개보위, 175개 IP카메라 운영자 엄중 경고
개인정보보호위원회(위원장 고학수)는 9일 제15회 전체회의를 열고, 개인정보 침해 우려가 있는 175개 아이피(IP)카메라 운영자(개인정보 보호법 상 고정형 영상정보처리기기 운영자)에 대해 경고 조치 하기로 의결했다. 공익신고된 IP카메라 운영자 조사 개인정보위는 아파트, 상가, 공원, 도로 등 다중이용시설의 관제목적으로 운영되는 네트워크 형태 IP카메라 보안이 취약해 개인정보 침해우려가 있다는 공익신고('24.5월)를 접수받아 조사에 착수했다. 네트워크 형태 IP카메라는 여러 대 IP카메라를 네트워크를 통해 연동하면서, 촬영된 영상을 네트워크 비디오 레코더(NVR, Network Video Recorder)에 저장·관제한다. 조사결과, 이들 175개 운영자는 영상정보처리기기인 네트워크 비디오 레코더(NVR)의 아이피주소를 '공개'로 설정해 외부접속을 허용했고, 관리자계정(아이디/비밀번호)을 'admin/1234', 'root/pass' 등 추측하기 쉬운 단순한 형태로 설정, 권한이 없는 자가 손쉽게 아이피카메라 네트워크에 접근해 영상정보를 관측할 수 있는 상태로 운영한 사실이 확인됐다. 개인정보위는 침해 우려를 시급히 해소하기 위해 아이피카메라 운영자들에게 해당 보안 취약점을 즉시 개선토록 요구하였고, 175개 운영자 모두 아이피주소 비공개 전환, 비밀번호 변경 등 보안 조치를 완료했다. 이에 개인정보위는 아이피카메라 운영자들이 안전조치 의무를 소홀히 한 사실은 인정되나, 운영자들의 경각심 부족으로 발생한 사안으로 위반사항이 즉시 시정되었고, 공익신고 외 추가적으로 확인된 피해 사례가 없는 점 등을 고려해 엄중 경고 조치하는 한편, 운영자들이 영상정보를 안전하게 처리할 수 있도록 지속적으로 계도해 나가기로 했다. 국내 유통 IP카메라 점검 개인정보위는 이번 조사 과정에서 시중에 유통되는 아이피카메라 기기 자체의 개인정보 보호기능 탑재 여부도 함께 점검했는데, 이는 기기 자체의 개인정보 보호기능이 미흡한 경우 개인정보 침해 사례가 재발될 수 있다고 판단했기 때문이라고 설명했다. 점검 결과, 정식 발매 제품은 비밀번호 설정·변경, 특정 아이피 접속차단 등 기본적인 보호기능을 제공하고 있으나, 해외직구로 유통되는 제품은 전반적으로 미흡한 것으로 드러났다. 국내 정식발매 제품은 최초 접속시 비밀번호를 반드시 설정해야 네트워크 접속이 가능하고, 제품별로 비밀번호 설정규칙이 존재했고, 특정 아이피에 대해 접속을 차단할 수 있는 기능이 존재했다. 반면 해외직구 제품은 비밀번호 설정이 의무화된 국내 정식 발매 제품과 달리 초기 설정값을 그대로 사용하거나 심지어는 비밀번호 없이도 네트워크 접속이 가능했다. 또 아이피 접근제한 기능을 제공하지 않거나, 수차례 로그인 실패시 일정기간 접속제한 등의 기능이 없어 보안에 취약한 것으로 확인됐다. 향후 계획 개인정보위는 이번 조사 및 점검결과를 바탕으로, 안전한 아이피카메라 설치 운영을 위해서는 보안성이 높은 기기를 사용하는 것이 중요하며, 운영자 및 사용자의 개인정보 보호 방법 등을 담은 행동 수칙을 마련·제공함으로써 지속적으로 안내·홍보하기로 했다. 특히, 주요 다중이용시설에 대한 아이피카메라 보안 관련 실태점검 등도 적극적으로 추진할 계획이다.
