Offcanvas

CSO / IoT / 검색|인터넷 / 라이프 / 보안 / 비즈니스|경제

개방성과 보안 사이의 균형은?··· 영국을 뒤흔든 ANPR 데이터 유출의 교훈

2020.06.17 Ax Sharma  |  CSO
차량 번호를 감지해 차량의 흐름과 이동을 모니터링하는 등의 공공 감시 시스템은 프라이버시와 데이터 보호라는 쉽지 않은 과제를 해결해야 한다. 최근 영국에서 발생한 ANPR 시스템의 데이터 누출 사건에서 배울 수 있는 교훈을 살펴본다. 
 
Image Credit : Getty Images Bank

영국 셰필드 주정부의 거대한 ANPR 시스템에서 약 860만 개의 운전자 기록이 유출됐다고 2020년 4월 28일, 더 레지스터(The Register)가 보도했다. 

보도에 따르면 카메라 관리, 자동차 번호판 추적, 자동차 이미지 확인을 담당하는 온라인 ANPR 대시보드는 비밀번호 또는 보안 조치 없이 인터넷에 노출된 채 방치되어 있었다. 

즉, 누구나 웹 브라우저를 통해 대시보드에 액세스하여 자동차의 이동 경로를 훔쳐보거나 기록을 오염시키거나 카메라 시스템 설정을 덮어쓸 수 있었다는 뜻이다.

ANPR은 복잡한 시스템이다. 자동으로 자동차의 번호판을 캡처하는 도로 카메라와 이를 정부 데이터베이스와 상호연결해 검색하는 시스템으로 구성돼 있다. 경찰이 과속을 단속하고 범죄와 테러를 억제하는 데 유용하다.

ANPR 시스템은 또한 정부에 상당함 수익을 발생시킨다. 코얼파이어(Coalfire)의 경영 수석 앤디 바래트는 “ANPR은 최대 200만 파운드의 벌금을 부과한다. 구조적으로 과속단속 경찰보다 훨씬 효율적인 중요한 시스템이다. 이 시스템에 대한 호불호는 가지고 있는 자동차의 출력에 따라 갈리곤 한다”라고 말했다.

의회와 사우스 요크셔 경찰은 데이터 유출 피해자가 없었다고 밝혔지만 전문가들은 의문을 품고 있다. 사이버GRX의 CISO 데이브 스테이플턴은 “우선, 누군가 부적절하게 액세스했거나 이 데이터를 유출했는지 여부를 확인하는 그들의 능력을 신뢰할 수 있는지 확신이 서지 않는다. 지금까지 그들의 대처를 감안할 때 더욱 그렇다”라고 지적했다.

그는 이어 “둘째, 데이터가 유출되고 다크 웹에서 판매되거나 소셜 엔지니어링 목적으로 사용된다면 누가 언제 피해를 입을지 알 수 없다”라고 말했다.

바래트는 “포렌식 조사관으로써 우리는 종종 조짐이 없는 데이터 유출 사건을 많이 경험한다. 해킹 증거가 없는 것과 해킹되지 않은 증거는 다르다”라고 말했다.

이번 ANPR 유출 사고는 대중의 신뢰를 받는 조직이 서비스를 제공하면서도 데이터를 안전하게 보관할 수 있도록 하기 위해 어떻게 해야 하는지에 대한 고민거리를 던진다. 그리고 이러한 문제는 ANPR 같은 감시 시스템이 개인 정보 데이터를 수집할 때 더욱 복잡해진다.

프라이버시 및 보안 위험이 따르는 공공 IoT 데이터
영국을 포함한 전 세계 많은 곳에서 교통 카메라에 공개적으로 액세스할 수 있다. 영국 개방형 거버넌스법과 개방형 데이터 이니셔티브는 시민들이 정부 정보에 액세스하는 법적 통로를 확보하여 투명성과 ‘합의에 의한 치안 활동’을 가능하게 한다.

도로 감시, 사법, 교통사고 통찰에 사용되는 카메라도 예외는 아니다. 가정용 라우터, 스마트폰, 스마트 워치 같은 IoT 장치와 마찬가지로 교통 카메라도 인터넷에 연결되어 있다. 또한 다양한 목적으로 데이터를 수집한다.

예를 들어, ANPR 시스템은 작업을 위해 항상 노란색의 특수 목적 카메라가 필요로 하지 않는다. 많은 경우에 교통체증에 대한 실시간 정보를 제공하는 같은 CCTV카메라를 기본적인 과속 단속에 사용할 수 있다. 

일례로 런던의 복스홀(Vauxhall)에 있는 ‘경찰 ANPR 사용 중’ 표지판에서 멀지 않은 곳에 ‘과속단속 카메라’ 마크가 붙은 CCTV 카메라(도로 양쪽 끝)처럼 보이는 것이 있다. 여기에서 얻은 실시간 저품질 피드가 기록되고 5분마다 방영되며 ‘Transport for London’을 통해 자유롭게 액세스할 수 있다.


ANPR CCTV 카메라들

공개된 AWS 버킷을 살펴보면 런던에서만 최소 877개의 TfL ‘정체 카메라’가 1,000개 이상의 실시간 스트림을 제공하고 있다는 것을 알 수 있다. 기술에 능한 사용자는 누구든 접근할 수 있다. 

마찬가지로 정부가 소유한 기업 하이웨이즈 잉글랜드(Highways England)의 TrafficEngland 웹 사이트를 살펴보면, 영국 도로 네트워크에 대한 유사한 정보를 얻을 수 있다. 이런 카메라의 IPv4 주소는 광고되고 있지 않지만 콘텐츠가 시민들에게 공개적으로 제공되고 있다.


TfL에서 송출되는 런던 카메라 화면

IoT 장치, 공공 IP, 포트 스캔
이로 인해 IT전문가 및 비즈니스 정책 수립자는 데이터 보안에 대한 의사를 결정할 때 역설적인 문제를 겪을 수밖에 없다. 쇼단(Shodan)과 Censys.io 같은 IoT 검색 엔진은 웹에서 IP 카메라가 보편적으로 사용하는 공공 IP주소 및 개방된 포트를 지속적으로 수집하여 누구든 확인할 수 있도록 제공한다. 

많은 장치들이 쉽게 추측 가능한 기본 사용자이름-비밀번호 조합을 이용하거나 비밀번호 보호가 없다.

가정용 와이파이 라우터 또는 프린터의 관리자 인터페이스에 액세스하기 위해 웹 브라우저에 로컬 주소(http://192.168.0.1/)를 입력해 본 적이 있는가?  IP 카메라도 유사한 방식으로 작동한다. 예를 들어, 라우터, IP 카메라, 스마트 프린터에 원격 관리가 활성화되어 있고 비밀번호가 없다면 악당이 쇼단에서 장치를 찾아 장치와 기업 네트워크를 해킹할 수 있다.

원격 IoT 장치 구성 및 발생 가능한 위험
대규모 감시 카메라 같은 IoT 장치를 보호하는 것과 관련해 문제가 되는 것 중 하나는 바로 규모이다. 액세스를 개방하면서 개별적으로 구성하고 보호해야 한다. 이로 인해 시스템 관리자와 보안 전문가의 일이 복잡하고 느려지게 된다. 보안을 위해 액세스를 제한하면서 수만 대의 카메라 시스템에 대한 액세스를 개방할 수 없다.

또한 검색 엔진은 인터넷에 연결된 서버와 IoT 장치를 지속적으로 인덱싱하기 때문에 노출되면서 위험과 공격면이 커지게 된다. 하지만 모든 개별적인 장치를 보호하려면 IT 전문가에게 기술적 부담과 복잡성이 추가되며 심지어 시스템의 속도 및 성능에 영향을 미칠 수 있다. 즉 보안과 실질적인 사용성 사이의 지속적인 싸움이 벌어진다.

캡처하는 자동차의 움직임 외에 이런 카메라는 얼굴도 캡처한다. 전 세계의 ‘프라이버시에 대한 합리적인 기대’ 법치주의는 공공 감시 카메라를 ‘침습적인’ 카테고리에서 배제하고 있지만 같은 장치가 수 백만 대의 자동차에 대한 데이터를 생성하고 움직임을 추적할 때는 이야기가 다르다.  

이런 카메라로부터 얻은 실시간 피드는 제한할 필요가 없지만 번호판 같은 개인 식별 데이터와 ANPR 관리 대시보드 전체는 사법 기관만을 위한 것이며 반드시 보호가 필요하다. 이런 요건을 무시하면 범죄자들이 이러한 공공 안전 조치를 회피할 수 있게 된다.

대시보드가 공개 카메라와 같은 IP 서브넷에 있어 대시보드와 카메라에 원격으로 액세스할 수 있게 되면서 셰필드 데이터 유출이 발생했을 수도 있다. 코얼파이어 랩스(Coalfire Labs)의 VP 마이크 웨버는 다음과 같이 설명했다.

“이 시스템은 단순히 인터넷을 통해 액세스하는 것만으로 ‘유출’ 되었다. 개인적으로 너무 뻔뻔하게 불안해서 의도된 기능처럼 보인다! 비밀번호 없이 시스템 원격 액세스를 허용하는 것이 점차 복잡해지고 있다. 물론, 이를 구성한 엔지니어들은 이를 위해 계획적인 조치를 취해야 했다. 하지만 보편적인 미인증 액세스는 이 시스템을 설계한 엔지니어들의 의도가 아니었으리라 생각한다.”

이 글을 쓰고 있는 지금도 액세스가 공개되어 있어야 할 셰필드 교통 카메라는 더 이상 확인이 불가능하며 아마도 최근의 사건 때문인 것으로 관측된다. 셰필드 시의회는 입장 표명 요청에 응답하지 않았다.

프라이버시, 데이터 보안, 기관에 대한 공공 신뢰
정부나 비즈니스 기관은 항상 기본적인 데이터 보안 조치를 이행하고 검증하여 기밀 정보를 보호해야 한다. 또한 기관에 민감한 데이터를 맡길 수 있도록 사용자를 안심시켜야 한다.

영국의 POFA(Protection of Freedoms Act) 2012는 CCTV 카메라와 ANPR 시스템을 포함한 감시 시스템에 대한 정보의 처리 방식에 대해 더욱 엄격한 규정을 부과하고 명확한 절차를 수립했다. 

CCTV 카메라에 대한 개방된 데이터 액세스는 투명성을 높여주지만 이 기능을 오남용하여 누군가의 프라이버시를 침해할 수 있다. 예를 들어, 최근의 보고서에서는 광범위한 카메라 네트워크와 지도를 이용해 범죄자들의 이동 경로를 추적하는 방법이 공개됐었다.

정부나 계약 기업이 수집 및 저장하는 정보가 악당의 손에 들어가게 되면 사용자의 프라이버시에 해로울 수 있다. 픽셀 프라이버시(Pixel Privacy)의 소비자 프라이버시 책임자 크리스 호크는 “많은 정부가 제대로 보호하지 않을 경우 사용자 식별 정보가 포함될 수 있는 코로나19 접촉 추적 앱을 개발하고 있기 때문에 이런 유출 때문에 걱정이 된다”라고 말했다.

데이터 유출이 지속적으로 증가하고 있기 때문에 호크의 의견이 더욱 설득력 있다. 오픈소스 NHS 추적 앱은 배포 직전 보안 및 프라이버시 버그가 발견됐다. 게다가 지난주 영국에 위치한 한 의료기업은 스마트폰 앱을 통해 매우 민감한 의사-환자 상담 비디오를 부주의로 유출시키기도 했다.

그렇다면 이런 감시 시스템은 얼마나 위험할까? 래드웨어(Radware)의 보안 연구 책임자 다니엘 스미스는 “사실 전 세계인들이 스마트워치 활동, 초인종, 은행 또는 공항 카메라 등 매일 이런 감시를 받고 있기 때문에 최소한 표면적으로 소비자 위험이 더 이상 다른 앱에 비해 높지 않다”라고 말했다.

그는 그러면서도 “이렇게 생각해 보자. 지갑 속에 숨겨져 있는 신용카드와는 달리 번호판은 하루 종일 다른 운전자나 도로 위에 있는 사람들에게 노출되며 큰 능력이나 하드웨어 없이 소유자와 손쉽게 연계시킬 수 있다. 악당이 유출된 ANPR 데이터를 통해 그 사람이 특정 장소로 운전해서 이동했음을 알 수 있지만 단 이러한 정보는 이미 온라인에서의 활동이나 자신이 언급된 소셜 미디어 게시물에서 알 수 있을 가능성이 높다”라고 덧붙였다. 

e센타이어(eSentire)의 부사장 겸 산업 보안 전략가 마크 생스터는 “우리의 행동에 의도하지 않은 결과가 따르는 경우가 많다”라며 스미스의 의견에 동의했다. 

그는 “건강을 증진하고 운동 체계의 결과를 극대화하기 위해 연결된 장치로부터 운동 지표와 원격 측정값을 수집하는 솔루션(피트니스 추적 앱 스트라바 등)이 흔하다”라고 말했다. 그에 따르면 군 인사들이 스트라바를 사용함에 따라 해당 기업이 의도하지 않게 비밀 군사기지 지도를 작성했던 사례를 언급했다.

생스터는 이와 유사하게 제대로 보호되지 않는 경우 연결된 감시 시스템이 수집한 데이터를 국가 차원 악당이 남용한다면 국가 안보에 위협을 될 수 있다고 설명을 이어갔다. 

“예를 들어, 공격에서 최대 피해를 가하기 위해 트래픽이나 정지가 높은 지점을 결정하거나 납치 또는 공격할 중요한 사람 또는 공인 또는 값비싼 화물(값비싼 상품, 무장 현금수송 차량, 술, 담배 등)을 운반하는 기업 차량을 확인하기 위해 번호판으로 소유주를 추적하는 것” 등이 가능하다고 그는 덧붙였다.

이런 사건으로 인해 여러 분야와 산업의 전문가들이 고정관념에서 벗어나게 되었다. 사용자의 프라이버시와 데이터 보안을 높이면서 법적 의무에 따라 투명성을 위해 시스템에 대한 ‘개방된 액세스’를 제공해야 한다는 과제에 직면하게 됐다. 대중은 계속 사법 당국과 계약자들이 감시 데이터를 통해 범죄자를 잘 소통할 것으로 기대하고 있기 때문에 정부가 해결책을 찾기가 쉽지 않다.

현재로서는 IT와 보안 전문가, 정책 입자, 사용자 사이의 줄타기가 요구된다. 수집된 데이터가 악당의 손에 들어가는 경우 연결된 장치를 노출하는 보안 위험이 있다. 방화벽을 통해 액세스를 크게 제한하면 성능과 사용자 경험에 부정적인 영향을 미칠 수 있다. 여기에서 최적의 솔루션을 제공하기 위해 균형을 찾아야 한다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.