시놀로지 매니저 셸리 추는 “영상 감시 보안사고 대부분은 장비와 시스템을 정기적인 보안 업데이트가 누락되었거나 부정확한 접근 권한 설정이 미흡한 경우가 대부분이다. 기업은 시스템 보안, 전송 보안 및 권한 보안, 세 가지 측면에서 단계적인 개선 노력이 필요하다”고 주의를 당부했다.
◆ 시스템 보안
첫 단계는 IP 카메라와 영상 관리 시스템 (Video Management System, VMS)의 정기적 업데이트 여부를 확인하는 것이다. 기업은 보안 감시 서비스 제공업체를 선택할 때 업체의 정기적 보안 권고 사항의 (Security Advisory) 발표 여부와 안전성 업데이트 출시 여부, 카메라 펌웨어 업데이트 여부 확인이 필수다.
◆ 연결 보안
기업은 IP 카메라와 영상 관리 시스템 간에 전송 또는 클라이언트 측과 영상 관리 시스템 간의 액세스 보안을 확인해야 한다. 카메라와 영상 감시 시스템을 구매할 때는 HTTPS 또는 실시간 전송 보안 프로토콜 (SRTP)와 같은 암호화 기능을 확인하고, 보안 통신 프로토콜을 통한 연결 및 접근 기능 지원도 확인해야 데이터 전송 사고를 최소화 할 수 있다.
◆ 권한 관리 보안
기업은 시스템 관리자, 시스템 유지자 또는 시스템 사용자에게 각자 필요로 한 최소 권한 원칙 (Principle of Least Privilege, PoLP)을 준수하고 다단계 인증 기능을 이용해서 악의적인 무차별 대입 공격을 통한 권한 취득을 예방한다. CCTV 영상 암호화, 이중 인증 등 기능을 통해서 권한을 강화할 수도 있다.
▲ 최소 권한 원칙 (Principle of Least Privilege, PoLP)에 따라 시스템 관리자, 시스템 유지자 또는 시스템 사용자에게 각자 필요로 한 최소 권한만 제공한다.
아울러, 영상 재녹화와 감시 영상 유출를 막기 위해 영상 화면에 사용자 식별 워터마크 삽입 기술을 활용하거나 프라이버시 마스킹 기능을 통해 녹화시 특정 영역에 마스킹을 설정하고, 녹화된 영상을 로딩할 때에는 암호키 입력을 통해서만 재생할 수 있는 세팅도 권장했다.
By 김현동 에디터 Hyundong.Kim@weeklypost.kr
〈저작권자ⓒ 위클리포스트, 무단전재 및 재배포 금지〉
Tag
#시놀로지
