정부발표 : "IP카메라 보안강화방안"
<류제명 과학기술정보통신부 네트워크정책실장>
안녕하십니까? 과학기술정보통신부 네트워크정책실장 류제명입니다.
지금부터 IP카메라 해킹, 영상 유출로 인한 국민의 불안을 해소하기 위해 마련한 IP카메라 보안 강화 방안의 주요 내용을 브리핑하겠습니다.
인터넷 접속이 가능한 IP카메라는 국민 일상생활과 병원, 쇼핑몰 등 다양한 분야에서 활용이 되고 있습니다. 그러나 해킹을 통해 국민의 사생활이 해외 유해 사이트에 노출되는 부작용도 지속적으로 발생하고 있어 범정부 차원의 대책을 마련하게 되었습니다.
이번 대책은 과학기술정보통신부가 디지털 역기능 해소를 위해 지난 10월에 구성한 디지털서비스 민생지원추진단의 디지털 사생활 보호 분야 정책으로서 IP카메라 제조·수입, 유통, 이용 전 주기에 걸친 현황을 분석하고 해킹, 정보 유출 대응과 관련한 부처 협의와 관련 제조사, 유통 플랫폼의 의견 수렴을 통해 IP카메라 각 단계별 보안 강화를 위한 다양한 정책과제를 마련하게 되었습니다.
첫 번째로, 제조·수입 단계의 과제입니다.
대부분의 IP카메라 해킹은 복잡도가 낮은 비밀번호 파악을 통해 발생하고 있어 해킹 방지를 위해서는 안전한 비밀번호를 설정하는 것이 기본적이고 필수적입니다.
현재 국내에 제조·수입되는 IP카메라는 초기 인터넷망 접속 시 새로운 비밀번호를 설정하도록 하고 있으나 이용자가 단순한 비밀번호로 설정하는 경우 해킹에 노출될 우려가 있습니다.
이에 관련 기술기준을 개정하여 IP카메라 제품 설계 시 높은 보안 수준의 비밀번호를 설정하는 기능을 탑재하도록 의무화할 계획입니다.
두 번째로, 유통 단계의 과제입니다.
현재 공공부문의 경우 국정원 지침에 따라 IP카메라 설치 시 보안 인증을 받은 제품 도입을 의무화하고 있습니다. 민간부문도 병원, 쇼핑몰 등 다중이용시설과 국가적으로 중요한 시설에 설치되는 IP카메라는 보안이 강화된 제품을 사용하도록 개선할 계획입니다.
주요정보통신기반시설에 설치하는 IP카메라는 보안 인증을 받은 제품을 사용하도록 통보하는 한편, 공공·민간의 영상정보처리기기 설치·운영에 관한 사항을 규율하는 법률을 따로 제정하여 동 법률에 다중이용시설 등 국민 생활과 밀접한 곳에 설치하는 IP카메라에 대해서는 보안 인증 제품 사용을 의무화하는 내용을 포함하겠습니다.
또한, 해외직구 등 IP카메라 유통 실태를 파악하고 제품별 보안 수준 점검을 통해 개선이 필요한 사항을 도출하는 한편, KC 인증을 받지 않은 IP카메라의 국내 유통을 차단하기 위한 단속도 강화하겠습니다.
세 번째로, 이용 단계의 과제입니다.
IP카메라 이용자가 제품을 구매할 때부터 보안수칙을 인지하고 실천할 수 있도록 제조사·유통사와 협력을, 협력하여 이용자 안내를 강화하겠습니다.
제조사·유통사 홈페이지에 보안수칙을 안내하는 한편, IP카메라 제품 포장 시에 안내문을 동봉하여 배송토록 하겠습니다. 아울러, IP카메라 이용자가 사용하는 앱에서도 제조사가 안전한 비밀번호 설정 등을 공지하도록 지도하겠습니다.
개인 이용자뿐만 아니라 다수의 IP카메라를 설치하는 사업장에도 보안수칙 이행을 안내하고 사업장에서 영상 유출 사고가 발생할 경우 보안수칙 준수 등 안전성 확보 조치 이행 여부를 철저히 조사하여 미이행 시에는 과징금을 부과하도록 하겠습니다.
지금까지 말씀드린 IP카메라 보안 강화를 위한 정책 추진과 함께 향후 IP카메라 보안 실태조사, 소비자·시민단체 의견 등 국민 여론 수렴을 통해 해외직구 제도 개선도 검토할 예정입니다.
이상 IP카메라 보안 강화를 위한 주요 정책과제를 설명드렸습니다. 과기정통부는 개인정보보호위원회, 경찰청 등 관계부처와 업계와 협력하여 국민들이 안심하고 IP카메라를 이용할 수 있는 환경을 조성하는 데 최선을 다하겠습니다.
감사합니다.
<사회자>
이 자리에는 개인정보보호위원회 고낙준 신기술개인정보과장과 그다음에 과기정통부 최광기 사이버침해대응과장, KISA 임진수 위협대응단장이 배석을 하고 있습니다. 질문에 대해서 기본적인 사항은 실장님께서 답을 하시고 상세 내용은 배석자가 답을 하도록 하겠습니다.
[질문·답변]
※마이크 미사용으로 확인되지 않는 내용은 별표(***)로 표기하였으니 양해 바랍니다.
<질문> 안녕하세요? 여기 보면 직구제도 개선을 검토한다고 돼 있는데 이게 사실상 직구 금지에 대해 검토 중인 것으로 약간 해석이 되는데 이게 IP카메라에 대해서만 직구를 금지하겠다는 것인지 아니면 1인 1기기, 전자기기 수입을 허용하고 있는 것에 대해서 전면 검토를 하겠다는 건지 그게 궁금합니다.
<답변> 1차적으로는 지금 현재 국민 사생활 보호에 아주 치명적인 문제를 야기할 수 있는 IP카메라 부문에 대해서 유통 실태 전반적인 실태조사를 저희가 생각하고 있습니다. 이 중에서 실제 해외직구를 통해 들어오는 그런 제품의 유통 실태가 아직 정확하게 파악이 되지 않아서 일단 관세청하고 관계기관하고 해서 IP카메라 직구 현황들도 한번 저희가 분석해서 직구 제품하고 직구 아닌 다른 루트를 통해서 들어오는 제품들 간의 보안 수준 상태나 또 기기의 안전성 문제 이런 것들을 한번 종합적으로 살펴보고 그리고 또 이와 관련된 여러 가지 시민들이나 소비자 의견들을 충분히 수렴해서 정책 방안을 강구해 보려고 시작하는 겁니다.
그래서 구체적으로 저희가 해외직구에 관해서 그건 일단 실태 파악이 필요하다는 말씀을 드리겠고요. 대상은 1인 1기기 전 전자기기를 대상으로 하는 것이 아니라 IP카메라 부문만을 지금 집중적으로 한번 분석을 해보려 합니다.
<질문> 복잡하게 비밀번호 기능을 강화하는 걸 탑재 의무화 시점을 자료에는 내년 하반기로 나왔는데 그러면 내년 하반기에 출시되는 제품부터 적용된다고 보면 되는 건지, 아니면 일단 고시부터 나오고 내후년에 나오는 제품부터 적용이 되는 건지, 어느 시점부터 비밀번호가 강화되는 제품이 나오는지 궁금하고요.
그다음에 이미 설치된 IP캠 같은 경우는 소급 적용이 안 되잖아요. 지금 국내에 설치된 IP캠 대수는 몇 대 정도로 파악하고 있고 이와 관련돼서는 또 어떠한 대책이 있는지 궁금합니다.
<답변> (최광기 과기정통부 사이버침해대응과장) 과기정통부 사이버침해대응과장 최광기입니다. 답변드리겠습니다. 일단 안전한 보안 수준을 갖춘 비밀번호를 설정하는 것과 관련해서는 저희가 최대한 빨리 일단 고시 개정 작업을 진행해서 고시가 시행된 이후부터 출시되는 제품에 대해서 의무화를 할 계획이고요.
그다음에 현재 사실 이게 IP카메라라는 게 현실적으로 지금 가정에서 개인적으로 구매를 해서 사용하는 경우가 많다 보니까 정확한, 얼마나 판매가 되고 이용이 되는지에 대한 정확한 규모는 파악하기가 어렵습니다.
그래서 그렇기는 하지만 저희가 이미 설치된 그런 IP카메라에 대해서도 저희가 계획에도 나와 있습니다마는 이용자에게, 이용자가 사용하는 앱을 통해서 보안 수칙을 주기적으로 안내해서 안전하게 비밀번호를 설정하는 거라든가 그런 안내를 지속적으로 추진해서 실질적으로 IP카메라를 이용하는 고객이 보안 수칙을 지키고 이행할 수 있게끔 노력할 계획입니다.
<답변> (관계자) ***
<답변> (임진수 한국인터넷진흥원 위협대응단장) 현재 제품, 한국인터넷진흥원 위협대응단장 임진수라고 합니다. 현재 IP카메라 말씀 주셨는데요. 제품 간에 비밀번호라든지 이런 것 설정은 가능한데 약한 비밀번호로 설정돼 있는 부분들 때문에 일단 홍보 쪽부터 말씀을 드려서 개인 스스로도 IP카메라 비밀번호를 강화할 수 있도록 하는 방안에 대해서 안내할 거고요. 저희 인터넷진흥원도 관련해서 IP카메라 관련한 부분에 대해서 비밀번호가 강화될 수 있도록 인식 제고라든지 이런 부분 노력할 예정에 있습니다.
저희 한국인터넷진흥원 118 전화번호를 이용하시면 안내를 받으실 수 있고요. 저희 관련해서 보안수칙을 통해서 자세하게 안내할 수 있도록 그렇게 노력하겠습니다.
<질문> 이용 단계 부분에서 개인 이용자뿐만 아니라 다수의 IP카메라를 설치하는 사업장이라고 얘기를 하셨는데 이게 기준이 어떻게 되는 건지, 다수가 어느 정도가 되는 건지 궁금하고요.
그다음에 그 보안수칙, 이거 영상 유출 사고가 발생할 경우 보안수칙 이행 여부를 조사한다 그랬는데 이것도 그러면 보안수칙이 이런 사업장엔 다 전달돼야 될 것 같은데 어떤 보안수칙을 전달해서 갈 수 있을지 궁... 그 기준이 궁금합니다. 어떤 보안수칙이 기준이 되는 건지.
<답변> 우리 고낙준 과장님께서 답변해 주시겠어요?
<답변> (고낙준 개인정보위 신기술개인정보과장) 개인정보보호위원회 신기술개인정보과장 고낙준입니다. 다수 IPTV라고 그러면 사실 저희가 앞에서 민간부문까지 의무화 부분과 같이 연계돼서 설명드릴 수가 있을 텐데요. 공공 분야는 보안 인증을 받은 제품을 설치 의무화되어 있고 그렇지 않은 민간들은 현재 그런 제품을 쓰고, 쓰는 것이 의무화돼 있진 않습니다.
그러다 보니까 이런 유출 사고들이 났었는데 아까 말씀드린 다중이용시설이라고 해서 백화점이나 병원 많은 이용들이, 많은 사람들이 이용하는 곳과 그리고 소규모 업장이라 하더라도 국민들의 사생활과 연결된 업장들이 존재할 수 있습니다. 이번에 언론에 유출된 필라테스 학원이라든지 요가 학원이라든지, 또 수영장 같은 경우에도 수영장 외부에 수영하는 곳에도 CCTV들이 설치되어 있습니다. 그런 노출이 있는 곳에 대해서, 그런 IPTV 설치돼 있는 곳에서 IP카메라를 인증받은 제품을 의무화하도록 하는 게 이번의 골자입니다.
그렇기 때문에 국민들 입장에서 보실 때 본인의 사생활과 관련된 영상이, 영상하고 관련된 그런 사업장에 대해서는 앞으로 인증된 제품을 씀으로써 그런 영상들이 유출되지 않겠다, 라는 안심을 할 수 있을 겁니다.
<질문> ***
<답변> (고낙준 개인정보위 신기술개인정보과장) 기준은 아직 저희가 좀 더 구체적으로 만들어야 되고요. 제가 아까 말씀드린 것들 중심으로 일단은 대규모 사업장, 민간이라 하더라도 대규모 사업장은 기본적으로 다 포함될 거고요. 그리고 소규모 업장이라 하더라도 국민들의 신체 노출이 좀 있는 곳 그런 곳들은 우선적으로 해서 의무 대상들을 선정할 것이고, 이거는 기본적으로 법률로써 정할, 앞에 말씀드린 법률로써 정할 예정이고 구체적인 사항들은 대통령령에 위임해서 국민들 의견 수렴 절차를 거쳐서 구체적으로 확정할 예정입니다.
<질문> ***
<답변> (사회자) 보안수칙 준수 여부를 어떻게 사업장에 전달...
<답변> (고낙준 개인정보위 신기술개인정보과장) 그 보안수칙 부분은 저희가 개인정보 안전성 확보조치 규정이라고 있습니다. 개인정보 관련해서 개인정보를 안전하게 관리하기 위한 여러 가지 규정들이 들어가 있는데, 오늘도 신문에 보셨지만 대학 두 군데서 과징금을 받았는데 그걸로 인해서 그런 개인정보, 영상정보도 개인 영상정보기 때문에 그런 부분들이 만약 유출된다면 유출된 그 원인들이 그런 보안수칙, 그러니까 안전성 확보조치 기준을 위반했다고 판단된다면 거기에 따라 과태료·과징금 부과한다는 말씀입니다.
<질문> 다중이용시설이라든지 사업장 같은 데, 좀 노출이 있을 법한 사업장 같은 데 보안이 강화된 제품을 사용하도록 유도하겠다, 법적으로. 이렇게 말씀해 주셨는데 사실 사람들이 우려하고 있는 게 아파트 월패드라든지 홈캠을 통한 노출 이런 걸 많이 우려하고 있어요. 이런 곳에도 혹시 그런 기준을 적용할 그런 계획이나 이런 게 있는지 그것도 좀 여쭤보고 싶거든요.
<답변> 지금 저희가 이 계획에서는 구체적으로 말씀 안 드렸습니다만 아파트 월패드나 아파트 안에 있는 IoT 기기들, 스마트홈 디바이스들에서 발생할 수 있는 보안 사고들 그런 우려 때문에 지금 IoT 보안인증과 관련된 제도를, 임의 인증입니다만 운영을 하고 있는데요.
이런 것들이 현장에서 조금 더 확산이 될 수 있는 이런 것들을 위해서 저희가 최근에 몇 달 전에, 정확한 시점은 제가 확인 다시 한번 따로 드리겠습니다만 5대 건설사, 건설사들하고 이런 IoT 보안인증 국제표준을 적용한 그런 것들을 확산하는 그런 MOU도 한 바 있습니다.
그래서 전체적으로 국민들께서 최근에 아파트, 아파트들이, 특히 신축 아파트들 중심으로 스마트홈화 되면서 그런 부분에 우려가 크실 것이기 때문에 그런 아파트 건설사들, 시공사들하고 함께 원천적으로 초기부터 보안성 있는 그런 스마트 기기들이 사용될 수 있도록, 또 그런 국제표준하에서 다양한 제품들이 사용되더라도 그런 보안성을 유지할 수 있는 그런 스마트홈이 운영될 수 있는 이런 체계들을 계속 협의해 나가고 있습니다. 그런 것들을 좀 더 관련된 주체들하고 확대해서 해나갈 그런 생각입니다.
<질문> 보도자료 맨 뒤쪽에 부처별 역할 및 일정에 보면 내용 중에 유통 단계에서 공공기관 미인증 IP 카메라 철거가 내년부터로 지금 되어 있습니다. 혹시 당장 내년부터 지금 철거를 시작하게 되는데 혹시 철거 필요한 규모 같은 건 혹시 파악이 됐을까요?
<답변> (최광기 과기정통부 사이버침해대응과장) 과기정통부 사이버침해대응과장 최광기입니다. 일단 공공부문 같은 경우에는 현재 지금 국정원에서 CCTV라든가 IP 관련, IP캠 관련해서 담당을 하고 있는데 규모는 저희가 정확하게 파악을 해서 국정원의 협조를 받아서 공공부문 교체되는 대수라든가 그런 것들에 대해서는 파악해서 알려드리도록 하겠습니다.
그리고 IP, 공공부문에 있어서 IP카메라 이전에, 그러니까 2023년도 3월부터 사실 보안 인증을 받은 제품을 의무적으로 사용하게끔 했는데 그전에 설치됐던 것에서 이미 철거 작업이 일부는 진행되고 있는 상황이고요. 이 계획 발표한 다음부터 하는 건 아니고 이미 되고 있는데 아직 안 된 부분들이 있어서 그런 부분들에 있어서는 관계부처, 부처별로 관리하고 있는 공공기관 CCTV가 있으니까 그런 것들에 대해서 관계부처하고 협력해서 빠른 시일 내에 교체가 될 수 있도록 그렇게 추진할 예정입니다. 규모에 대해서는 추후 알려드리도록 하겠습니다.
<답변> 제가 한 가지만 좀 다시 한번 말씀드리고 싶은데요. 이게 사실은 IP카메라 해킹 문제, 이 문제에서 가장, 지금 특히 우리 개인들이, 가정이나 개인 사생활 보호를 위해서 가장 중요하고 기본적인 사항이 비밀번호를, 제품 출시했을 때 간단한 비밀번호로 돼 있는 거를 처음 사용하실 때 바꿔주는 부분, 비밀번호 변경 그리고 최신 소프트웨어로 업데이트할 수 있는 그 두 가지가 굉장히 중요합니다.
그래서 저희가 그런 개인 단위에서 이용 단계에서 간과하고 넘어가시거나 소홀히 해서 이렇게 하실 수 있는 부분들을 사전 단계에서 또 제조·수입 단계에서부터 그걸 다시 한번 좀 더 강화된 기준으로 비밀번호 설정과 관련된 그런 것들을 조금 더 복잡하게 만들어서 이런 초기 단계에서 실수하시... 놓치더라도 변경이 안 되더라도 그런 피해가 없는 그런 것들을 지금 강구하는 것인데요.
그래도 가장 중요한 거는 이용하실 때 IPTV... IP카메라 제품 구입하고 싶... 처음 사용하실 때 비밀번호를 보안 수준이 높은 아주 간단한 그런 보안... 비밀번호가 아니라 안전한 비밀번호로 바꾸시는 거, 그리고 비밀번호를 주기적으로 바꾸시는 거하고 또 최신 소프트웨어 업데이트를 계속 할 수 있는 그 두 가지 사항이 가장 중요하고 기본적인 사항입니다.
그래서 이번 정부 대책 발표가 대책으로서도 저희가 하나하나 단계마다 안전하게 국민들을 보호하는 그런 조치들을 관계기관 또 제조사들, 업계하고 지금 하고 있습니다만 더 근본적으로는 이용하실 때 그런 것들을 철저하게 해주시는 그 노력을 함께해 주시는 그런 것들을 이번 계기를 통해서 우리 국민 또 소비자분들께서 조금 더 인식을 확산시키고자 하는 그런 생각에서도 정부가 이번에 또 특별히 대책과 함께 이렇게 직접 브리핑을 하게 됐다는 점을 한 번 조금 더 말씀을 드리고 싶습니다.
그동안 경청해 주셔서 감사합니다.
<답변> (사회자) 더 이상 질문이 없으니 브리핑 마치도록 하겠습니다. 감사합니다.
<답변> 감사합니다.
[출처] 대한민국 정책브리핑(www.korea.kr)