스마트홈 기기는 편의를 위해 집 안을 향한 눈과 귀, 그리고 현관문을 여는 손을 인터넷에 연결한다. 그 연결이 통째로 남의 손에 넘어간 사건은 이미 여러 번 있었다. 2025년 11월 경찰청 국가수사본부는 가정집과 사업장에 설치된 IP카메라 12만여 대를 해킹해 탈취한 영상을 해외 불법 사이트에 판매한 일당을 검거했다. 피의자 한 명은 혼자 약 6만 3천 대를 뚫어 545개의 불법 촬영물을 만들었다. 2021년에는 전국 638개 아파트 단지, 약 40만 가구의 월패드가 뚫려 거실 영상이 유출됐다. 두 사건 모두 정교한 제로데이가 아니라, 기기에 그대로 남아 있던 허술함에서 출발했다.
공유기를 단단히 잠갔다면 큰 문 하나를 닫은 것이다. 그러나 스마트홈의 위험은 그 문 안쪽, 즉 각각의 기기에서 다시 시작된다. 카메라, 월패드, 스마트 도어락, 로봇청소기, 그리고 이 모든 걸 묶는 허브는 저마다 별도의 계정과 펌웨어, 별도의 클라우드 연결을 가진다. 공유기가 아무리 튼튼해도 카메라가 제조사 클라우드를 통해 바깥과 직접 대화하고 있으면, 그 클라우드의 구멍 하나로 집 안이 노출된다.
기기가 뚫리는 길은 대개 세 갈래다. 공장 초기 그대로 남은 기본 계정, 몇 년째 손대지 않은 펌웨어, 그리고 편의를 위해 기기 스스로 바깥에 뚫어둔 클라우드·P2P 통로다. 공유기를 잠그는 일이 집의 대문을 닫는 것이라면, 이 세 갈래는 대문 안쪽에서 창문을 하나씩 열어두는 일에 가깝다. 효과가 큰 순서대로, 대문 안쪽부터 닫아 나간다.
우리 집도 남의 얘기가 아니다. 아이 둘을 키우면서 조명·난방·센서에 카메라 몇 대까지 Home Assistant로 묶어 돌리다 보니, 집 안을 찍고 문을 여는 기기가 꽤 늘었다. 기기를 하나 들일 때마다 ‘이게 바깥과 어떻게 통신하는가’부터 보게 된 건 그래서다.
IP카메라와 홈캠 — 12만 대가 털린 방식
가정용 IP카메라 해킹은 특별한 실력이 필요한 일이 아니다. 2025년 11월 국가수사본부가 검거한 일당은 무차별 스캔으로 인터넷에 노출된 카메라를 찾아 자격증명을 맞춰 넣는 방식으로 12만여 대에 접근했다. 이들이 노린 것은 하나였다. 카메라를 살 때 딸려온 admin·1234·0000 같은 초기 계정을 사용자가 그대로 두었다는 사실이다. 관리자 계정만 열리면 기술이랄 것도 없이 실시간 영상이 그대로 넘어간다.
가장 먼저 할 일은 카메라 자체의 계정을 바꾸는 것이다. 여기서 말하는 계정은 와이파이 비밀번호가 아니라 카메라 앱과 웹 관리 화면에 로그인하는 아이디·비밀번호다. 둘은 별개이고, 초기값을 남겨두면 아무리 강한 와이파이 비번을 걸어도 소용이 없다. KISA 보호나라는 IP카메라·LTE모뎀 같은 IoT 장비의 초기 설정 계정을 반드시 변경하고, 영문 대소문자·숫자·특수문자를 섞어 8자리 이상으로 만들며, 쓰지 않는 SSH 등 원격 포트를 꺼두라고 권고한다.
운영 습관도 보안이다. KISA의 ‘안전한 IP카메라 이용 수칙’은 네 가지를 강조한다. 비밀번호를 최소 6개월마다 바꾸고, 이중 인증을 지원하면 반드시 켜고, 카메라가 물린 공유기에도 별도 비밀번호를 걸고, 쓰지 않을 때는 전원을 끄거나 렌즈를 물리적으로 가리라는 것이다. 특히 아이 방이나 침실을 비추는 카메라라면, 집에 사람이 있는 시간대에는 렌즈를 돌려두거나 슬라이드 커버로 덮는 습관이 소프트웨어 설정보다 확실하다. 뚫려도 보여줄 화면이 없으면 유출될 것도 없다.
포트를 열지 않아도 뚫린다 — 클라우드·P2P 카메라의 함정
여기서 많은 사람이 오해한다. “나는 공유기에서 포트포워딩을 안 했으니 밖에서 내 카메라에 접속할 수 없고, 그러니 안전하다”는 생각이다. 저가 IP카메라와 베이비·펫 모니터 상당수는 포트를 열지 않아도 밖에서 앱으로 바로 화면을 본다. 어떻게 가능한가. 카메라가 켜지는 순간 제조사의 P2P 클라우드에 상시 접속해 대기하고, 앱은 기기 고유번호(UID)로 그 클라우드를 거쳐 카메라를 찾아 연결한다. 편의를 위해 카메라 스스로 바깥으로 통로를 뚫어둔 셈이다.
이 구조가 위험한 이유는, 내 공유기 설정과 무관하게 제조사 클라우드의 약점 하나가 곧 내 집의 약점이 되기 때문이다. 대표적인 사례가 대만 스루텍(ThroughTek)의 P2P 통신 모듈 ‘칼레이(Kalay)’에서 발견된 취약점(CVE-2021-28372, 심각도 9.6/10)이다. 맨디언트 연구팀이 찾아낸 이 결함은 기기가 클라우드에 등록하는 과정을 노렸다. 공격자가 피해 카메라의 UID를 가로채 같은 UID로 먼저 등록하면, 실시간 영상과 음성을 도청하고 자격증명까지 탈취할 수 있었다. 이 모듈을 쓴 IP카메라·영상저장장치가 전 세계 약 8,300만 대로 추정됐고, 미국 CISA가 공식 권고를 냈다.
교훈은 분명하다. ‘내 공유기만 잘 잠그면 카메라는 안전하다’는 명제는 클라우드·P2P 방식 앞에서 무너진다. 그 통로는 제조사가 모듈을 고치고 사용자가 펌웨어와 앱을 갱신해야만 닫힌다. 그래서 카메라를 고를 때 통신 방식을 따져야 한다. P2P 클라우드가 유일한 접속 수단인지, 아니면 로컬 저장과 표준 프로토콜(RTSP 등) 같은 오프라인 접근을 지원하는지 확인한다. 클라우드 의존을 낮추고 카메라 영상을 집 안 저장장치나 허브에 로컬로 담은 뒤, 밖에서 볼 일이 있으면 VPN으로 감싸 접근하는 방식이 노출면을 가장 크게 줄인다. 제조사가 추가 인증(Authkey·DTLS 등)을 지원하면 켜두는 것도 기본이다.
기본 비밀번호와 방치된 펌웨어, 여전히 가장 큰 구멍
기기 보안에서 반복해서 확인되는 두 개의 구멍은 언제나 같다. 공장 초기 비밀번호와 몇 년째 손대지 않은 펌웨어다. 공유기와 다른 점은, 스마트홈 기기는 그 수가 많고 각각이 별도의 앱·계정을 갖는다는 것이다. 카메라 앱, 도어락 앱, 로봇청소기 앱, 허브 계정이 저마다 비밀번호를 요구하는데, 여러 개를 관리하기 귀찮다는 이유로 같은 비번을 돌려쓰거나 초기값을 남겨두면 한 곳이 뚫릴 때 전부가 함께 넘어간다. 기기별로 다른 비밀번호를 걸고, 비밀번호 관리자를 쓰는 편이 현실적이다.
펌웨어는 알려진 구멍을 막는 행위지만, 스마트홈 기기에선 사정이 더 나쁘다. 공유기는 그나마 제조사가 갱신을 이어가지만, 저가·무명 브랜드의 카메라와 센서는 출시 직후 사실상 방치되는 경우가 많다. 자동 업데이트 기능이 없거나, 있어도 사용자가 앱을 열어 수동으로 눌러야 하며, 아예 지원이 끝나 새 취약점이 나와도 영영 패치되지 않는 기기도 흔하다. 가장 위험한 것은 ‘몇 년째 잘 되니까’ 그대로 쓰는 오래된 기기다. 자동 업데이트가 있으면 반드시 켜고, 없으면 주기적으로 앱에서 확인하며, 제조사 지원이 끝난 기기는 아깝더라도 교체하는 것이 정답이다. 잘 작동한다는 것과 안전하다는 것은 다른 문제다.
월패드 — 한국 아파트만의 구조적 급소
월패드는 한국 주거 환경에 고유한 숙제다. 2021년 8월부터 11월까지, 한 침입자가 전국 638개 아파트 단지의 중앙관리 서버와 각 세대 월패드를 차례로 장악했다. 노출된 규모는 약 40만 가구. 경찰이 확보한 자료만 해도 압수한 월패드 16대에서 나온 영상 213개와 사진 40만여 장에 달했고, 침입자는 이를 다크웹에 팔려다 붙잡혔다. 1심 재판부는 정보통신망법과 성폭력처벌법 위반으로 징역 4년과 자격정지 4년을 선고했다.
왜 아파트만 이런 규모의 사고가 나는가. 월패드는 세대 안에 있는 기기지만, 통신사 공유기처럼 개인이 완전히 통제하지 못한다. 단지 방재실의 단지서버에 물려 공용망을 공유하기 때문이다. 한 세대가 아무리 조심해도 단지서버나 옆세대를 경유한 측면 이동으로 뚫릴 수 있다. 개인이 아니라 단지 전체의 설계와 운영이 보안을 결정하는 구조다.
정부도 이 점을 인정했다. 과학기술정보통신부는 ‘지능형 홈네트워크 설비 설치 및 기술기준’을 개정해 2022년 7월 1일부터 신축 아파트에 세대 간 망분리를 의무화했다. 단지서버에서 각 세대까지의 회선을 물리적으로 나누거나, VLAN·VPN을 이용해 논리적으로 분리하도록 한 것이다. 문제는 이 의무가 신축에만 적용된다는 점이다. 이미 지어진 기축 아파트는 여전히 사각지대에 있다.
기축 아파트 입주민이 지금 할 수 있는 현실적 대응은 세 가지다. 첫째, 월패드 내장 카메라를 쓰지 않을 때 슬라이드 커버나 스티커로 렌즈를 물리적으로 가린다. 둘째, 월패드 비밀번호를 호수·생일처럼 추측 가능한 값에서 복잡한 값으로 바꾼다. 셋째, 관리사무소에 단지서버 펌웨어 업데이트 여부와 세대 간 망분리 조치 현황을 문의하고, 필요하면 입주자대표회의 안건으로 올린다. 개별 세대 혼자 풀 수 있는 문제가 아니라, 단지 차원의 조치를 끌어내는 것이 핵심이기 때문이다.
스마트 도어락과 초인종 — 문을 여는 기기의 원칙
카메라가 사생활을 노린다면, 스마트 도어락은 현관문 그 자체를 노린다. 편의를 위해 지문·비밀번호·스마트폰·카드로 문을 열지만, 그 인증 수단이 무선으로 오갈 때가 약점이 된다. 시중 디지털 도어락 상당수는 근거리 무선(RF) 신호로 동작하는데, 문을 열 때 발생하는 신호를 별도 장비로 복사해두면 정품 키가 없어도 같은 신호를 재생해 문을 여는 리플레이 공격이 가능하다. 지문·얼굴 같은 생체 인증이 붙었다고 해서 통신 구간까지 안전해지는 것은 아니다.
여기에 스마트홈 연동이 위험을 한 겹 더한다. 도어락을 월패드나 허브에 연결해 ‘외출 시 자동 잠금’이나 ‘밖에서 문 열어주기’ 같은 기능을 쓰면 편리하지만, 그 월패드나 허브가 뚫리는 순간 공격자는 물리적으로 문 앞에 오지 않고도 원격으로 잠금을 풀 수 있다. 앞서 본 월패드 사고가 무서운 건 영상 유출만이 아니다. 같은 통로로 현관문까지 열릴 수 있다는 점이다.
도어락에서 지킬 원칙은 셋이다. 첫째, 원격 잠금 해제 기능은 정말 필요할 때만 켠다. 밖에서 문을 열 수 있다는 편의는 곧 그 통로가 뚫리면 남이 그 문을 연다는 뜻이다. 둘째, 도어락 앱 계정에 강한 비밀번호와 2단계 인증을 걸고, 기본 PIN(1234·0000이나 집 호수)을 절대 쓰지 않으며 지문·카드와 병행한다. 셋째, 구매 시 KS 표준과 보안 인증을 받은 제품인지, 펌웨어 업데이트가 지원되는 모델인지 확인한다. 문을 여는 기기만큼은 편의 기능을 하나 켤 때마다 ‘이게 뚫리면 무엇이 열리는가’를 먼저 따져야 한다.
스마트홈 허브를 인터넷에 직접 열지 마라 — 내가 집에서 가장 조심하는 지점
허브는 집 안 모든 기기의 지휘소다. Home Assistant든 제조사 통합 앱이든, 허브 하나가 뚫리면 조명과 냉난방은 물론 스마트 도어락까지, 그리고 종종 그 허브가 올라간 서버의 셸과 설정 파일, 나아가 같은 망의 다른 기기까지 통째로 넘어간다. 카메라 한 대가 유출되는 것과는 피해의 차원이 다르다.
가장 흔한 실수는 밖에서 집을 제어하고 싶어 공유기에서 허브 포트(Home Assistant라면 8123번)를 그대로 인터넷에 포트포워딩하는 것이다. 허브의 기본 웹 화면은 암호화되지 않은 평문(HTTP)일 수 있어, 포트를 여는 순간 몇 시간 안에 전 세계에서 자동화된 로그인 시도가 꽂히기 시작한다. 2021년 한 커뮤니티 조사에서 Shodan으로 훑어보니, 암호화 없이 8123 포트를 인터넷에 그대로 드러낸 홈어시스턴트가 약 8만 대나 잡혔다. 지금도 같은 실수가 반복되고 있다.
나도 처음 허브를 붙였을 땐 밖에서 집 안을 보고 싶어 포트를 열까 고민했다. 결론은 ‘관리 화면은 절대 인터넷에 직접 노출하지 않는다’였다. 원격에서 도어락을 열 수 있다는 건, 그 통로가 뚫리면 남이 우리 집 도어락을 연다는 뜻이다. 이 부분만큼은 편의보다 폐쇄를 택했다. 그래서 지금은 포트포워딩 대신, 밖에 있어도 마치 집 안 네트워크에 들어와 있는 것처럼만 허브에 닿도록 터널을 감아 쓴다. 공유기에 새로 뚫는 구멍은 하나도 없이, 나만 아는 암호화된 통로로만 들어가는 방식이다.
직접 노출을 피하는 방법은 여럿이고, 원칙은 하나다. ‘인터넷에서 관리 화면이 그냥 보이면 안 된다.’ 안전한 순서대로 보면 이렇다.
- 메시 VPN(WireGuard·Tailscale 등). 공유기에 새 인바운드 포트를 열지 않고, 암호화된 터널로 집 밖에서도 내부망에 들어온 것처럼 접속한다. 가정에서 가장 무난한 선택이다.
- 리버스 터널(Cloudflare Tunnel 등). 인바운드 포트를 하나도 열지 않고 바깥 서비스가 집 안으로 연결을 당겨가는 방식이라, 스캔에 노출되는 표면이 없다.
- 공식 클라우드(Home Assistant의 Nabu Casa 등). 유료지만 포트 개방 없이 암호화 접속을 대행한다. 설정이 번거로운 사람에게 현실적이다.
- 굳이 직접 연다면 최소 조건. 리버스 프록시(Nginx·Caddy)로 HTTPS를 강제하고, 2단계 인증을 걸고, 반복 로그인 시도를 자동 차단(fail2ban 등)하는 장치를 함께 둔다. 이 셋이 없으면 열지 않는 편이 낫다.
로봇청소기와 스마트 가전에도 카메라와 마이크가 있다
스마트홈 보안이라고 하면 카메라와 월패드를 떠올리지만, 정작 방심하기 쉬운 건 ‘가전’의 탈을 쓴 기기들이다. 로봇청소기는 집 구조를 지도로 그리고 장애물을 피하려 사진을 찍으며, 스마트 TV와 AI 스피커는 마이크가 상시 대기한다. 보안 기기로 인식되지 않기 때문에 초기 설정 그대로 방치되기 쉽다.
2025년 9월 KISA와 한국소비자원은 시중에 유통되는 로봇청소기 6종의 보안 실태를 조사해 결과를 공개했다. 나르왈·드리미·에코백스 등 일부 제품에서 사용자 인증 절차가 미흡해 외부에서 촬영된 사진을 열람하거나 카메라를 강제로 켤 수 있는 취약점이 확인됐다. 드리미의 한 제품은 이름·연락처 같은 개인정보 유출 우려가, 드리미·에코백스 제품은 하드웨어 보안 수준이 상대적으로 낮게 평가됐다. 반면 삼성전자와 LG전자 제품은 접근 권한 설정과 암호화 통신에서 비교적 양호하다는 평가를 받았다.
대응은 단순하다. 카메라·마이크 기능이 꼭 필요하지 않으면 앱에서 끄고, 앱 계정에 2단계 인증을 걸고, 펌웨어 자동 업데이트를 켠다. 그리고 이렇게 클라우드에 상시 연결된 가전일수록, 공유기 편에서 다룬 IoT 전용망(게스트망) 격리가 특히 효과적이다. 한 대가 뚫려도 피해를 그 망 안에 가둬 메인 PC나 NAS로 번지지 못하게 막기 때문이다.
보안은 기기를 ‘사기 전’에 절반이 결정된다
뚫리는 기기는 대개 살 때부터 뚫릴 소지를 안고 있었다. 자동 업데이트가 없고, 클라우드에만 매여 있고, 기본 비밀번호를 강제로 바꾸게 하지 않는 기기는 아무리 잘 설정해도 한계가 있다. 그래서 스마트홈 보안의 절반은 장바구니 단계에서 결정된다. 구매 전 다음을 확인한다.
| 확인 항목 | 왜 중요한가 | 확인 방법 |
|---|---|---|
| 자동 펌웨어 업데이트 + 보안 지원 기간 | 지원이 끝나면 새 취약점이 영영 방치된다 | 제품 상세·제조사 정책 표기 |
| 최초 설정 시 기본 비밀번호 변경 강제 | 초기값 방치가 최대 침해 경로 | 설치 가이드·리뷰 |
| 로컬 접근·표준 프로토콜 지원 | 클라우드 의존을 낮춰 노출면 축소 | 사양의 RTSP·로컬 저장 지원 여부 |
| 2단계 인증 지원 | 계정 탈취를 한 겹 더 막는다 | 앱 보안 설정 항목 |
| KISA IoT 보안인증 | 최소한의 보안 요건 검증 신호 | 정보통신망연결기기 보안인증 표시 |
마지막 항목의 KISA IoT 보안인증은 2022년부터 법정 인증으로 시행되고 있다. 정보통신망에 연결되는 기기의 기본 보안 요건을 검증해 인증서를 발급하는 제도로, 제품 복잡도에 따라 라이트·베이직·스탠다드 3등급으로 나뉜다. 식별·인증, 데이터 보호, 암호, 소프트웨어 보안, 업데이트·기술지원, 운영체제·네트워크 보안, 하드웨어 보안까지 일곱 개 영역을 점검한다. 인증이 완벽을 보장하지는 않지만, 최소한의 검증을 통과했다는 신호이니 같은 값이면 인증 제품을 고르는 편이 낫다.
국제적으로도 방향은 같다. 2025년 들어 미국은 IoT 기기의 보안 수준을 소비자가 알아보도록 표시하는 ‘Cyber Trust Mark’ 라벨을, 영국은 기본 비밀번호 사용 자체를 금지하는 PSTI 규제를 본격 적용하기 시작했다. 개별 기기의 문제로 두지 않고 최소 보안 기준을 법으로 끌어올리는 흐름이다. 소비자로서는 이런 라벨과 인증을 붙인 제품을 고르는 것이 가장 손쉬운 방어가 된다.
이미 들여놓은 기기, 오늘 점검하는 순서
이미 집에 있는 기기라도 저녁 한 번의 점검으로 대부분의 위험은 걷어낼 수 있다. 효과가 큰 순서대로 배치했다. 위에서부터 하나씩 내려가면 된다.
| 순위 | 조치 | 막아주는 위협 |
|---|---|---|
| 1 | 기기별 앱·관리자 계정의 기본 비밀번호를 길고 고유하게 (기기마다 따로) | 초기값 로그인, 자격증명 대입, 봇넷 자동 감염 |
| 2 | 2단계 인증 켜기 + IP카메라는 6개월마다 비번 교체 | 계정 탈취, 원격 무단 열람 |
| 3 | 허브·NAS·카메라를 인터넷에 직접 포트포워딩하지 않기 (VPN·터널로만) | 무차별 대입, 관리 화면 노출, 셸 접근 |
| 4 | 펌웨어 최신화 + 자동 업데이트, 지원 종료 기기 교체 | 알려진 취약점, 클라우드·P2P 모듈 결함 |
| 5 | 안 쓰는 카메라·마이크는 렌즈 차단·기능 끄기·전원 차단 | 사생활 상시 노출 |
| 6 | IoT 기기를 게스트(IoT 전용)망으로 격리 | 측면 이동, 한 대 침해의 전체 확산 |
| 7 | 살 땐 로컬 제어·보안 지원기간·KISA 인증 확인 | 애초에 취약한 기기의 유입 |
정리하면, 스마트홈 보안의 급소는 화려한 해킹 기법이 아니라 기기에 남은 초기 설정과 방치된 펌웨어, 그리고 편의를 위해 스스로 바깥으로 뚫어둔 클라우드 통로다. IP카메라 12만 대도, 아파트 40만 가구도 결국 그 세 가지에서 무너졌다. 스마트홈의 편의는 집 안을 향한 카메라와 문을 여는 손을 기계에 맡기는 일이다. 그 손이 끝까지 내 것으로만 남게 하는 데 드는 시간은, 저녁 한 번이면 충분하다.
![ApoorvCTF 2025 - [AI] Pokédex Neural Network Write Up 3 ApoorvCTF 2025 – [AI] Pokédex Neural Network Write Up](https://redchupa.com/wp-content/uploads/2026/04/20250304_1638_32.png)
