세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  세계 다이어트 엑스포  INFO-CON
CCTV 해킹과 몰래 훔쳐보기, 어떤 기술로 막을 수 있나
  |  입력 : 2017-10-06 21:35
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
개인영상정보보호법 준수를 위한 영상정보 보호기술

[보안뉴스= 장연태 우경정보기술 이사] ICT(정보통신기술) 발전에 따라 다양한 융·복합 서비스가 출현하고 환경의 변화에 따른 각종 스마트 디바이스의 등장으로 새로운 형태의 보안 위협이 나날이 증가하고 있다. CCTV를 몰래 훔쳐보거나 영상 유출로 인한 사생활 노출 등의 영상보안 관련 이슈도 꾸준히 증가하고 있다. 이에 따라 CCTV 영상정보의 암호화 등 근본적 보안 대책 필요성이 대두되고 있다. CCTV 영상 등 개인영상정보의 유출로 인한 피해는 전화번호, 주민등록번호 등과 같은 텍스트 정보의 유출보다 심각하기 때문이다.

[이미지=iclickart]


영상 정보의 보안 위협으로는 ①영상정보 유출 ②영상정보 위변조 ③카메라 해킹 ④영상정보 유출로 인한 프라이버시 침해사고 등이 있다. 그러나 이에 대한 보안 대책은 전혀 없는 상태다. CCTV의 공익적 효과와 개인정보 침해 이슈가 충돌하고 있어 영상정보보안에 대한 정책 수립과 CCTV 영상의 외부 반출 관리(프라이버시 보호 조치, 영상 위변조 방지, 사용기한 관리 등)가 상대적으로 소홀한 까닭이다.

현재 개인영상정보 보호를 위한 법규로는 개인정보보호법이 있으나 의미가 포괄적이어서 효과는 미미하다. 이에 행정안전부(구, 행정자치부)는 2015년 1월 ‘공공기관 영상처리기기 설치 운영 가이드라인’을 만들어 공공기관의 영상정보처리기기 설치·운영 및 개인영상정보 보호에 대해 업무담당자가 준수해야 할 사항을 쉽게 이해할 수 있도록 기준을 제시했다. 그런데도 인력부족과 영상정보보호 전문 솔루션 등의 부족으로 별다른 효과를 거두지 못했다. 개인정보보호법 제정 당시만 해도 이슈나 갈등이 크게 부각되지 않았으나 최근에는 영상을 촬영하는 기기와 수단이 다양해져 새로운 법적 보호체계가 필요하다는 사회적 공감대가 형성되고 있다.

이에 따라 지난해 12월 행안부는 ‘개인영상정보보호법’ 제정안을 마련하고 올해 1월 24일 입법 예고했다. CCTV 통합관제센터를 구축 운용하고 있는 지방자치단체에서는 개인영상정보보호법 제정에 따른 기술적 대책 마련에 고심하고 있다. 개인영상정보보호법 제정에 따른 기술적 보안장치로 개인영상보호기술, 영상 데이터 보호, 영상 위변조 방지 기술, 접근통제 등을 꼽을 수 있다.

영상에서 개인의 프라이버시를 침해할 수 있는 소지가 가장 높은 것은 얼굴로, 객체검출(Human & Face Detection)과 추적 기술을 적용해 불특정 다수 보행자의 얼굴영상 영역에 자동 추적 마스킹(Masking) 기법을 적용해 육안으로나 컴퓨터로 개인이 식별되지 않게 해야 한다. 마스킹 처리된 영상에는 마스킹 해지 기법을 적용해 목표 추적 인물에 대한 얼굴영역을 인지하고 자동 객체추적 기술을 적용해 프라이버시 보호 해제 영상을 생성할 수 있도록 하며, 영상에서 인물객체를 검출하기 위해서는 보행자 검출 알고리즘과 얼굴인식 알고리즘을 동시에 사용해야 한다.

일반적으로 CCTV는 전송시 암호화 전송이 되지 않는 경우가 많아 보안상 취약하다. 통신 구간에 대한 암호화는 VPN을 이용해 전송 구간 암호화가 가능하나 암호로 인한 용량 증가에 따른 전송 트래픽 증가와 암·복호화 수행으로 인한 성능 저하 등이 따라온다. 대부분의 IP 카메라에 암호화된 영상 전송을 위한 SSL 모듈이 탑재돼 있음에도 실제로 거의 사용하지 않는 것은 이 때문이다.

이로 인해 최근에는 CCTV 영상과 같은 비정형 데이터 수집 시스템에 대한 암호화 요구가 늘고 있다. 영상정보 위변조 사건은 매년 증가하는 추세로 영상 데이터의 무결성을 검증할 수 있어야 하는데 여기에 워터마크 기술이 적용된다. CCTV 영상의 개인정보 유출에서 가장 심각한 문제 중 하나가 접근 권한을 가진 사람들의 개인정보 오남용이므로, 영상정보의 무단 열람과 복제, 영상정보의 위변조 등을 제한할 수 있도록 접근통제 기능이 설계돼야 한다. 또, 보안규정에 맞지 않은 행동은 사전에 차단하고, 사고 발생 즉시 해결할 수 있는 포렌식 개념도 도입해야 한다.
[글_ 장연태 우경정보기술 이사(ytjang@wkit.co.kr)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>



비츠코리아 파워비즈시작 2017년7월3일파워비즈 배너
설문조사
2017년은 3분기까지 침해사고 수가 2016년 전체 침해사고 수를 앞지르는 등 급증하는 침해사고로 신기록을 세운 해입니다. 지난 한 해 동안 발생한 침해사고 중 가장 심각한 유형은 무엇이라고 생각하시나요?
기업의 개인정보 및 신용정보 유출 ex) 에퀴팩스 사태
한국을 겨냥한 북한의 사이버 공격 ex) 하나투어 등
가상(암호)화폐 탈취 위한 사이버 공격 ex) 거래소 해킹, 피싱 이메일 등
대규모 랜섬웨어 공격 ex) 워너크라이, 낫페트야
공공 클라우드 설정 오류 및 보안 미비로 인한 사고 ex) AWS, 구글 그룹스
사물인터넷 보안 미비로 인한 침해사고 ex) IP 카메라 해킹
기타(댓글로)