--- title: "베이비 모니터 110만 대가 사실상 열린 창문이었다" published: 2026-05-11T22:15:09.000Z canonical: https://jeff.news/article/2598 --- # 베이비 모니터 110만 대가 사실상 열린 창문이었다 중국 화이트라벨 카메라 제조사 Meari Technology의 Wi-Fi 베이비 모니터와 보안 카메라 약 110만 대가 전 세계에서 쉽게 노출될 수 있었던 사건이다. 한 보안 연구자는 안드로이드 앱 분석만으로 공통 키를 뽑아 118개국 기기 정보, 이미지, 위치, 이메일까지 볼 수 있었다고 밝혔다. - 베이비 모니터와 보안 카메라 110만 대가 사실상 “아는 사람은 볼 수 있는” 상태였다는 보도임 - 대상은 중국 Meari Technology가 만든 Wi-Fi 카메라 계열이고, 전 세계 118개국에 퍼져 있었다고 함 - Meari는 소비자에게 익숙한 이름은 아니지만, Arenti, Anran, Boifun, ieGeek 같은 여러 브랜드로 화이트라벨 제품을 공급해온 회사임 - 기사에 따르면 Wyze, Zhiyun, Intelbras, Petcube 일부 제품도 Meari와 연결돼 있었지만, 모든 브랜드 제품이 다 영향받았다는 뜻은 아님 - 발견 방식도 황당함. 프랑스 보안 연구자 Sammy Azdoufal은 안드로이드 앱을 뜯어보다가 단일 키 하나로 대규모 기기 접근이 가능했다고 말함 - 그는 같은 방식으로 DJI 로봇 청소기 군집을 원격 제어했던 인물로 소개됨 - 이번에는 Meari 앱에서 추출한 키와 MQTT 데이터스트림을 이용해 세계 지도 위에 카메라 위치와 정보를 띄웠다고 함 - 볼 수 있었던 정보에는 집 안 영상 맥락, 이메일 주소, 대략적 위치, 카메라 사진 등이 포함됐다고 함 > [!WARNING] > 이 사건의 무서운 점은 “개별 카메라 비밀번호가 약했다” 수준이 아니라, 하나의 공통 인프라 설계가 여러 브랜드와 국가의 기기를 한꺼번에 노출시킬 수 있었다는 데 있음. - 사진 노출은 더 직접적임. 수만 장의 카메라 사진이 중국 Alibaba 서버의 공개 웹 주소에 보호 없이 올라가 있었다고 함 - 연구자는 “비밀번호도, 크래킹도, 해킹도 필요 없고 URL만 누르면 이미지가 보였다”고 설명함 - 기사 첫머리에서 묘사된 아이들, 침실, 생활 공간 사진들이 바로 그런 식으로 접근 가능했던 이미지였다고 함 - 베이비 모니터라는 제품 특성상 프라이버시 침해 강도가 그냥 CCTV 노출보다 훨씬 큼 - 내부 보안도 엉망이었다는 주장임 - Azdoufal은 Meari 내부 서버에서 비밀번호와 자격 증명이 평문으로 노출된 것을 봤다고 말함 - 직원 678명의 이메일과 전화번호 목록도 있었다고 함 - 기본 비밀번호로 “admin”, “public” 같은 값이 남아 있었다는 대목은 거의 교과서적인 보안 사고 패턴임 - Meari도 핵심 취약점 자체는 인정함 - 회사 보안팀은 특정 기술 조건에서 공격자가 사용자 승인 없이 EMQX IoT 플랫폼을 통해 전송되는 모든 메시지를 가로챌 수 있었다고 The Verge에 답변함 - 또한 약한 비밀번호 때문에 예약 작업 플랫폼에서 잠재적 원격 코드 실행(RCE) 위험이 있었다고도 밝힘 - 대응으로 EMQX 플랫폼을 완전히 종료하고, 사용자명과 비밀번호를 바꾸고, 고객사에 최신 펌웨어 업그레이드를 안내했다고 함 - 그런데 가장 중요한 질문에는 답하지 않음 - 실제로 몇 대, 몇 개 브랜드가 취약했는지 공개하지 않음 - 각 브랜드가 고객에게 제대로 알렸는지도 불명확함 - 이미 악용됐는지 여부도 답하지 않음 - Meari나 벤더 직원이 지구 반대편에서 사용자 카메라를 들여다보는 일을 무엇이 막는지도 설명하지 않음 - 브랜드별 반응도 깔끔하지 않음 - Intelbras는 Meari와 협업한 제품이 Wi-Fi 비디오 도어벨 3종뿐이고, 잠재 취약 기기는 50대 미만이라고 설명함 - 하지만 연구자의 데이터셋에서는 Intelbras가 브라질에서 꽤 많이 보였다고 해서 양쪽 설명이 잘 맞지 않음 - Wyze는 Meari가 일부 야외 카메라 하드웨어만 제공했고, 소프트웨어와 클라우드는 자체 AWS·Azure 인프라를 쓴다고 뒤늦게 해명함 - 연구자는 5월 7일 2만4000유로 버그 바운티를 받았지만, 과정은 별로 아름답지 않았음 - Meari는 처음에는 제대로 답하지 않다가 내부 직원 정보까지 노출됐다는 점이 드러난 뒤 연락을 시작했다고 함 - 회사가 연구자에게 주소를 알고 있다는 식의 압박성 문구를 보냈다는 주장도 있음 - 보안 공지 날짜를 실제 공개보다 앞선 3월 12일로 표시했다는 지적도 나옴 - 소비자 입장에서 “No Wi-Fi” 베이비 모니터 광고가 늘어나는 이유가 보이는 사건임 - Wi-Fi가 없다고 자동으로 안전한 건 아니지만, 짧은 거리의 FHSS나 DECT 방식은 적어도 지구 반대편에서 몰래 접속당할 가능성은 낮음 - 집 안 카메라는 편의성보다 업데이트 가능성, 클라우드 구조, 제조사 보안 대응 이력을 먼저 봐야 하는 제품이 됐음 --- ## 기술 맥락 - 이번 사건의 기술적 선택은 여러 브랜드 카메라를 공통 MQTT 기반 IoT 플랫폼에 묶어 운영한 거예요. 제조사 입장에서는 제품을 빨리 찍어내고 여러 고객사에 공급하기 좋지만, 인증과 권한 분리가 약하면 한 브랜드 문제가 전체 생태계 문제로 번져요. - MQTT 자체가 나쁜 건 아니에요. IoT 기기처럼 리소스가 작고 메시지가 자주 오가는 환경에서는 가볍고 실용적인 선택이거든요. 문제는 누가 어떤 토픽을 구독할 수 있는지, 기기별·브랜드별 권한을 어떻게 나눌지, 자격 증명을 어떻게 회전시킬지를 제대로 설계하지 않았을 때 생겨요. - 화이트라벨 구조에서는 펌웨어 업데이트도 골치 아파져요. 실제 제조사는 Meari지만 사용자는 다른 브랜드 제품을 샀고, 그 브랜드가 취약점 공지를 보내지 않으면 사용자는 자기 기기가 위험한지 알 방법이 거의 없어요. - 그래서 IoT 백엔드는 단말 보안만 보면 안 돼요. 메시징 브로커, 이미지 저장소, 내부 운영 서버, 펌웨어 배포 채널이 전부 하나의 공격면이에요. 이번 사건이 찝찝한 이유도 카메라 한 대가 아니라 운영 체계 전체가 같이 드러났기 때문이에요. ## 핵심 포인트 - Meari 계열 카메라 약 110만 대가 118개국에서 원격으로 접근 가능한 상태였다는 주장 - MQTT 기반 IoT 플랫폼 설계와 기본 비밀번호 문제가 핵심 취약점으로 지목됨 - 카메라 사진 일부가 보호 없는 공개 URL로 노출됐고, 내부 서버에는 직원 정보와 자격 증명도 있었다고 함 - Meari는 EMQX 플랫폼을 종료하고 펌웨어 3.0.0 미만 기기에 업데이트를 권고했지만 실제 영향 범위는 공개하지 않음 ## 인사이트 이건 단순히 싸구려 IoT 하나가 털린 이야기가 아니라, 화이트라벨 하드웨어 생태계 전체의 책임 소재가 얼마나 흐릿한지 보여주는 사건이다. 같은 제조사의 카메라가 여러 브랜드 이름으로 팔리면, 사고가 나도 사용자는 자기 집 기기가 해당되는지조차 알기 어렵다.