는 웹캠을 볼 수 있다. 그리고 어디선가 한 번쯤은 이런 웹캠을 통해 해킹할 수 있다는 것을 들어봤을 것이다. 카메라 해킹을 통해 개인의 사생활이 쉽게 노출되고 이를 이용해 금전적인 이득을 얻거나 부당한 이유로 해킹하기도 한다. 오늘은 요즘 많이 사용하고 있는 카메라 해킹에 관하여 이야기해보려 한다.
웹캠이란 웹(web)과 카메라(camera)의 합성어로 인터넷상에서 사용되는 카메라를 말한다. 일반인은 보통 대화용으로 많이 쓰이고 요즘 들어서는 감시카메라, 무인카메라 등 여러 곳에서 쓰이고 있다. 특히나 대다수 노트북은 기본적으로 카메라를 가지고 있고 사생활과 밀접한 핸드폰에서도 카메라는 달려있다.
이런 웹캠을 뚫는 것은 구글에 검색만 해도 수많은 글이 나와 일반인들도 쉽게 접근할 수 있다. 더군다나 그러한 글들은 웹캠이나 컴퓨터 해킹에 대한 지식이 전혀 전혀 없어도 따라 할 수 있을 정도로 자세하다. 대다수의 웹 캠 중에서도 웹 캠이 작동하는 주소가 비밀인 일부 웹캠을 제외하면 대부분의 웹캠은 그냥 기기에 달려있다. 다음은 웹 캠 해킹이 어렵지만은 않다는 것을 보여줄 웹 캠 해킹의 몇 가지 방법이다. 이 방법은 크게 네 가지로 나뉘어 실제 있었던 일들을 적용한 방법이다.
첫 번째는 스파이 프로그램을 이용한다. 즉, 컴퓨터에 설치된 원격 관리 도구(Remote Administration Tools, RATs)를 이용하는 것이다. ‘RATs’는 컴퓨터에 설치되어 원격 프로그램으로 시스템을 업그레이드하거나 환경설정을 하는 등 원격으로 사용자에게 도움을 줄 수 있도록 하는 프로그램이다. 2010년, 펜실베이니아에 있는 두 개의 고등학교 학생들은 LANrev라는 원격 모니터링 기능을 포함한 프로그램 사용에 대해 소송을 제기했다.[1] LANrev가 설치되어 있었던 Mac 컴퓨터는 학교 소유의 컴퓨터로 집에서 공부하는 이들을 위해 원격으로 공부할 수 있도록 사용되는 컴퓨터였다. 하지만 이 컴퓨터에 설치된 보안 소프트웨어에는 도용 추적이라는 기능이 있어 관리자가 학생의 웹캠을 원격으로 볼 수 있었다. 이 기능은 도난 신고용으로만 사용했다는 학교의 주장에도 많은 학생이 웹 캠이 작동하고 있다는 표시등이 깜박였다는 것을 봤다고 했다. 결국, 학교는 학생들의 사진 56,000장을 찍었다는 것을 인정했고, 이 제품을 개발한 업자는 이러한 기능을 뺀 새로운 버전의 프로그램을 출시했다.
또 다른 방법으로 네트워크와 연결된 카메라를 이용한다. 본문에서는 TRENDnet에서 판매했던 카메라만 해당한다. TRENDnet에서 판매하던 카메라는 일반적으로 중소기업이나 가정에서 어린이나 아이를 보기 위해 사용되었다. 현재는 보안 패치가 되었고 이후에는 더는 취약한 부분이 있는 카메라는 판매되지 않았다. 하지만 여전히 사용되고 있는 카메라가 많으리라 생각하고 적어본다. 이 회사에서 판매한 카메라는 카메라의 공용 IP 주소만 알면 되었다. 아 IP를 통해 접속하면 다른 사용자의 웹캠을 확인할 수 있었고 이러한 취약점이 1년 정도 방치되었다. 현재는 공용 IP에 연결이 안 되지만 간혹 숨겨져 있는 토르(Tor) 노드를 통해서 카메라를 볼 수 있는 리스트를 찾을 수 있다고 한다. 비슷하게 Foscam 회사의 카메라에서도 비슷한 버그를 찾을 수 있다. 실시간으로 스트림을 보기 위해 사용자 이름과 암호를 묻는 메시지가 나온다. 이때 침입자가 Enter를 누르면 자연스레 웹캠을 해킹할 수 있다. 더욱이 Foscam 회사는 아기들을 볼 수 있는 카메라를 판매하는 기업으로 보통은 모니터에 스피커가 달려 원격으로 아이를 진정시키거나 편안하게 해줄 수 있다. 실제로 두 가족에게서 이렇게 네트워크와 연결된 캠 해킹 사건이 일어났었다. 그중 한 가정에서는 2013년 8월, 어떤 모르는 이가 자신의 카메라로 욕과 음담패설을 늘어놓았고 가족은 카메라의 전원을 뽑았다고 말했다.[2]
다음은 소프트웨어, 네트워크와 상관없이 모든 웹캠에 해당될 수 있는 방법이다. 사실 침입자가 쉽게 웹캠을 해킹하려 들면 보통은 웹캠에 연결할 수 있는 주소를 입력한다. 침입자들이 할 수 있는 일은 체계적으로 네트워크에서 취약한 운영체제를 검색하고 유용한 정보를 발견하면 그 정보를 통해 트로이 목마를 주입하는 것이다. 이것은 사용되지 않고 열려 있는 포트나 보안 설정을 최신 상태로 유지하지 않는 오래된 시스템에서 기본적인 사항의 취약점을 이용하는 것이다. 또한, 사용자가 트로이 목마를 설치할 수 있도록 확인 요청을 보낼 수도 있다. 그 요청은 예를 들어 ‘.scr’과 ‘.exe’파일로 위장하여 악의적인 첨부 메일이 될 수도 있다. 만약 침입자가 들어와 트로이 목마를 설치하면 웹캠뿐만 아니라 키 로그 등 다양한 것을 사용자 컴퓨터에서 할 수 있다. 더군다나 웹 캠이 켜져 있으면 웹 캠이 작동하는 것을 표시하는 LED도 우회할 수 있다.
마지막으로 악성코드를 통해서 해킹하기도 한다. 웹캠을 해킹할 때 아마 가장 일반적으로 사용되는 방법이라 생각된다. 악성코드 ‘블랙쉐이드’는 웹 캠 도촬이 가능한 악성코드다.[3] 이 악성코드는 외부의 쪽지나 링크로 감염될 수 있으며 자신도 모르는 사이에 해킹을 당한다. 2015년 기준으로 이 악성코드는 인터넷에서 2010년부터 약 40달러에 돌아다니고 있다고 한다. 이를 이용한 웹 캠 해킹은 여성이 사용하는 PC를 감염시켜 사생활을 도촬하고 상대방의 컴퓨터를 원격으로 조종할 수 있다. 이러한 면을 봤을 때 웹 캠 해킹이 얼마나 간단한 방법으로도 이루어지는지 알 수 있다.
웹 캠의 피해사례는 상당히 많다. 본래는 외국에서부터 시작된 웹 캠 해킹이지만 순식간에 퍼지면서 국내에서도 웹 캠 해킹 피해사고가 2013년부터 꾸준히 늘고 있다. 웹 캠 해킹사고의 가장 큰 피해 원인은 자신과 무관하다는 생각에서 비롯된다. 보통 연예인과 같은 특정 한 사람으로 목표로 삼는 것보다 사다리 타기하는 듯 랜덤으로 사람들 속에서 자신이 피해자가 된다는 가능성을 더 낮게 보고 있다. 하지만 연예인보다는 일반인들 대상인 웹 캠 해킹이 더 크게 나타나고 있으며 사다리 타기하는 듯이란 말은 그 랜덤 중에서도 내가 재수 없이 걸릴 확률이 있다는 것이다. 더군다나 일반인보다 연예인들은 자신들이 조심해야 하는 입장임을 알고 더욱 조심하는 경향이 있다.
페이스북의 창시자인 마크 저커버그가 찍은 사진 속에는 마크 저커버그의 노트북에 있는 카메라와 마이크 위에 테이프가 붙여져 있는 것을 확인할 수 있다.[4] 비록 사진을 공개하기 전에 마크 주필 버그의 트위터 계정 및 몇 가지 개인정보를 해킹당해 좀 더 조심스러워 보이는 것도 있다. 이는 그가 그만큼 웹 캠 해킹에 대해 인지하고 자신의 개인정보를 보호하려는 한다는 것을 알 수 있다. 국내에서는 웹 캠 해킹을 통해 아프리카 VJ가 협박을 당하는 사건도 있었다.[5] 쪽지에 악성코드를 심어 교묘하게 감춰 감염시키고 VJ의 사생활을 도촬하여 협박하는 사건이었다.
연예인뿐만 아니라 일반인을 대상으로 한 웹 캠 해킹도 크게 문제다. 특히나 남을 속여서 웹캠으로 생중계하는 사건들도 많아 웹 해킹 사고는 더욱 늘었다. 2014년도에는 어떤 한 일반 남성이 개인정보와 계정 아이디, 비밀번호를 해킹당하고 자신이 적어 놓은 주소나 개인 정보가 수정되어 있다는 것을 확인하면서 자신이 해킹당하고 있다는 것을 알았다는 글이 올라왔다. 조사 결과 웹캠을 통해 해킹이 이뤄졌었고 몇 개월 동안 해킹을 한 흔적을 발견되었다고 한다. 당사자는 그 일이 있고 난 후 2년이 지나도 여전히 불안하고 대인기피증과 스트레스, 우울증에 시달리고 있다고 전했다.[6]
이러한 증상은 웹 캠 해킹을 당한 피해자들에게서 전형적으로 나오는 증상들이다. 여성, 남성, 연인까지 많은 이들이 이러한 웹 캠 해킹을 당하고 이러한 동영상은 성인사이트에 올라가거나 사람들끼리 공유하면서 장난거리 대상이 되었다. 피해자들의 이러한 경험은 불안증과 우울증, 심하게는 자살까지도 이어진다.[7]
스마트 홈 카메라와 같이 목적이 있는 카메라가 아닌 일반적으로 노트북이나 핸드폰에 달린 카메라 해킹을 막기 위해서 놀랍도록 깔끔하게 막아내는 방법이 있다. 그것은 카메라 렌즈를 스티커로 가리는 것이다. 무척이나 간단한 작업이지만 이것에 대한 효과는 상당하다.[8] 일반적으로 웹캠을 많이 사용하지 않는 이들은 접착력이 있는 스티커로 가리고 스카이프나 행아웃을 많이 사용하는 이들이라면 슬라이드로 여닫을 수 있는 웹 캠 가리기 스티커도 존재한다. 필자의 노트북에는 빵과 함께 나온 귀여운 병아리 스티커가 붙어 있다.
물론 이것이 확실한 대안은 아니다. 카메라를 스티커로 가려도 웹 사이트나 폰 애플리케이션으로 볼 수도 있으며 혹은 무언가 폰이나 컴퓨터에 설치되어 카메라와 마이크를 작동시킬 수도 있다. 마이크는 음소거를 하더라도 침입자가 음소거를 풀면 되기 때문에 크게 효과는 볼 수 없다. 마이크 같은 경우 마이크를 연결할 수 있는 곳에 저항값을 삽입하여 연결을 종단시키는 더미 플러그를 연결하는 것도 한 방법이다.[9] 결국, 가장 좋은 방법은 사용하지 않는 웹캠은 전원을 빼 버리고 스티커를 이용하여 물리적으로 가리는 것이 최선의 방법이다.
IOT시대를 맞아 많은 카메라가 IP를 달고 나온다. 분명 삶의 질을 높이기 위해 만들어진 것이지만 역으로 나의 사생활을 밖으로 보여주는 눈이 될 수도 있다. 이를 조금이나마 방지하기 위해서는 스스로 보호하며 자신의 개인정보를 지켜나가는 수밖에 없다. 당장 당신을 바라보는 카메라를 가리길 권한다.