본문으로 건너뛰기
J
피드

베이비 모니터 110만 대가 사실상 열린 창문이었다

security 약 7분
tags
#iot#mqtt#rce#privacy#firmware
vote
0
댓글
북마크

중국 화이트라벨 카메라 제조사 Meari Technology의 Wi-Fi 베이비 모니터와 보안 카메라 약 110만 대가 전 세계에서 쉽게 노출될 수 있었던 사건이다. 한 보안 연구자는 안드로이드 앱 분석만으로 공통 키를 뽑아 118개국 기기 정보, 이미지, 위치, 이메일까지 볼 수 있었다고 밝혔다.

  • 1

    Meari 계열 카메라 약 110만 대가 118개국에서 원격으로 접근 가능한 상태였다는 주장

  • 2

    MQTT 기반 IoT 플랫폼 설계와 기본 비밀번호 문제가 핵심 취약점으로 지목됨

  • 3

    카메라 사진 일부가 보호 없는 공개 URL로 노출됐고, 내부 서버에는 직원 정보와 자격 증명도 있었다고 함

  • 4

    Meari는 EMQX 플랫폼을 종료하고 펌웨어 3.0.0 미만 기기에 업데이트를 권고했지만 실제 영향 범위는 공개하지 않음

  • 베이비 모니터와 보안 카메라 110만 대가 사실상 “아는 사람은 볼 수 있는” 상태였다는 보도임

    • 대상은 중국 Meari Technology가 만든 Wi-Fi 카메라 계열이고, 전 세계 118개국에 퍼져 있었다고 함
    • Meari는 소비자에게 익숙한 이름은 아니지만, Arenti, Anran, Boifun, ieGeek 같은 여러 브랜드로 화이트라벨 제품을 공급해온 회사임
    • 기사에 따르면 Wyze, Zhiyun, Intelbras, Petcube 일부 제품도 Meari와 연결돼 있었지만, 모든 브랜드 제품이 다 영향받았다는 뜻은 아님

  • 발견 방식도 황당함. 프랑스 보안 연구자 Sammy Azdoufal은 안드로이드 앱을 뜯어보다가 단일 키 하나로 대규모 기기 접근이 가능했다고 말함

    • 그는 같은 방식으로 DJI 로봇 청소기 군집을 원격 제어했던 인물로 소개됨
    • 이번에는 Meari 앱에서 추출한 키와 MQTT 데이터스트림을 이용해 세계 지도 위에 카메라 위치와 정보를 띄웠다고 함
    • 볼 수 있었던 정보에는 집 안 영상 맥락, 이메일 주소, 대략적 위치, 카메라 사진 등이 포함됐다고 함

⚠️주의

> 이 사건의 무서운 점은 “개별 카메라 비밀번호가 약했다” 수준이 아니라, 하나의 공통 인프라 설계가 여러 브랜드와 국가의 기기를 한꺼번에 노출시킬 수 있었다는 데 있음.

  • 사진 노출은 더 직접적임. 수만 장의 카메라 사진이 중국 Alibaba 서버의 공개 웹 주소에 보호 없이 올라가 있었다고 함

    • 연구자는 “비밀번호도, 크래킹도, 해킹도 필요 없고 URL만 누르면 이미지가 보였다”고 설명함
    • 기사 첫머리에서 묘사된 아이들, 침실, 생활 공간 사진들이 바로 그런 식으로 접근 가능했던 이미지였다고 함
    • 베이비 모니터라는 제품 특성상 프라이버시 침해 강도가 그냥 CCTV 노출보다 훨씬 큼

  • 내부 보안도 엉망이었다는 주장임

    • Azdoufal은 Meari 내부 서버에서 비밀번호와 자격 증명이 평문으로 노출된 것을 봤다고 말함
    • 직원 678명의 이메일과 전화번호 목록도 있었다고 함
    • 기본 비밀번호로 “admin”, “public” 같은 값이 남아 있었다는 대목은 거의 교과서적인 보안 사고 패턴임

  • Meari도 핵심 취약점 자체는 인정함

    • 회사 보안팀은 특정 기술 조건에서 공격자가 사용자 승인 없이 EMQX IoT 플랫폼을 통해 전송되는 모든 메시지를 가로챌 수 있었다고 The Verge에 답변함
    • 또한 약한 비밀번호 때문에 예약 작업 플랫폼에서 잠재적 원격 코드 실행(RCE) 위험이 있었다고도 밝힘
    • 대응으로 EMQX 플랫폼을 완전히 종료하고, 사용자명과 비밀번호를 바꾸고, 고객사에 최신 펌웨어 업그레이드를 안내했다고 함

  • 그런데 가장 중요한 질문에는 답하지 않음

    • 실제로 몇 대, 몇 개 브랜드가 취약했는지 공개하지 않음
    • 각 브랜드가 고객에게 제대로 알렸는지도 불명확함
    • 이미 악용됐는지 여부도 답하지 않음
    • Meari나 벤더 직원이 지구 반대편에서 사용자 카메라를 들여다보는 일을 무엇이 막는지도 설명하지 않음

  • 브랜드별 반응도 깔끔하지 않음

    • Intelbras는 Meari와 협업한 제품이 Wi-Fi 비디오 도어벨 3종뿐이고, 잠재 취약 기기는 50대 미만이라고 설명함
    • 하지만 연구자의 데이터셋에서는 Intelbras가 브라질에서 꽤 많이 보였다고 해서 양쪽 설명이 잘 맞지 않음
    • Wyze는 Meari가 일부 야외 카메라 하드웨어만 제공했고, 소프트웨어와 클라우드는 자체 AWS·Azure 인프라를 쓴다고 뒤늦게 해명함

  • 연구자는 5월 7일 2만4000유로 버그 바운티를 받았지만, 과정은 별로 아름답지 않았음

    • Meari는 처음에는 제대로 답하지 않다가 내부 직원 정보까지 노출됐다는 점이 드러난 뒤 연락을 시작했다고 함
    • 회사가 연구자에게 주소를 알고 있다는 식의 압박성 문구를 보냈다는 주장도 있음
    • 보안 공지 날짜를 실제 공개보다 앞선 3월 12일로 표시했다는 지적도 나옴

  • 소비자 입장에서 “No Wi-Fi” 베이비 모니터 광고가 늘어나는 이유가 보이는 사건임

    • Wi-Fi가 없다고 자동으로 안전한 건 아니지만, 짧은 거리의 FHSS나 DECT 방식은 적어도 지구 반대편에서 몰래 접속당할 가능성은 낮음
    • 집 안 카메라는 편의성보다 업데이트 가능성, 클라우드 구조, 제조사 보안 대응 이력을 먼저 봐야 하는 제품이 됐음

기술 맥락

  • 이번 사건의 기술적 선택은 여러 브랜드 카메라를 공통 MQTT 기반 IoT 플랫폼에 묶어 운영한 거예요. 제조사 입장에서는 제품을 빨리 찍어내고 여러 고객사에 공급하기 좋지만, 인증과 권한 분리가 약하면 한 브랜드 문제가 전체 생태계 문제로 번져요.

  • MQTT 자체가 나쁜 건 아니에요. IoT 기기처럼 리소스가 작고 메시지가 자주 오가는 환경에서는 가볍고 실용적인 선택이거든요. 문제는 누가 어떤 토픽을 구독할 수 있는지, 기기별·브랜드별 권한을 어떻게 나눌지, 자격 증명을 어떻게 회전시킬지를 제대로 설계하지 않았을 때 생겨요.

  • 화이트라벨 구조에서는 펌웨어 업데이트도 골치 아파져요. 실제 제조사는 Meari지만 사용자는 다른 브랜드 제품을 샀고, 그 브랜드가 취약점 공지를 보내지 않으면 사용자는 자기 기기가 위험한지 알 방법이 거의 없어요.

  • 그래서 IoT 백엔드는 단말 보안만 보면 안 돼요. 메시징 브로커, 이미지 저장소, 내부 운영 서버, 펌웨어 배포 채널이 전부 하나의 공격면이에요. 이번 사건이 찝찝한 이유도 카메라 한 대가 아니라 운영 체계 전체가 같이 드러났기 때문이에요.

이건 단순히 싸구려 IoT 하나가 털린 이야기가 아니라, 화이트라벨 하드웨어 생태계 전체의 책임 소재가 얼마나 흐릿한지 보여주는 사건이다. 같은 제조사의 카메라가 여러 브랜드 이름으로 팔리면, 사고가 나도 사용자는 자기 집 기기가 해당되는지조차 알기 어렵다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

AI 에이전트 보안, 이제 권한이 아니라 ‘실행 증거’ 싸움으로 간다

오페이크가 AI 에이전트의 ID, 실행 환경, 도구 호출, 정책 적용 여부를 암호학적으로 검증하는 오페이크 3.0을 공개했다. 핵심은 에이전트 매니페스트와 컨피덴셜 MCP라는 두 오픈소스 기술이며, 기밀 컴퓨팅과 서명된 실행 증거를 결합해 감사자나 규제기관도 독립적으로 확인할 수 있게 하는 방향이다. AI 에이전트가 업무 시스템과 데이터를 직접 만지는 시대에는 접근 권한보다 ‘무슨 일을 했는지 증명할 수 있느냐’가 더 중요해지고 있다.

security

취약점 제보가 더 이상 특별하지 않은 시대가 왔다

전 Go 보안팀 리드였던 필리포 발소르다가 LLM 이후 취약점 제보의 의미가 바뀌었다고 주장한다. 예전에는 희소한 통찰과 비공개 제보가 귀했지만, 이제는 잠재 취약점을 찾는 것보다 실제 영향도를 빠르게 가려내는 triage가 병목이라는 얘기다.

security

스패로우, AI가 만든 코드 취약점 잡는 ‘Sparrow MCP’ 출시

스패로우가 AI 코딩 에이전트가 생성한 코드의 보안 취약점과 사용된 오픈소스를 실시간으로 검사하는 보안 어시스턴트 ‘Sparrow MCP’를 출시했다. 핵심 기능은 취약점 분석과 소프트웨어 자재명세서(SBOM) 생성이며, 앤트로픽의 모델 컨텍스트 프로토콜(MCP)을 지원하는 AI와 연결할 수 있다는 점이다. AI 코딩이 빨라질수록 보안 검증과 오픈소스 추적이 개발 파이프라인 안으로 더 깊게 들어오는 흐름이다.

security

오픈AI, 오픈소스 취약점 고치는 ‘패치 더 플래닛’ 시작

오픈AI가 트레일 오브 비츠와 함께 주요 오픈소스 프로젝트의 취약점을 AI로 찾고, 사람 검토를 거쳐 실제 패치까지 연결하는 프로그램을 시작했다. 파이썬, 고, cURL, 시그스토어, NATS 서버 같은 핵심 프로젝트가 초기 대상이고, 지금까지 수백 건의 보안 이슈와 수십 건의 병합된 패치가 나왔다. 핵심은 AI가 보안팀을 대체하는 게 아니라, 탐지·검증·패치·공개 조율을 빠르게 만드는 보조 엔진이라는 점이다.

security

오픈AI, 취약점 찾기부터 패치까지 돕는 ‘코덱스 시큐리티’ 공개

오픈AI가 사이버보안 이니셔티브 데이브레이크를 확대하면서 보안 전용 도구 코덱스 시큐리티와 GPT-5.5-사이버를 공개했다. 목표는 취약점 탐지에서 끝나는 게 아니라 검증, 위험도 평가, 패치 개발, 테스트, 배포까지 AI로 지원하는 것이다. cURL, Go, Python, Sigstore 등 30개 이상 오픈소스 프로젝트도 패치 지원 프로그램에 참여한다.