CCTV를 설치했는데 오히려 그게 해킹의 통로가 된다면? 실제로 현장에서 보면 설치 후 보안 설정을 전혀 건드리지 않은 채 수년째 운영 중인 곳이 생각보다 많다. 이 글에서는 15년간 CCTV 현장을 다니며 직접 확인한 보안 취약점과, 지금 당장 점검해야 할 설정 체크리스트를 정리했다.
CCTV 해킹, 실제로 얼마나 자주 일어날까?
많은 분들이 “우리 집 CCTV쯤이야 누가 보겠어”라고 생각한다. 하지만 현실은 다르다. 인터넷에 연결된 IP 카메라는 쇼단(Shodan) 같은 검색 엔진에 그대로 노출된다. 초기 비밀번호를 바꾸지 않은 기기는 수분 안에 접근 가능한 상태가 된다.
2023년 한국인터넷진흥원(KISA) 발표 자료에 따르면, 국내 IoT 기기 해킹 사고의 상당수가 초기 패스워드 미변경과 펌웨어 미업데이트로 인한 것이었다. CCTV도 IoT 기기다. 예외가 없다.
⚠️ 실제 사례: 경기도 한 소형 사무실에서 설치 3년이 지난 NVR 장비가 외부에서 무단 접속된 사실이 확인됐다. 원인은 단 하나, 기본 아이디/비밀번호(admin/admin)를 그대로 사용하고 있었던 것이다.
CCTV 보안 취약점 유형 정리
해킹이 발생하는 경로는 크게 다섯 가지로 나뉜다. 어느 하나라도 방치하면 전체가 뚫릴 수 있다.
| 취약점 유형 | 설명 | 위험도 |
|---|---|---|
| 초기 비밀번호 미변경 | 제조사 기본값 그대로 사용 | 🔴 매우 높음 |
| 펌웨어 미업데이트 | 알려진 보안 취약점 방치 | 🔴 매우 높음 |
| 불필요한 포트 개방 | 외부 접근 경로 과다 노출 | 🟠 높음 |
| 암호화 미설정 | 영상 전송 구간 도청 가능 | 🟠 높음 |
| 네트워크 분리 미흡 | CCTV 망과 업무망 혼용 | 🟡 중간 |
CCTV 해킹 방지를 위한 보안 설정 체크리스트
아래 항목들은 현장에서 실제로 빠트리는 경우가 많은 것들만 골랐다. 설치 직후뿐 아니라 6개월~1년 주기로 정기 점검 시에도 반드시 확인해야 한다.
✅ 1. 기본 계정 정보 즉시 변경
설치 후 가장 먼저 해야 할 일은 기본 아이디와 비밀번호 변경이다. admin/admin, admin/1234 같은 기본값은 해킹 자동화 툴에 이미 목록화돼 있다.
- 아이디: 영문+숫자 조합, 유추 불가능한 값으로 변경
- 비밀번호: 최소 12자 이상, 대소문자+숫자+특수문자 혼합
- DVR/NVR 관리자 계정과 카메라 접근 계정을 분리할 것
- 변경 후 반드시 별도 문서로 안전하게 보관
💡 현장 팁: 비밀번호를 너무 복잡하게 만들어 관리자 본인도 잊어버리는 경우가 실제로 많다. 패스워드 관리 앱(예: Bitwarden, 1Password)을 사용하면 분실 위험을 줄일 수 있다.
✅ 2. 펌웨어 최신 버전으로 업데이트
펌웨어는 CCTV 장비의 운영체제다. 오래된 펌웨어에는 이미 공개된 보안 취약점이 존재할 수 있다. 제조사 공식 홈페이지에서 정기적으로 업데이트 여부를 확인하는 것이 기본이다.
- 하이크비전(Hikvision), 다화(Dahua) 등 주요 제조사는 공식 사이트에서 펌웨어 공지
- 비공식 경로의 펌웨어는 절대 사용 금지 (악성코드 삽입 가능)
- 업데이트 전 설정 백업 필수
✅ 3. 불필요한 포트 닫기
원격 접속을 위해 포트포워딩을 설정하는 경우가 많다. 문제는 필요 이상으로 많은 포트를 열어두는 것이다. 공격자 입장에서는 열린 포트가 많을수록 침투 가능성이 높아진다.
| 포트 | 용도 | 권장 조치 |
|---|---|---|
| 80 (HTTP) | 웹 접속 | HTTPS로 전환 후 비활성화 |
| 23 (Telnet) | 원격 접속 | 즉시 비활성화 |
| 554 (RTSP) | 영상 스트리밍 | 인증 설정 후 제한적 사용 |
| 8000~8080 | 관리 포트 | 사용하지 않는 포트는 닫기 |
✅ 4. HTTPS 및 영상 암호화 설정
HTTP로 영상을 전송하면 같은 네트워크 내에서 패킷 감청이 가능하다. 특히 공유기를 여러 명이 함께 쓰는 환경(카페, 사무실 공용망 등)에서는 매우 위험하다.
- 웹 관리 페이지 접속 시 HTTPS 프로토콜 활성화
- 영상 전송은 RTSP over TLS 또는 제조사 전용 암호화 채널 이용
- SSL 인증서는 자체 서명보다 공인 인증서 권장
✅ 5. CCTV 전용 네트워크 분리 (VLAN 구성)
현장에서 가장 간과되는 항목이다. CCTV와 일반 업무 PC가 같은 네트워크를 쓰면, CCTV가 해킹당했을 때 내부 PC까지 감염될 수 있다. 반대로 업무망이 뚫렸을 때 CCTV 영상 데이터도 함께 노출된다.
✅ 권장 구성: 가정용은 공유기의 게스트 네트워크 기능을 활용해 CCTV를 분리. 기업 환경에서는 관리형 스위치를 통한 VLAN 구성이 표준이다.
✅ 6. 원격 접속 방식 점검 (P2P vs VPN)
스마트폰으로 CCTV를 원격 확인할 때 사용하는 P2P 방식은 편리하지만 보안상 취약할 수 있다. 제조사 클라우드 서버를 경유하기 때문에 해당 서버가 해킹당하면 영상이 유출될 수 있다.
| 접속 방식 | 장점 | 단점 | 보안 수준 |
|---|---|---|---|
| P2P (클라우드) | 설정 쉬움, 앱 연동 간편 | 제조사 서버 의존 | 🟡 보통 |
| 포트포워딩 | 직접 접속 가능 | 포트 노출 위험 | 🟠 낮음 |
| VPN | 가장 안전한 방식 | 설정 복잡, 전문 지식 필요 | 🟢 높음 |
보안이 중요한 환경이라면 VPN 터널을 통한 원격 접속 구성을 강력히 권장한다. 설정이 복잡하지만, 한 번 구성해두면 가장 안정적이다.
✅ 7. 접속 로그 및 알림 설정
해킹은 예방도 중요하지만, 탐지가 빠를수록 피해를 줄일 수 있다. 대부분의 NVR/DVR에는 접속 로그 기능이 있는데 활성화해두지 않는 경우가 많다.
- 관리자 로그인 기록 주기적 확인 (비정상 IP 접속 여부)
- 로그인 실패 횟수 제한 설정 (브루트포스 방어)
- 특정 시간대 외 접속 시 이메일/SMS 알림 설정
- 가능하면 접속 허용 IP 화이트리스트 구성
✅ 8. UPnP 비활성화
공유기의 UPnP(Universal Plug and Play) 기능은 기기가 자동으로 포트를 개방하게 한다. 편리하지만 악성 소프트웨어가 이를 악용해 포트를 무단으로 열 수도 있다. CCTV 장비와 공유기 양쪽에서 UPnP를 비활성화하는 것이 안전하다.
설치 업체에 꼭 확인해야 할 보안 질문
CCTV를 새로 설치하거나 유지보수 업체를 선정할 때, 아래 질문을 통해 보안 대응 수준을 사전에 파악하는 것이 좋다.
- “설치 후 기본 비밀번호 변경을 해주시나요?”
- “원격 접속 방식은 P2P인가요, VPN인가요?”
- “사용하는 장비 브랜드의 보안 패치 이력이 있나요?”
- “CCTV 망과 업무 망을 분리해서 구성해주시나요?”
📌 주의: 이 질문에 명확하게 답변하지 못하거나 “다 알아서 해드려요”라고만 하는 업체는 보안 인식이 낮을 가능성이 높다. 계약 전 꼭 확인하자.
CCTV 보안 설정 체크리스트 요약
| 항목 | 완료 여부 | 점검 주기 |
|---|---|---|
| 기본 아이디/비밀번호 변경 | ☐ | 설치 직후 / 6개월마다 |
| 펌웨어 최신 업데이트 | ☐ | 분기 1회 |
| 불필요 포트 차단 | ☐ | 설치 직후 |
| HTTPS/암호화 설정 | ☐ | 설치 직후 |
| CCTV 전용 네트워크 분리 | ☐ | 설치 직후 |
| 원격 접속 방식 VPN 전환 | ☐ | 설치 직후 |
| 접속 로그 활성화 및 모니터링 | ☐ | 월 1회 |
| UPnP 비활성화 | ☐ | 설치 직후 |
마치며 – 보안은 설치 이후가 더 중요하다
CCTV 보안은 한 번 설정하고 끝나는 게 아니다. 장비는 계속 사용되고, 해킹 기술도 계속 진화한다. 현장을 다니다 보면 “설치한 지 5년 됐는데 한 번도 설정 건드린 적 없어요”라는 말을 종종 듣는다. 그 순간이 가장 위험한 상태다.
위 체크리스트를 출력해서 지금 운영 중인 CCTV 환경에 대입해보자. 한 항목이라도 체크가 안 된다면, 오늘 당장 확인하는 것을 권한다. 보안은 사건이 생긴 뒤가 아니라, 생기기 전에 챙겨야 의미가 있다.