AI/IoT CCTV 사이버 위협 - 스마트 보안 장치의 악용 가능성과 대응 방안

요약

최근 AI 및 IoT 기술이 CCTV 감시 시스템에 급속도로 통합되면서, 스마트 보안 장치는 새로운 사이버 보안 위협에 직면했습니다. 전통적인 CCTV 시스템이 단순한 녹화 장치였다면, 오늘날의 AI 기반 CCTV는 실시간 영상 분석, 얼굴 인식, 행동 패턴 감지 등 복잡한 기능을 수행합니다. 이러한 기술의 발전은 보안 강화에 기여하지만, 동시에 공격자에게 새로운 공격 표면을 제공하고 있습니다.

1. 최신 취약점 동향: 주요 제조사 보안 결함

1.1 인도 기반 CCTV 시스템의 심각한 인증 우회 취약점 (CVE-2025-13607)

2025년 12월, CISA(미국 사이버보안 및 인프라 보안국)는 인도 기반 CCTV 카메라 3개 제조사의 제품에서 CVSS 9.4(심각) 수준의 취약점을 발표했습니다.

영향 범위:
- D-Link (인도): DCS-F5614-L1 모델 (펌웨어 v1.03.038 이하)
- Securus CCTV: Purple 시리즈 (2025년 12월 15일 이전 펌웨어)
- Sparsh Securitech: 모든 IP CCTV 모델

취약점 상세:
공격자가 인증 없이 특정 URL에 접근하면 카메라 설정 정보와 계정 자격증명을 포함한 민감한 정보를 노출할 수 있습니다. 이는 공격자가 장치를 완전히 장악할 수 있는 경로를 제공합니다.

영향:
- 장치의 모든 설정 수정 가능
- 관리자 계정 탈취
- 추가 악성코드 설치
- 프라이버시 침해 및 감시 시스템 무력화

1.2 숨겨진 백도어 취약점 (CVE-2025-7503)

Shenzhen Liandian Communication Technology LTD가 제조한 IP 카메라에서 CVSS 10(완전 치명적) 수준의 취약점이 발견되었습니다.

취약점 상세:
- 문서화되지 않은 Telnet 서비스(포트 23)가 기본적으로 활성화
- 사용자 매뉴얼 및 웹 인터페이스에 공유되지 않은 기본 자격증명
- 공격자가 네트워크 액세스만 있으면 root 권한 셸 획득 가능

심각성:
이 취약점은 공격자가 장치를 완전히 장악하여 원격 코드 실행, 데이터 유출, DDoS 공격 참여 등이 가능하게 합니다.

1.3 Dahua, Hikvision, Axis 다중 취약점

Dahua 카메라 (CVE-2025-31700):
- 버퍼 오버플로우 취약점으로 특수 조작된 네트워크 패킷 처리 시 원격 코드 실행 가능
- 100개 이상의 모델에 영향

Hikvision NVR 장치:
- CVE-2024-29947, CVE-2024-29948, CVE-2024-29949: 스택 오버플로우 및 메모리 손상 취약점
- CVE-2025-66176: 액세스 컨트롤 제품의 검색 및 발견 기능 스택 오버플로우

Axis Communications (CVE-2025-30023):
- CVSS 9.0 (심각) 취약점
- 클라이언트-서버 통신 프로토콜 결함으로 인증된 사용자가 원격 코드 실행 가능
- 전 세계 6,500개 이상의 조직에 영향

AVTech IP 카메라 (CVE-2025-34050~34066):
- 7개의 개별 취약점
- 인증 우회, 버퍼 오버플로우, 평문 자격증명, CSRF, OS 명령어 인젝션, 패스 트래버설, SSRF 포함

2. 보트넷 악용: CCTV 카메라가 DDoS 공격의 병기로

2.1 Mirai 보트넷의 지속적 진화

2016년 처음 등장한 Mirai 보트넷은 여전히 IoT 장치, 특히 IP 카메라에 가장 큰 위협입니다. 2024년 말부터 2025년에 걸쳐 새로운 변종들이 등장했습니다.

주요 변종:
- Murdoc_Botnet: 2024년 7월부터 활동, AVTech 카메라와 Huawei HG532 라우터 취약점 악용
- ShadowV2: D-Link, TP-Link 등 최소 8개 제조사의 취약점 악용, NVR 및 NAS 장치도 포함

2.2 역대 최대 규모 DDoS 공격

2025년 1월 기록:
- Mirai 보트넷이 기록적인 5.6 Tbps 규모의 DDoS 공격을 주도
- 13,000개 이상의 악용된 IoT 장치(주로 IP 카메라 및 라우터)로 구성
- Cloudflare가 1 Tbps 이상의 공격이 2024년 4분기에 1,885% 급증

공격 패턴:
- 기본/약한 자격증명 스캔
- 알려진 취약점 악용
- 명령 제어 서버를 통한 조율
- 볼류메트릭 및 애플리케이션 계층 공격 병행

2.3 글로벌 영향

Trend Micro, Gurucul 등의 연구에 따르면:
- 2024년 말부터 전 세계적으로 대규모 IoT 보트넷 DDoS 공격 증가
- 특히 일본 지역에 집중적인 공격
- 무선 라우터와 IP 카메라가 주요 타겟
- 중국, 이집트, 인도, 브라질, 터키, 러시아의 장치들이 주로 감염

3. AI 기반 CCTV의 프라이버시와 윤리적 위협

3.1 대규모 감시와 기능 확장 (Function Creep)

AI 기반 CCTV는 단순한 범죄 예방을 넘어 대규모 감시의 도구로 변모할 위험이 있습니다.

주요 우려:
- 대규모 감시: 스마트시티 프로젝트와 결합하여 도시 전체 감시망 구축 (전 세계 75개국 중 56개국이 AI 감시 기술 사용)
- 기능 확장: 원래 목적(예: 보안)과 다른 목적(예: 군중 통제, 정치적 감시)으로 재사용
- 영구적 생체 기록: 얼굴 특징, 걸음걸이, 행동 패턴 등 개인 식별 정보가 데이터베이스에 영구 저장

3.2 얼굴 인식 알고리즘의 편향성

AI 기반 얼굴 인식 기술은 내재된 편향성으로 인해 사회적 문제를 야기할 수 있습니다.

Turing Institute 등 연구 결과:
- 특정 인종, 성별, 연령대에서 인식 정확도 현저히 저하
- 오인률(FAR)과 거부율(FRR)이 그룹별로 편향될 수 있음
- 오인으로 인한 부당한 의심, 검문, 체류 위험

실제 사례:
- Rite Aid: FTC 조사 결과, 인종 및 성별에 따라 오인율이 다른 얼굴 인식 시스템을 수백 개 매장에 도입하여 5년간 사용 금지 처분 (2023년)

3.3 감정 및 행동 분석의 부정확성

AI 기반 CCTV는 실시간으로 인물의 감정, 행동 패턴을 분석하려 시도합니다.

기술적 한계:
- 얼굴 표정, 몸짓만으로 감정 판단의 신뢰성 낮음
- 문화적 차이 무시로 인한 오인
- "의심스러운 행동"의 정의 주관적일 수 있음

4. 실무적 대응 방안

4.1 즉시 대응 (긴급)

4.2 단기 대응 (1주~1개월 이내)

네트워크 격리:
- CCTV/NVR 장치를 별도 VLAN으로 분리
- 관리자만 액세스 가능한 관리 네트워크 구성
- 인터넷으로의 직접 액세스 차단 (VPN을 통한 관리만 허용)

자격증명 관리:
- 복잡한 비밀번호 정책 적용 (최소 12자, 대소문자/숫자/특수문자 포함)
- 각 장치에 고유한 자격증명 사용
- 정기적 비밀번호 교체 (최소 6개월)
- 장치 기본 자격증명 데이터베이스 참조 및 변경

서비스 하드닝:
- 불필요한 포트/서비스 비활성화 (Telnet, UPnP, P2P 연결)
- HTTPS만 허용 (HTTP 비활성화)
- SSL/TLS 인증서 유효성 확인

4.3 장기 대응 (3개월~1년 이내)

벤더 평가 및 선정:
- 보안 보고서, 패치 이력, 취약점 대응 속도 벤더 비교
- CIS Controls, NIST SP 800-53 준수 확인
- 정기적 보안 감사 이력 확인
- 사이버 보안 보고서(예: Hanwha Vision의 Nozomi Networks 보고서) 요청

정책 및 절차 수립:
- 보안 요구사항 정의서 작성 (구매 전)
- 장치 수명주기 관리 (입고→배치→폐기)
- 보안 업데이트 프로세스 표준화
- 사고 대응 절차(IRP) 수립

기술적 통제:
- NAC(네트워크 액세스 제어) 도입으로 무단 장치 연결 차단
- IDS/IPS로 이상 트래픽 탐지
- 네트워크 세그먼테이션 확장 (DMZ, 관리망, 감시망)
- 안티-보트넷 솔루션 도입

모니터링 및 감사:
- CCTV 장치 로그 중앙 집중 관리 (SIEM 통합)
- 정기적 취약점 스캔 (최소 월 1회)
- 위협 인텔리전스 구독 및 업데이트
- 연 1회 보안 감사 수행

4.4 AI 기반 CCTV 특별 고려사항

프라이버시 보호:
- GDPR, PIPA 등 데이터 보호법 준수
- 데이터 수집 목적 명확화 및 기록
- 수명주기 관리 (수집→보관→폐기)
- 프라이버시 영향 평가(PIA) 실시

알고리즘 투명성:
- 알고리즘 편향성 테스트 수행
- 인식 정확도 보고서 작성 및 공유
- 오인 발생 시 대응 절차 마련

거버넌스:
- AI 감시 도구 사용 범위 명확화
- 독립적 윤리 위원회 운영
- 스테이크홀더(시민, NGOs) 참여 의사결정

결론

AI/IoT CCTV 시스템은 현대 보안의 핵심 인프라이지만, 동시에 사이버 공격의 주요 표적이 되고 있습니다. 최근 발견된 주요 취약점(CVE-2025-13607, CVE-2025-7503 등)은 기본 자격증명, 인증 우회, 버퍼 오버플로우 등 오래되었지만 여전히 효과적인 공격 벡터가 기능하고 있음을 보여줍니다.

Mirai 보트넷의 진화는 약한 IoT 장치가 대규모 DDoS 공격의 병기로 악용될 수 있음을 입증하며, 5.6 Tbps 공격은 이 위협의 규모를 시사합니다.

동시에 AI 기반 얼굴 인식 기술의 프라이버시 및 윤리적 우려는 보안 기술이 개인 권리와 어떻게 균형을 맞춰야 할지 사회적 논의를 필요로 합니다.

실무자 입장에서 즉시 실행 가능한 대응 방안은 명확합니다:
1. 영향받는 취약점 패치 (CVSS 9.0+는 24시간 이내)
2. 기본 자격증명 변경 및 불필요한 서비스 비활성화
3. 네트워크 격리 (VLAN, 방화벽)
4. 정기적 모니터링 및 취약점 스캔

장기적으로는 보안을 고려한 벤더 선정, 종합적인 정책 수립, AI 기술의 윤리적 거버넌스 구축이 필요합니다.

여러분들은 이 기사를 통해 현재 배포된 CCTV 시스템의 취약점을 점검하고, 향후 도입할 AI 기반 감시 시스템에 보안과 프라이버시를 필수 요구사항으로 반영하기를 권고합니다.

참고문헌

1. CISA Advisory ICSA-25-343-03 - Multiple India-based CCTV Cameras (CVE-2025-13607)

2. URL: https://www.cisa.gov/news-events/ics-advisories/icsa-25-343-03

3. GitHub Advisory Database - CVE-2025-7503: Hidden Backdoor in Popular IP Camera

4. URL: https://github.com/advisories/GHSA-8jgw-f9pj-qfw2

5. Nozomi Networks Labs - Hanwha Vision Camera Vulnerability Report (CVE-2025-52598~52601, 8075)

6. URL: https://www.hanwhavision.com/wp-content/uploads/2025/12/Camera-Vulnerability-ReportCVE-2025-5259852601-8075-1.pdf

7. The Hacker News - Mirai Botnet Launches Record 5.6 Tbps DDoS Attack with 13,000+ IoT Devices (2025)

8. URL: https://thehackernews.com/2025/01/mirai-botnet-launches-record-56-tbps.html

9. Fortinet FortiGuard Labs - ShadowV2 Casts a Shadow Over IoT Devices

10. URL: https://www.fortinet.com/blog/threat-research/shadowv2-casts-a-shadow-over-iot-devices

11. Kaspersky Threat Research - Multiple IoT Devices Targeted with New Mirai Botnet Version (2025)

12. URL: https://me-en.kaspersky.com/about/press-releases/kaspersky-discovers-multiple-iot-devices-targeted-with-a-new-mirai-botnet-version

13. Bitdefender IoT Security Report 2025 - 58 million IoT devices analyzed, 4.6 billion vulnerabilities

14. URL: https://blogapp.bitdefender.com/hotforsecurity/content/files/2025/10/2025_iot_security_report.pdf

15. Cybersecurity Institute - Key Privacy Concerns Around AI-Integrated Security Cameras (2025)

16. URL: https://www.cybersecurityinstitute.in/blog/what-are-the-key-privacy-concerns-around-ai-integrated-security-cameras

17. FTC Press Release - Rite Aid Banned from Using AI Facial Recognition (2023)

18. URL: https://www.ftc.gov/news-events/news/press-releases/2023/12/rite-aid-banned-using-ai-facial-recognition-after-ftc-says-retailer-deployed-technology-without

19. Harvard Carr Center for Human Rights Policy - AI: Promises, Risks, and Regulation (2025)

    • URL: https://www.biometricupdate.com/202502/study-examines-the-need-to-balance-innovation-and-privacy-in-facial-recognition

20. Turing Institute - Understanding bias in facial recognition technologies (2020)

    • URL: https://www.turing.ac.uk/sites/default/files/2020-10/understanding_bias_in_facial_recognition_technology.pdf

21. Fortinet IoT Security Best Practices - How To Protect IoT Devices

    • URL: https://www.fortinet.com/resources/cyberglossary/iot-best-practices

22. VIVOTEK Security Hardening Guide - IP Surveillance Systems Security Configuration

    • URL: https://www.vivotek.com/rails/active_storage/blobs/redirect/eyJfcmFpbHMiOnsiZGF0YSI6NDc5MDQsInB1ciI6ImJsb2JfaWQifX0=--e36e7dcf1455f3f381cc09c946b331ab9140c6e1/VIVOTEK_Security_Hardening_Guide_2.1.pdf

23. NIST SP 800-53 - Security and Privacy Controls for Information Systems

    • URL: https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final

24. IMDA IoT Cyber Security Guide - Singapore Government IoT Security Guidelines (2025)

    • URL: https://www.imda.gov.sg/-/media/imda/files/regulations-and-licensing/regulations/consultations/2025/reference-standards/imda-iot-cyber-security-guide.pdf

본 콘텐츠는 AI 기술로 생성된 분석 리포트를 포함하고 있습니다. 내용 중 사실과 다르거나 보완이 필요한 정보를 발견하시면 댓글을 통해 소중한 의견 부탁드립니다. 여러분의 피드백은 더 정확한 보안 정보 공유에 큰 도움이 됩니다.