인터넷에 노출된 수만 개의 눈: IP Crawl이 비추는 IoT 보안의 민낯
인터넷에 노출된 수만 개의 눈: IP Crawl이 비추는 IoT 보안의 민낯
누군가가 당신의 거실, 사무실, 주차장을 지금 이 순간 들여다보고 있다면 — 그것이 정교한 해킹의 결과가 아니라 단지 카메라가 인터넷에 그대로 꽂혀 있기 때문이라면, 우리는 무엇을 보안이라 불러온 것인가?
도입
2026년 6월 28일, Hacker News 첫 페이지의 최상단을 차지한 것은 IP Crawl이라는 이름의 사이트였다. 303점과 154개의 댓글. 부제는 간결하면서도 불온했다. “공개 인터넷에서 발견된 개방형 웹캠의 살아있는 아틀라스(living atlas of open webcams).” IP Crawl은 인증 없이 누구나 접근할 수 있는, 즉 사실상 전 세계에 생중계되고 있는 카메라들을 지속적으로 탐색해 지도처럼 펼쳐 보여준다. 한 번 만들어진 정적인 목록이 아니라 끊임없이 갱신되는 “살아있는” 카탈로그라는 점이 핵심이다.
이 도구가 충격적인 이유는 새로운 취약점을 발견했기 때문이 아니다. 오히려 정반대다. 여기 나열된 카메라들은 단 하나의 익스플로잇도, 단 한 줄의 공격 코드도 필요로 하지 않는다. 그저 인터넷 주소를 알고 브라우저에 입력하면 화면이 뜬다. IP Crawl이 한 일은 그 주소들을 모아 시각화한 것뿐이다. 추상적인 통계로만 존재하던 “노출된 기기 수십만 대”라는 보안 업계의 오랜 경고가, 클릭 한 번으로 넘겨볼 수 있는 썸네일의 격자로 바뀌는 순간 문제의 질감은 완전히 달라진다.
IP Crawl은 갑자기 등장한 발명이 아니라 분명한 계보 위에 서 있다. 인터넷 전체를 스캔해 검색 가능한 색인으로 만드는 Shodan(2009년 등장)과 Censys가 그 직계 조상이다. 이들은 웹페이지가 아니라 인터넷에 직접 연결된 “기기” 자체를 색인한다. IP Crawl은 그 거대한 패러다임 가운데 가장 직관적이고 가장 사적인 단면 — 카메라 — 만을 떼어내 누구나 알아볼 수 있는 형태로 제시한다. 이 글은 그 기술의 작동 원리부터, 10년 넘게 반복된 경고에도 노출이 사라지지 않는 구조적 이유, 그리고 무엇이 실제로 이 문제를 고칠 수 있는지를 차례로 짚는다.
IP Crawl과 인터넷 스캐닝: 색인되는 것은 웹페이지가 아니라 기기다
IP Crawl을 이해하려면 먼저 그것이 속한 도구 계열, 즉 인터넷 전체 스캐닝 검색엔진의 작동 원리를 알아야 한다. Google이 웹페이지의 내용을 크롤링해 색인한다면, Shodan과 Censys는 IP 주소 공간 자체를 훑는다. 인터넷에 할당된 약 43억 개의 IPv4 주소(그리고 일부 IPv6 영역)를 향해 다양한 포트로 접속을 시도하고, 각 기기가 응답으로 돌려보내는 “배너(banner)” — 서버 종류, 소프트웨어 버전, 응답 헤더, 인증 화면 등 — 를 수집해 데이터베이스로 만든다. 80번(HTTP), 443번(HTTPS), 554번(RTSP, 스트리밍 프로토콜), 8080번 같은 포트가 열려 있고 그 뒤에 웹캠 인터페이스가 응답하면, 그 기기는 “인터넷에 직접 연결된 카메라”로 색인된다.
Shodan이 색인하는 것은 카메라만이 아니다. 직접 인터넷에 노출된 서버, 데이터베이스, 라우터, 산업제어시스템(ICS/SCADA), 원격 접속 서비스(RDP, VNC, SSH)까지 — 공개 IP를 가진 모든 것이 대상이다. 신호등 제어기, 정수장 펌프, 발전소 모니터링 패널이 인증 없이 노출된 사례가 주기적으로 보고되는 것도 이 색인 덕분이다. IP Crawl은 이 거대한 스펙트럼 가운데 일반인의 감각에 가장 직접적으로 와닿는 카메라라는 단면에 집중한 것이다.
그렇다면 이 카메라들은 어떻게 인증도 없이 인터넷에 노출되는가. 핵심은 이것이 정교한 해킹의 산물이 아니라 **미설정(misconfiguration)**의 산물이라는 점이다. 노출의 경로는 대체로 몇 가지 전형으로 수렴한다.
첫째, **기본 자격증명(default credentials)**이다. 수많은 저가 IP 카메라가 admin/admin, admin/12345, 혹은 비밀번호 공란 같은 출고 기본값을 그대로 단 채 배송된다. 사용자는 설치하고 화면이 나오는 것을 확인하면 그것으로 설정을 끝냈다고 여긴다. 공격자는 비밀번호를 “뚫을” 필요조차 없다. 제조사가 공개한 매뉴얼에 적힌 기본값을 입력하면 그만이다. 더 나아가 일부 모델은 펌웨어에 하드코딩된 백도어 계정을 품고 있어, 사용자가 비밀번호를 바꿔도 우회가 가능하다.
둘째, 인증 자체의 부재다. 일부 카메라는 RTSP 스트림이나 웹 인터페이스를 아무런 로그인 절차 없이 그대로 송출한다. 사용자가 “내부 네트워크에서만 보면 되니까”라고 생각해 인증을 끄거나, 애초에 인증이 기본 비활성화 상태인 제품을 그대로 쓰는 경우다.
셋째, UPnP 자동 포트 포워딩이다. 이것이 가장 음험한 경로다. 사용자는 카메라를 집 안 공유기 뒤에 두었으니 외부에서 보이지 않으리라 믿는다. 그러나 UPnP(Universal Plug and Play)가 활성화된 공유기는 카메라의 요청을 받아 자동으로 외부 포트를 열고 포워딩 규칙을 만든다. 사용자가 단 한 번도 “이 카메라를 인터넷에 공개하겠다”고 결정한 적이 없는데도, 기기와 공유기가 알아서 협의해 노출시켜 버리는 것이다. 편의를 위해 설계된 프로토콜이 노출의 자동화 엔진으로 작동한다.
이렇게 노출된 카메라가 공격자에게 무엇을 의미하는지는 세 단계로 나누어 볼 수 있다. 가장 직접적인 것은 라이브 스트림 열람이다. 가정, 사무실, 상점, 보육시설, 병실의 실시간 영상이 그대로 노출되며, 이는 사생활 침해이자 물리적 보안 정찰(언제 집이 비는지, 금고가 어디 있는지)의 도구가 된다. 다음은 기기 조작이다. 카메라의 방향을 돌리고, 설정을 바꾸고, 펌웨어를 덮어쓰고, 영상을 위변조하거나 아예 화면을 꺼버릴 수 있다. 가장 위험한 것은 **측면 이동(lateral movement)**이다. 노출된 카메라는 그 자체로 끝이 아니라 같은 네트워크 안으로 들어가는 교두보가 된다. 공격자는 카메라를 발판 삼아 동일 네트워크의 NAS, PC, 다른 IoT 기기로 침투하고, 그 기기들을 봇넷에 편입시킨다. 2016년 수십만 대의 IoT 기기를 좀비로 만들어 거대 DDoS 공격을 일으킨 Mirai 봇넷이 정확히 이 경로를 밟았다. 카메라 한 대의 노출은 한 가정의 사생활 문제로 끝나지 않고 인터넷 인프라 전체에 대한 공격 자원으로 전화될 수 있다.
왜 10년이 지나도 그대로인가: 값싼 IoT의 경제학과 시장 실패
여기서 정직하게 던져야 할 질문이 있다. Shodan이 등장한 지 15년이 넘었고, “인터넷에 노출된 웹캠”은 보안 컨퍼런스의 단골 소재이며, 언론은 주기적으로 충격 기사를 쏟아냈다. 그런데도 왜 IP Crawl은 2026년에 여전히 수만 개의 노출된 카메라로 지도를 채울 수 있는가. 인식이 부족해서가 아니다. 문제는 구조적이며, 그 구조의 핵심은 경제학이다.
첫 번째 동력은 값싼 IoT의 경제학이다. 인터넷에 연결되는 카메라 한 대의 도매가가 몇 달러 수준까지 내려간 시장에서, 제조사가 보안에 투자할 예산은 사실상 존재하지 않는다. 보안 펌웨어를 개발하고, 취약점을 패치하고, 안전한 기본 설정을 검증하고, 출시 후 수년간 업데이트를 제공하는 일에는 모두 비용이 든다. 이윤이 박한 저가 시장에서 이 비용은 곧바로 가격 경쟁력의 손실로 이어진다. 합리적인 제조사일수록 보안을 생략하는 것이 합리적 선택이 되는 역설 — 이것이 보안 경제학의 핵심이다. 더구나 동일한 화이트라벨 펌웨어를 수십 개의 브랜드가 가져다 자기 로고만 붙여 파는 OEM 구조에서는, 펌웨어 하나의 취약점이 수십 개 제품군에 동시에 퍼지고 누구도 책임지지 않는다.
두 번째는 보안 비용의 외부화라는 시장 실패다. 경제학적으로 이 상황은 전형적인 부정적 외부효과(negative externality) 구조다. 제조사는 보안을 생략해 비용을 절감하지만, 그 결정의 대가 — 사생활 침해, DDoS 공격의 피해, 인터넷 인프라의 오염 — 는 제조사가 아니라 사용자와 사회 전체가 떠안는다. 공해를 배출하는 공장이 정화 비용을 외부로 떠넘기는 것과 구조적으로 동일하다. 시장은 이 비용을 가격에 반영하지 못한다. 소비자는 매장에서 두 카메라 중 어느 것이 안전한지 식별할 방법이 없고(보안은 눈에 보이지 않는다), 따라서 더 싼 쪽을 고른다. 안전한 제품을 만드는 제조사는 가격 경쟁에서 진다. 이른바 “레몬 시장(market for lemons)” — 품질을 식별할 수 없을 때 저품질이 고품질을 시장에서 몰아내는 — 이 IoT 보안에서 그대로 재현된다.
세 번째는 인간의 미설정에는 패치가 없다는 사실이다. 소프트웨어 취약점은 패치를 배포하면 (적어도 이론적으로는) 해결된다. 그러나 IP Crawl이 드러낸 노출의 다수는 코드의 버그가 아니라 설정의 문제다. 기본 비밀번호를 바꾸지 않은 사용자, UPnP가 무엇인지 모르는 사용자, 카메라가 인터넷에 공개되어 있다는 사실조차 모르는 사용자에게는 배포할 패치가 없다. 펌웨어를 아무리 안전하게 만들어도, 그것을 안전하게 설정하는 마지막 한 걸음은 인간에게 남겨진다. 그리고 수억 명의 비전문가 사용자가 그 한 걸음을 일관되게 밟으리라 기대하는 것은 비현실적이다. 보안을 사용자의 선택과 노력에 의존하게 만드는 설계 자체가 실패의 원인이다.
마지막으로, IP Crawl 같은 도구 자체가 안고 있는 이중용도(dual-use)의 딜레마가 있다. 이런 색인 도구는 동시에 두 얼굴을 가진다. 한편으로 이것은 방어자의 도구다. 기업의 보안팀은 Shodan으로 자사가 모르게 노출된 자산을 찾아내고, 연구자는 IoT 생태계의 취약성을 정량화하며, 소유자는 자기 카메라가 노출되었는지 확인할 수 있다. IP Crawl이 노출을 “지도”로 가시화하는 것은 문제를 부정할 수 없게 만들어 변화를 압박하는 순기능이 있다. 그러나 다른 한편으로 같은 지도는 공격자의 정찰 비용을 0에 가깝게 낮춘다. 과거 공격자가 직접 스캔해야 찾던 표적이 이제 검색 한 번으로 정렬된 목록으로 제공된다. 관음증적 침입자에게는 카탈로그가, 봇넷 운영자에게는 표적 리스트가 된다. 가시성을 높이는 바로 그 행위가 동시에 악용의 문턱을 낮춘다. 이 긴장은 해소되지 않으며, 보안 정보 공개를 둘러싼 오래된 윤리적 논쟁 — 공개가 방어를 돕는가, 공격을 돕는가 — 의 IoT 버전이다. 덧붙이면 법적 지형도 미묘하다. Shodan류 색인을 검색하는 것은 대부분의 관할권에서 합법이다. 그러나 공개적으로 노출된 범위를 넘어 데이터에 접근하거나 허락 없이 인증을 시도하는 순간 — 비밀번호가 admin/admin이라 하더라도 — 그것은 불법이며 비윤리적이다.
무엇이 실제로 고치는가: 사용자 교육을 넘어서
문제의 원인이 구조적이라면 해법도 구조적이어야 한다. 가장 먼저 분명히 해야 할 것은, 흔히 처방으로 제시되는 사용자 교육의 한계다. “기본 비밀번호를 바꾸세요”, “UPnP를 끄세요”라는 조언은 옳지만 무력하다. 수억 명의 비전문가가 각자 자기 기기의 보안 설정을 올바르게 관리하리라 기대하는 것은, 앞서 본 대로 비현실적이다. 교육은 책임을 가장 약한 당사자 — 정보도 전문성도 가장 부족한 최종 사용자 — 에게 떠넘기는 방식이며, 시장 실패의 근본 원인을 건드리지 못한다. 책임은 그것을 가장 잘 통제할 수 있는 지점으로 이동해야 한다.
가장 근본적인 해법은 설계 단계의 안전(secure by default) 제조다. 카메라가 출고될 때부터 기기마다 고유한 무작위 비밀번호를 부여하고(기기 라벨에 인쇄), 인증 없는 스트리밍을 기본 비활성화하며, 최초 설정 시 비밀번호 변경을 강제하고, UPnP를 기본 꺼짐으로 출고하는 것이다. 이는 사용자에게 아무것도 요구하지 않으면서 노출의 주요 경로를 봉쇄한다. 핵심은 “안전한 설정”을 사용자의 선택이 아니라 제품의 기본값으로 만드는 것이다. 좋은 보안은 사용자가 노력해야 얻는 것이 아니라, 아무것도 하지 않아도 주어지는 것이어야 한다.
두 번째 층위는 네트워크 차원의 개입이다. ISP는 가정용 회선에서 외부로 노출되는 위험 포트(예: 외부에서 들어오는 RTSP, telnet)를 기본적으로 필터링하거나, 노출된 기기를 탐지해 가입자에게 통지할 수 있다. 일본의 NOTICE 프로젝트처럼 국가 차원에서 자국 IP 공간을 스캔해 취약 기기 소유자에게 알리는 방식도 있다. 완전한 해법은 아니지만, 노출과 사용자 사이에 한 겹의 안전망을 둔다.
세 번째이자 가장 강력한 지렛대는 **규제와 책임(liability)**이다. 시장이 보안 비용을 가격에 반영하지 못한다면, 규제가 그 비용을 제조사에게 되돌려놓아야 한다. EU의 사이버 회복력법(Cyber Resilience Act, CRA)은 정확히 이 방향이다. 디지털 요소를 가진 제품에 보안 요구사항을 의무화하고, 취약점 처리와 보안 업데이트 제공을 법적 책임으로 만들며, 위반 시 막대한 과징금을 부과한다. 영국의 PSTI 법은 IoT 기기의 공통 기본 비밀번호를 아예 금지했다. 미국의 사이버 트러스트 마크(Cyber Trust Mark)는 라벨링을 통해 보안을 소비자가 식별 가능한 신호로 바꾸려 한다 — 레몬 시장의 정보 비대칭을 직접 겨냥한 처방이다. 이런 책임 프레임워크의 공통점은 외부화된 비용을 그 원천으로 되돌려, 보안 생략이 더 이상 합리적 선택이 되지 않도록 경제적 유인 구조를 재설계하는 데 있다.
전망은 조심스럽게 낙관적이다. 규제는 분명히 움직이고 있고, CRA가 본격 시행되면 EU 시장에 진입하려는 제조사 전체의 기준선이 올라간다. 글로벌 공급망 특성상 한 거대 시장의 규제는 사실상 전 세계 제품 사양을 끌어올린다. 그러나 이미 출고되어 가정과 사무실에 박혀 있는 수억 대의 기존 기기 — 패치도 교체도 되지 않을 — 는 앞으로도 오랫동안 IP Crawl의 지도를 채울 것이다. 새 기기의 흐름은 개선되더라도, 기존 노출의 거대한 재고가 해소되기까지는 기기의 물리적 수명만큼의 시간이 필요하다.
결론
IP Crawl이 한 일은 발명이 아니라 폭로다. 그것은 새로운 공격 기법을 만들지 않았고, 새로운 취약점을 발견하지도 않았다. 단지 이미 누구에게나 열려 있던 문들을 모아 한 장의 지도로 펼쳐 보였을 뿐이다. 그 지도가 충격적인 이유는, 노출이 정교한 해킹의 결과가 아니라 값싼 기기, 무심한 기본 설정, 자동화된 편의 기능, 그리고 보안 비용을 떠넘기는 시장 구조가 합작한 평범한 일상이라는 사실을 부정할 수 없게 만들기 때문이다.
이것은 이 블로그가 추적해 온 더 큰 주제의 물리적 얼굴이다. iOS 앱이 동의 없이 사용자를 식별하고(핑거프린팅), 패키지 저장소가 공급망을 오염시키는 디지털 배신의 패턴은, 인터넷에 그대로 꽂힌 카메라에서 가장 직설적인 형태로 반복된다. 우리를 지켜주리라 믿고 설치한 보안 카메라가 바로 우리를 감시하는 통로가 되는 역설 — 신뢰의 도구가 배신의 벡터로 뒤집히는 이 구조야말로 IoT 시대 보안의 본질이다.
해법이 사용자 개개인의 각성이 아니라 secure-by-default 제조와 책임 규제라는 점은, 이 문제가 도덕의 문제가 아니라 설계와 제도의 문제임을 말해준다. IP Crawl의 지도가 언젠가 비어가기 시작한다면, 그것은 사용자들이 더 부지런해졌기 때문이 아니라 안전하지 않은 기기를 파는 일이 더 이상 수지 맞지 않게 되었기 때문일 것이다. 가시화는 그 변화의 첫걸음이다. 부정할 수 없게 만드는 것, 그것이 살아있는 아틀라스가 가진 진짜 힘이다.
출처
- IP Crawl — 개방형 웹캠 아틀라스: https://ipcrawl.com/
- Hacker News 토론 (2026-06-28): https://news.ycombinator.com/item?id=48700834
- Shodan — 인터넷 연결 기기 검색엔진: https://www.shodan.io/