목차 1. 네트워크기반의영상감시시스템보안취약성심각 2. 공공기관 CCTV와개인영상정보보호를위한암호화방안 3. 문제점 4. 솔루션 : 공공기관네트워크 CCTV를위한효과적인운영가이드 몰래카메라 변질공공기관 CCTV 반대기자회견한겨레신문 2008년 5월 19일자중

백서 안전한네트워크영상감시시스템구축, 운영을위한가이드 - Securing network surveillance - Encryption & Security

목차 1. 네트워크기반의영상감시시스템보안취약성심각 2. 공공기관 CCTV와개인영상정보보호를위한암호화방안 3. 문제점 4. 솔루션 : 공공기관네트워크 CCTV를위한효과적인운영가이드 몰래카메라 변질공공기관 CCTV 반대기자회견한겨레신문 2008년 5월 19일자중

네트워크기반의영상감시시스템보안취약성심각 - 우후죽순으로설치되는영상감시시스템, 이제는보안문제를되짚어보아야할때 최근잇따른강력범죄발생으로인해시민의안전보호와보안을목적으로한네트워크기반의원격영상감시시스템이전국적으로확산되고있다. IP 기술의발전에힘입어쓰레기불법투기, ITS, 방범, 불법주 정차단속등그활용범위도다양해졌을뿐만아니라거의없어서는안될필수시스템으로자리잡아가고있다. 한편시스템의보급과활용이증대되어가는것에반해상대적으로이에대한뚜렷한지침과기준없이무분별한도입으로인한허술한보안이쟁점으로부각되고있다. 때마침행정안전부가공공기관의개인정보보호에관한법률과 CCTV관리가이드라인을제정 발표하였으나아직은철저하게적용되고있지않은형국이다. 여기서현재이슈로떠오르고있는영상관리시스템의취약한보안실태와이에대한대안에대해간략히언급하고자한다. 공공기관 CCTV 와개인영상정보보호를위한암호화방안 공공기관의장은개인정보를처리하거나개인정보파일을 전자정부법 제2조제7호에따른정보통신망 ( 이하 정보통신망 이라한다 ) 에의하여송 수신하는경우개인정보가분실 도난 누출 변조또는훼손되지아니하도록안전성확보에필요한조치를강구하여야한다. ( 공공기관의개인정보보호에관한법률제9 조 ) 개인영상정보취급자는정보주체의개인영상정보를처리함에있어서개인영상정보가분실. 도난. 누출. 변조또는훼손되지아니하도록 개인영상정보보호를위한기술적. 관리적조치기준 의기준에따라안전성확보에필요한기술적. 관리적조치를하여야한다.( 개인영상정보보호가이드라인제 14조 4항 ) 구분조치사항비고 1. 암호화 2. 접근통제 1-1. 개인영상정보를 DB 등에집적하여별도로저장. 보관하는경우에는이를암호화한다. 1-2. 개인영상정보를정보통신망을통해외부로전송하는경우에는보안프로토콜을사용한다. 2-1. 관리책임자및업무담당자의개인영상정보에대한접근및처리권한을차등부여한다. 2-2. 전보, 퇴직등인사이동이발생하여개인영상정보에대한접근권한이변경된경우에는지체없이당해접근권한을변경또는말소한다. 2-3. 개인영상정보에대한접근권한부여, 변경또는말소에대한내역을기록하고, 당해기록을 5 년간보관한다. 2-4. ip 필터링을통해권한없는제 3 자의접근을제어한다. 2-5. SSl.iDS( 침입탐지시스템 ) 등홈페이지보안기술을적용한다. 공통 네트워크카메라 공통 네트워크카메라 3

문제점 1. 아날로그 CCTV 카메라와비디오엔코더가 1:1 동축케이블로연결되었을경우아날로그 CCTV 카메라와비디오엔코더사이에연결된동축케이블을가로채어손쉽게무단모니터링할수있다. 또는사전에녹화해놓은다른영상 ( 비디오테이프 ) 을비디오엔코더에연결하여전송할수있는데, 이경우중앙관제센터에서는아무런감지를못하게된다. 2. 공인 IP에연결되었을경우공인 IP는한번지정된후오랜기간사용하면다양한경로로노출될우려가있다. 이렇게습득된 IP 로범용공개크래킹소프트웨어를이용해몇시간내에 ID와패스워드를찾아내어무단으로영상에접속할수있게된다. 3. 유동 IP를위해 DDNS를사용할경우고정 IP 회선비부담으로대부분의원격네트워크 CCTV는국내유명 ISP의유동 IP 회선을이용하게된다. IP가빈번히변경되기때문에이미지정된호스트도메인명에자동매핑되는 DDNS라는기술을보편적으로많이사용하게되는데, 이경우도마찬가지로예측가능한명칭입력으로손쉽게접근이가능하다. 오랫동안사용하면다양한경로와사소한관리부실로인해노출이용이하고, 일단노출되면 ID와패스워드는수시간내에감지될수있다. 4. 영상관제센터의침입관제센터및영상감시네트워크에연결된건물에침입또는방문업체로가장하여노트북으로네트워크망을스캐닝할수있다. 이를이용해네트워크카메라, 비디오엔코더의 IP 주소를검색하거나직원 PC를통해유출할가능성또한배제할수없다. 5. 네트워크카메라비디오서버의관리자 ID와암호쉽게예측가능현재전국적으로널리보급되어있는무선랜공유기는관리자계정과암호를장비기본설정값그대로유지하여무단사용이용이하다. 이처럼일부기업또는공공기관에서사용하는네트워크카메라 / 비디오엔코더역시기본관리자 ID와암호를그대로사용하는경우가많아외부인이얼마든지장비에접근하여변경 / 제어를할수있다. 6. CCTV 설치직원의무단방출공공기관및기업에구축, 관리를담당하는업체의담당자가장비의 IP, 암호를모두알고있어언제든지유출의위험이있다. 일부업체에서는공공기관에구축한사실을다른고객사또는관계자에게자랑하듯이시연해주고있어보안불감증이위험한수준에이르렀다고도할수있다. 시연되는 IP는얼마든지 IP와 ID, 암호의흔적을찾아낼수있고, 악의적으로이용될수가능성이다분하다. 지금이순간에도국내어느 CCTV 설치업체가다른고객또는관계자가있는곳의 PC 에서데모시연을하고있을지모를일이다. 7. 네트워크전문지식이없는 CCTV 설치업체들의난립으로인한심각성현재전국적으로구축된공공기관의네트워크 CCTV의대부분은기존의전통적인 CCTV 업체를통해구축되었다고해도과언이아니다. 안타깝게도이들업체는네트워크인프라장비에대한전문지식및경험이부족하고, 네트워크장비구축시반드시검토되어야할아주기본적인부분조차준수하지않고있는경우가허다하다. 네트워크기반영상감시시스템은설계부터구축완료까지네트워크스위치기술과기능, VPN, 백본, IPS, VLAN, 무선랜기술, NAS, SAN, UC 등일일이열거하기어려울정도로수많은네트워크기반지식과기술이필요하다. 이에대한충분한이해및전문자격증을취득하지않은 CCTV 업체를통해시스템을구축할경우최적화된네트워크망구성및운영이어렵고, 보안에대해서도장담할수가없다. 4

솔루션 : 공공기관네트워크 CCTV 를위한효과적인운영가이드 1. 강력한 ID, 패스워드사용 네트워크카메라, 비디오엔코더, 관제어플리케이션으로의접속시보다복잡한 ID, 패스워드를 사용하고, 정기적으로변경해야한다. 물론예측가능한패스워드를사용하는것도지양해야한다. 2. IP Address Filtering 네트워크카메라에접속이가능한 PC 의 IP 를지정하여지정되지않은 PC 의접근허용을차단해야 한다. 3. 802.1x 인증거의모든네트워크카메라와비디오엔코더는자체의 ID, 패스워드로접근을통제하고있다. 그러나설치운영댓수가많을경우중앙집중형인증시스템이절대적으로필요하다. 이를통해네트워크카메라자체의인증을거치지않고자동적으로중앙관제실의인증서버에연결되어모든 ID에대한관리, 유지, 로그인정보를뚜렷하게파악할수있다. 또한각네트워크카메라의 ID, 패스워드를따로설정하는번거로움없이한번의설정으로수백, 수천대의네트워크카메라의계정을한꺼번에관리할수있어, 정기적인변경이필요한경우상당히효과적이다. 802.1X를이용한기술은현재상당한수준에이르러다양한솔루션과혼용운영이가능하다. 4. HTTPS (SSL over HTTP) 위 1,2,3번보다높은수준의방안으로, 네트워크카메라와어플리케이션간에영상정보가복잡한 128 비트로암호화되는기술이다. 복잡한알고리즘으로암호화를수행하기때문에조합의원리를파악하는것은사하라사막에서모래알갱이찾는것보다어렵다. ID, 패스워드, IP, 도메인이노출되어도영상정보가안전하게암호화되기때문에타인이이를해석할수가없다. 5

5. 영상감시네트워크와사내업무네트워크를분리 ( 빌딩내영상감시시스템구축시 ) 영상감시네트워크는물리적또는 VLAN 으로기업내부의데이터네트워크와분리시켜혼용을분리 시켜동일한백본상의혼용을철저히통제한다. 6. VPN 터널현재제공되는솔루션중가장신뢰도높은보안을제공하는솔루션이다. 고정, 유동 IP를사용하더라도네트워크카메라단과중앙관제어플리케이션또는관리자 PC간의완벽한별도의가상터널을형성하여복잡한알고리즘으로모든영상이암호화된다. 다중보안시스템으로는가장권장되는방법이라할수있다. 또한안전하지않은네트워크를보다안전하게해주는방식으로거의모든기업에서널리사용하고있는방식이기도하다. 별도의 Certificate 비용불필요 ( 대부분의방화벽에서 Certificate 발생 ) 7. 영상관제센터의엄격한통제와관리영상관제가이루어지는센터는엄격하게출입을통제하고원격 CCTV의 IP주소, 도메인명, 카메라명, ID, 암호를비롯한중요한정보는시각적으로노출이되지않도록관리를강화해야한다. 8. CCTV 설치직원, 관계자, 유지보수관계자의통제관리보안유지각서 (NDA) 를체결해관제센터와관련된여러중요한정보가외부로유출되지않도록확실한협약을맺는다. 9. 네트워크비디오전문업체를통한설치및유지보수강화영상을네트워크를통해전송해주는것이상으로수많은첨단네트워크기술이탑재되어있는네트워크카메라는단순한 CCTV가아닌완전한네트워크장비로분류되어야옳다. 과거아날로그 CCTV가발전한속도보다수십배빠른속도로발전하고있는총체적인네트워크구축사업이기때문이다. 네트워크전문지식이부족한시공업체에모든것을맡겼다가는보안문제뿐만아니라여러심각한문제를초래할수있다. 따라서네트워크기반영상감시시스템은네트워크비디오전문구축경험과풍부한지식을겸비한업체와논의하는것이바람직하다. 각종네트워크관련기술자격, 인증서를겸비한전문업체에맡겨야보안의위협으로부터그나마안심할수있을것이다. 네트워크비디오시장을선도하고있는엑시스커뮤니케이션즈는이미오래전부터원격네트워크기반의 CCTV를구축하는대부분의고객, 공공기관에향후발생될위험성을예견하고, 올바른네트워크 CCTV 구축캠페인을펼쳐오고있다. 엑시스는네트워크영상감시시스템의올바른도입환경마련을위해이를당연한책무로여기고있습니다. 별도의운영교육이나보다자세한정보가필요하신분은한국지사로연락바랍니다. 02-780-9636 6

www.axis.co.kr 31742/KR/R1/0804 엑시스커뮤니케이션즈에대하여 AXIS는네트워크비디오솔루션을제공하는 IT 업체입니다. 네트워크기반의영상감시분야에서세계시장을선도하고있으며, 아날로그에서디지털감시시스템으로전환을주도하고있습니다. AXIS의제품들과솔루션들은보안감시시스템및원격모니터링에집중하고있으며혁신적이고공개적인기술플랫폼에기반을두고있습니다. 스웨덴에본사를두고있으며전세적으로 18개국의지사를포함, 70여개국에사업파트너들과협력하여경영하고있습니다. 1984 년에설립된 Axis는 Nordic List, Mid Cap 및 Information Technology 등에상장되어있습니다. Axis에대한좀더자세한정보는 www.axis.co.kr 에서보실수있습니다. 2008 Axis Communications AB. AXIS COMMUNICATIONS, AXIS, ETRAX, ARTPEC and VAPIX are registered trademarks or trademark applications of Axis AB in various jurisdictions. All other company names and products are trademarks or registered trademarks of their respective companies. We reserve the right to introduce modifications without notice.