설치만 하면 끝이라고 생각했던 CCTV, 그게 오히려 해킹의 문을 열어두는 일이 될 수 있습니다. 실제 현장에서 보안 설정 없이 방치된 CCTV가 어떤 결과를 낳는지, 직접 겪고 확인한 사례를 중심으로 정리합니다.
CCTV 보안 설정, 왜 이렇게 많이 빠뜨릴까?
15년간 CCTV 시공 현장을 다니면서 가장 자주 본 실수가 하나 있습니다. 설치 후 기본 비밀번호를 그대로 두는 것입니다. 설치 기사가 빠르게 작업을 마치고 나가면, 대부분의 고객은 화면이 잘 나오는 것만 확인하고 끝냅니다. 보안 설정을 따로 신경 쓰는 분은 정말 드뭅니다.
문제는 그 상태가 몇 년씩 유지된다는 겁니다. 외부에서 IP 주소만 알면 누구든 접속할 수 있는 상태로 방치되는 경우가 생각보다 훨씬 많습니다.
⚠️ 알고 계셨나요?
전 세계 IP 카메라 검색 사이트인 Shodan에는 기본 비밀번호가 설정된 수십만 대의 CCTV가 노출되어 있습니다. 한국 IP도 상당수 포함되어 있습니다.
보안 설정 안 했을 때 실제로 생기는 문제들
1. 외부인이 실시간으로 영상을 볼 수 있다
이건 단순한 가능성이 아닙니다. 2019년 국내 한 편의점 CCTV가 해외 IP에서 무단 접속된 사건이 언론에 보도됐습니다. 해당 카메라는 기본 포트(80, 554)가 열려 있었고 비밀번호는 제조사 기본값 그대로였습니다.
내부 직원 동선, 매장 구조, 금고 위치까지 외부에서 그대로 확인 가능한 상태였습니다. 단순 관음 수준이 아니라 범죄 준비에 활용될 수 있는 수준입니다.
2. 영상이 삭제되거나 변조될 수 있다
접속 권한을 얻은 외부 해커가 할 수 있는 가장 위험한 행동 중 하나가 녹화 데이터 삭제입니다. 범죄 후 증거를 없애는 목적으로 사용된 사례가 실제로 있습니다.
2021년 경기도의 한 물류창고에서 절도 사건이 발생했는데, CCTV 영상이 이미 삭제되어 있었습니다. 조사 결과 NVR이 외부에서 접근 가능한 상태였고, 절도범이 사전에 원격으로 영상을 지운 정황이 확인됐습니다.
🚨 실제 피해 사례 요약
CCTV 해킹 → 영상 삭제 → 범죄 증거 소멸 → 범인 검거 실패. 이 흐름이 현실에서 이미 발생하고 있습니다.
3. CCTV가 다른 공격의 발판이 된다
CCTV가 직접적인 피해 대상이 되는 것만이 문제가 아닙니다. 해킹된 카메라는 봇넷(Botnet)에 포함되어 다른 시스템을 공격하는 도구로 활용됩니다.
2016년 미라이(Mirai) 봇넷 사건이 대표적입니다. 기본 비밀번호가 설정된 수십만 대의 IP 카메라와 IoT 기기가 감염되어, 트위터·넷플릭스·아마존 등의 서비스를 마비시키는 DDoS 공격에 동원됐습니다. 내 카메라가 남의 인프라를 공격하는 무기가 된 것입니다.
4. 개인정보 유출 및 법적 책임
CCTV 영상에는 사람의 얼굴, 행동, 일상이 고스란히 담겨 있습니다. 이 영상이 외부에 유출되면 개인정보보호법 위반 문제가 생깁니다.
특히 사업장을 운영하는 경우, 고객이나 직원의 영상이 유출됐다면 관리 소홀로 인한 손해배상 청구를 받을 수 있습니다. 설치만 해놓고 보안 관리를 안 했다는 게 법적으로 불리하게 작용합니다.
CCTV 해킹, 어떤 방식으로 이루어지나?
| 해킹 방식 | 설명 | 예방 방법 |
|---|---|---|
| 기본 비밀번호 악용 | 제조사 초기값(admin/1234 등)으로 접속 시도 | 설치 즉시 비밀번호 변경 |
| 포트 스캐닝 | 열려 있는 포트를 자동으로 탐색해 접근 | 불필요한 포트 차단, 포트 변경 |
| 펌웨어 취약점 공격 | 구버전 펌웨어의 보안 결함을 이용 | 정기적인 펌웨어 업데이트 |
| 브루트포스 공격 | 수천 가지 비밀번호를 자동으로 대입 | 로그인 시도 횟수 제한 설정 |
| 내부망 침투 | 같은 네트워크 내 다른 기기를 통해 접근 | VLAN 분리, 네트워크 격리 |
현장에서 확인한 바로는, 대부분의 해킹이 정교한 기술보다는 기본 비밀번호 그대로 방치된 카메라를 자동으로 스캔하는 방식으로 이루어집니다. 고도의 해킹 기술이 필요한 게 아닙니다. 보안 설정을 안 했다는 것 자체가 이미 활짝 열린 문입니다.
CCTV 보안 설정, 지금 당장 확인해야 할 체크리스트
- ✅ 기본 비밀번호 변경 완료 – admin/1234/0000 그대로면 즉시 변경
- ✅ 펌웨어 최신 버전 유지 – 제조사 홈페이지에서 업데이트 여부 확인
- ✅ 불필요한 포트 차단 – 원격 접속에 필요한 포트 외 전부 비활성화
- ✅ HTTPS 또는 암호화 통신 사용 – HTTP만 사용 중이면 보안 취약
- ✅ 로그인 기록 주기적 확인 – 낯선 IP에서 접속 기록 있으면 즉시 조치
- ✅ CCTV 전용 네트워크 분리 – 업무용 PC와 같은 망 사용 금지
- ✅ 원격 접속 비활성화 (불필요 시) – 모바일 앱 사용 안 한다면 포트포워딩 해제
💡 현장 팁
비밀번호는 영문 대소문자 + 숫자 + 특수문자 조합으로 최소 12자리 이상 설정하는 것을 권장합니다. 메모지에 써서 DVR 옆에 붙여두는 건 절대 하지 마세요. 실제로 이런 경우를 수도 없이 봤습니다.
제조사별 기본 비밀번호, 이렇게 방치되고 있다
| 제조사 | 기본 아이디 | 기본 비밀번호 | 변경 필요 여부 |
|---|---|---|---|
| Hikvision | admin | 12345 / 초기 설정 | 즉시 변경 필수 |
| Dahua | admin | admin / 공백 | 즉시 변경 필수 |
| 국내 중소 브랜드 | admin | 1234 / 0000 | 즉시 변경 필수 |
| Axis | root | pass | 즉시 변경 필수 |
위 정보는 인터넷에 공개된 기본값입니다. 해커들도 동일한 정보를 갖고 있습니다. 설치 후 한 번도 비밀번호를 바꾼 적이 없다면, 지금 바로 확인하세요.
보안 설정을 제대로 못 하는 진짜 이유
솔직히 말하면, 시공 업체 입장에서도 책임이 있습니다. 설치 후 기본 보안 설정 안내를 제대로 하는 업체가 많지 않습니다. 고객도 화면만 나오면 된다는 생각으로 넘어가는 경우가 많습니다.
그러다 보니 수년이 지나도 기본 비밀번호 그대로, 펌웨어 업데이트도 없이 방치된 CCTV 시스템이 전국에 수없이 많습니다. 이건 단순히 개인의 실수가 아니라 업계 전체의 관행적인 문제이기도 합니다.
✅ 시공 업체 선택 시 확인할 것
설치 후 보안 설정(비밀번호 변경, 포트 설정, 원격 접속 보안)을 함께 진행해주는지 사전에 확인하세요. 이걸 당연히 해주는 업체가 신뢰할 수 있는 업체입니다.
CCTV 보안 설정, 이 정도면 충분하다
완벽한 보안은 없지만, 기본 조치만 잘 해도 대부분의 공격은 막을 수 있습니다. 자동화된 해킹 스캔은 응답이 없거나 기본값이 아닌 설정을 만나면 다른 대상으로 이동합니다. 조금만 신경 쓰면 훨씬 안전해집니다.
- 📌 비밀번호 변경만 해도 80% 이상의 기본 해킹 시도를 차단할 수 있습니다
- 📌 펌웨어 업데이트는 1년에 한 번이라도 확인하는 습관을 만드세요
- 📌 원격 접속이 필요 없다면 포트포워딩 자체를 해제하는 것이 가장 안전합니다
- 📌 접속 로그 확인은 3개월에 한 번 정도면 충분합니다
결론 : 설치보다 보안 설정이 더 중요하다
CCTV를 설치하는 이유는 안전을 지키기 위해서입니다. 그런데 보안 설정을 하지 않으면, 오히려 안전을 위협하는 구멍이 생깁니다. 단순히 화면이 나오는 것으로 끝이 아닙니다.
지금 운영 중인 CCTV의 비밀번호가 기본값 그대로라면, 오늘 바로 변경하세요. 5분이면 충분합니다. 그 5분이 수년간의 개인정보와 영업 정보를 지키는 일입니다.
설치 업체에서 보안 설정을 따로 안내해주지 않았다면, 지금이라도 연락해서 점검을 요청하거나 제조사 매뉴얼을 확인해 직접 설정하는 것을 강력히 권장합니다.
📋 오늘 바로 실천할 3가지
1. DVR/NVR 관리자 페이지 접속 → 비밀번호 변경
2. 제조사 홈페이지에서 최신 펌웨어 확인
3. 불필요한 포트포워딩 해제 또는 포트 번호 변경