베이비 모니터 110만 대가 사실상 열린 창문이었다

• 베이비 모니터와 보안 카메라 110만 대가 사실상 “아는 사람은 볼 수 있는” 상태였다는 보도임

  • 대상은 중국 Meari Technology가 만든 Wi-Fi 카메라 계열이고, 전 세계 118개국에 퍼져 있었다고 함
  • Meari는 소비자에게 익숙한 이름은 아니지만, Arenti, Anran, Boifun, ieGeek 같은 여러 브랜드로 화이트라벨 제품을 공급해온 회사임
  • 기사에 따르면 Wyze, Zhiyun, Intelbras, Petcube 일부 제품도 Meari와 연결돼 있었지만, 모든 브랜드 제품이 다 영향받았다는 뜻은 아님

• 발견 방식도 황당함. 프랑스 보안 연구자 Sammy Azdoufal은 안드로이드 앱을 뜯어보다가 단일 키 하나로 대규모 기기 접근이 가능했다고 말함

  • 그는 같은 방식으로 DJI 로봇 청소기 군집을 원격 제어했던 인물로 소개됨
  • 이번에는 Meari 앱에서 추출한 키와 MQTT 데이터스트림을 이용해 세계 지도 위에 카메라 위치와 정보를 띄웠다고 함
  • 볼 수 있었던 정보에는 집 안 영상 맥락, 이메일 주소, 대략적 위치, 카메라 사진 등이 포함됐다고 함

• 사진 노출은 더 직접적임. 수만 장의 카메라 사진이 중국 Alibaba 서버의 공개 웹 주소에 보호 없이 올라가 있었다고 함

  • 연구자는 “비밀번호도, 크래킹도, 해킹도 필요 없고 URL만 누르면 이미지가 보였다”고 설명함
  • 기사 첫머리에서 묘사된 아이들, 침실, 생활 공간 사진들이 바로 그런 식으로 접근 가능했던 이미지였다고 함
  • 베이비 모니터라는 제품 특성상 프라이버시 침해 강도가 그냥 CCTV 노출보다 훨씬 큼

• 내부 보안도 엉망이었다는 주장임

  • Azdoufal은 Meari 내부 서버에서 비밀번호와 자격 증명이 평문으로 노출된 것을 봤다고 말함
  • 직원 678명의 이메일과 전화번호 목록도 있었다고 함
  • 기본 비밀번호로 “admin”, “public” 같은 값이 남아 있었다는 대목은 거의 교과서적인 보안 사고 패턴임

• Meari도 핵심 취약점 자체는 인정함

  • 회사 보안팀은 특정 기술 조건에서 공격자가 사용자 승인 없이 EMQX IoT 플랫폼을 통해 전송되는 모든 메시지를 가로챌 수 있었다고 The Verge에 답변함
  • 또한 약한 비밀번호 때문에 예약 작업 플랫폼에서 잠재적 원격 코드 실행(RCE) 위험이 있었다고도 밝힘
  • 대응으로 EMQX 플랫폼을 완전히 종료하고, 사용자명과 비밀번호를 바꾸고, 고객사에 최신 펌웨어 업그레이드를 안내했다고 함

• 그런데 가장 중요한 질문에는 답하지 않음

  • 실제로 몇 대, 몇 개 브랜드가 취약했는지 공개하지 않음
  • 각 브랜드가 고객에게 제대로 알렸는지도 불명확함
  • 이미 악용됐는지 여부도 답하지 않음
  • Meari나 벤더 직원이 지구 반대편에서 사용자 카메라를 들여다보는 일을 무엇이 막는지도 설명하지 않음

• 브랜드별 반응도 깔끔하지 않음

  • Intelbras는 Meari와 협업한 제품이 Wi-Fi 비디오 도어벨 3종뿐이고, 잠재 취약 기기는 50대 미만이라고 설명함
  • 하지만 연구자의 데이터셋에서는 Intelbras가 브라질에서 꽤 많이 보였다고 해서 양쪽 설명이 잘 맞지 않음
  • Wyze는 Meari가 일부 야외 카메라 하드웨어만 제공했고, 소프트웨어와 클라우드는 자체 AWS·Azure 인프라를 쓴다고 뒤늦게 해명함

• 연구자는 5월 7일 2만4000유로 버그 바운티를 받았지만, 과정은 별로 아름답지 않았음

  • Meari는 처음에는 제대로 답하지 않다가 내부 직원 정보까지 노출됐다는 점이 드러난 뒤 연락을 시작했다고 함
  • 회사가 연구자에게 주소를 알고 있다는 식의 압박성 문구를 보냈다는 주장도 있음
  • 보안 공지 날짜를 실제 공개보다 앞선 3월 12일로 표시했다는 지적도 나옴

• 소비자 입장에서 “No Wi-Fi” 베이비 모니터 광고가 늘어나는 이유가 보이는 사건임

  • Wi-Fi가 없다고 자동으로 안전한 건 아니지만, 짧은 거리의 FHSS나 DECT 방식은 적어도 지구 반대편에서 몰래 접속당할 가능성은 낮음
  • 집 안 카메라는 편의성보다 업데이트 가능성, 클라우드 구조, 제조사 보안 대응 이력을 먼저 봐야 하는 제품이 됐음

---

기술 맥락

• 이번 사건의 기술적 선택은 여러 브랜드 카메라를 공통 MQTT 기반 IoT 플랫폼에 묶어 운영한 거예요. 제조사 입장에서는 제품을 빨리 찍어내고 여러 고객사에 공급하기 좋지만, 인증과 권한 분리가 약하면 한 브랜드 문제가 전체 생태계 문제로 번져요.

• MQTT 자체가 나쁜 건 아니에요. IoT 기기처럼 리소스가 작고 메시지가 자주 오가는 환경에서는 가볍고 실용적인 선택이거든요. 문제는 누가 어떤 토픽을 구독할 수 있는지, 기기별·브랜드별 권한을 어떻게 나눌지, 자격 증명을 어떻게 회전시킬지를 제대로 설계하지 않았을 때 생겨요.

• 화이트라벨 구조에서는 펌웨어 업데이트도 골치 아파져요. 실제 제조사는 Meari지만 사용자는 다른 브랜드 제품을 샀고, 그 브랜드가 취약점 공지를 보내지 않으면 사용자는 자기 기기가 위험한지 알 방법이 거의 없어요.

• 그래서 IoT 백엔드는 단말 보안만 보면 안 돼요. 메시징 브로커, 이미지 저장소, 내부 운영 서버, 펌웨어 배포 채널이 전부 하나의 공격면이에요. 이번 사건이 찝찝한 이유도 카메라 한 대가 아니라 운영 체계 전체가 같이 드러났기 때문이에요.