침해사고/위협동향

40만가구 영상 훔쳐본 아파트 월패드 해킹, 범인은 보안 전문가?

이종현
2021년 11월 유출자라고 자칭하는 이가 해커 커뮤니티에 올린 샘플 영상. 비어 있는 집 내부 화면을 촬영한 모습.
2021년 11월 유출자라고 자칭하는 이가 해커 커뮤니티에 올린 샘플 영상. 비어 있는 집 내부 화면을 촬영한 모습.
[디지털데일리 이종현기자] 2021년 11월경 아파트 내 사물인터넷(IoT) 기기를 제어할 수 있는 월패드가 해킹돼 가정 내 영상이 유출됐다. 638개 단지 40만4847개 가구가 피해를 입은 가운데 1년여 만에 피의자가 체포됐다. 피의자는 사건 이후 언론서 ‘보안 전문가’로 소개되며 해킹 시연을 한 30대 남성이다.

20일 경찰청 국가수사본부 사이버테러수사대는 월패드를 해킹, 월패드의 카메라에서 훔쳐낸 영상 데이터를 다크웹 등을 통해 판매하려 한 혐의로 30대 남성 이 모씨를 검거했다고 밝혔다.

월패드는 벽에 부착된 형태로 가정 내 조명이나 가전제품, 도어락 등을 제어할 수 있는 기기다. 일부 월패드에는 카메라도 부착돼 있는데, 범인은 해당 월패드를 해킹해 사생활이 담김 영상을 유출했다. 나체나 성관계를 가지는 모습 등도 포함됐다.

경찰에 따르면 이씨는 2021년 8월부터 11월까지 전국 638개 아파트의 월패드를 중앙관리하는 서버와 각 세대 월패드를 해킹해 권한을 얻었다. 경찰은 월패드 16개에서 촬영한 데이터를 확보했는데, 영상 213개, 사진 약 40만장 이상이다.

이 씨는 경찰 조사에서 “월패드의 보안 취약성을 알리기 위해서였다”고 진술했으나 경찰은 A 씨가 해외 사이트에 판매글을 올리고, 구매자와 이메일을 주고받은 기록 등을 확보했다고 전했다. 다만 실제 영상이 판매된 흔적은 찾지 못했다는 것이 경찰의 설명이다.

경찰은 이 씨가 해킹 및 분산서비스거부(DDoS) 공격 전과도 2건 있는 것으로 파악했다. 또 이씨의 범죄 수법 등이 정부가 마련한 사고 이후 대응조치에 반영될 수 있도록 했다고도 부연했다.

이 씨에 대한 구속영장은 16일 기각됐다. 이규봉 사이버테러수사대장은 “판매 목적 등을 더 면밀히 수사해 구속영장 재신청 여부를 검토할 것”이라고 말했다.

한편 한국인터넷진흥원(KISA)은 작년 11월 대규모 사생활 침해가 이뤄진 이후 관련 기업들과 협력해 보완책 마련에 힘쏟아 왔다. 지난 16일 발표된 ‘홈네트워크 보안 가이드’가 그 결과물이다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널