당신은 홈 카메라를 하나 샀다. 전원을 꽂고, Wi-Fi에 연결하고, 스마트폰으로 앱을 깔아 QR코드를 스캔했다. 3분이면 끝이다. 이제 외출 중에도 언제든 집에 있는 고양이가 뭐 하는지 볼 수 있다.
모든 게 완벽하다.
그러던 어느 날, 친구가 링크 하나를 보내며 “이거 한번 봐”라고 말한다. 클릭하자 당신의 거실이 보인다. 소파 위엔 어제 입었던 외투, 테이블 위엔 반쯤 남은 밀크티. 화면 오른쪽 아래엔 IP 주소와 도시명이 찍혀 있다.
당신은 이 영상을 누구와도 공유한 적이 없다. 누구에게도 비밀번호를 알려준 적이 없다. 애초에 웹캠이 웹페이지에서 열릴 수 있다는 사실조차 몰랐다.
하지만 지금 이 순간, 누구든 — 그 웹페이지를 연 사람이라면 누구든 — 당신의 거실을 들여다보고 있다.
이것은 공포 소설의 서두가 아니다. IP Crawl이라는 프로젝트가 전 세계에 드러낸 일상의 한 장면이다.
프로그래머 한 명, 42억 개의 IP 주소
2026년 6월, Alec이라는 가명의 프로그래머가 한 웹사이트를 Hacker News 첫 페이지에 올렸다. 당일 192포인트와 100개가 넘는 격렬한 댓글이 달렸다. 사이트 이름은 IP Crawl(ipcrawl.com). 기능은 너무나 단순해서 누구나 바로 이해할 수 있다. 전 세계에 공개된 카메라들의 살아있는 지도다. 페이지를 열면 학교, 병원, 공장, 정부 청사, 호텔, 일반 가정집 거실, 심지어 침실까지 — 전 세계 실시간 웹캠 스크린샷이 나타난다.
이 모든 카메라에는 공통점이 하나 있다. 접근에 어떤 비밀번호도 필요하지 않다. 해킹도 필요 없고, 블랙햇 기술도 필요 없고, ‘사회공학적 기법’도 필요 없다. 브라우저에 주소 하나 치면 화면이 바로 뜬다.
Alec이 한 일은 기술적으로 복잡하지 않지만, 공학적 관점에서 보면 보안 업계 종사자라면 누구나 식은땀을 흘릴 만한 일이다. 그는 프로그램 하나를 작성해 IPv4 공인 주소 공간 전체 — 약 42억 개의 IP — 를 순회했다. 프로그램은 각 IP에 대해 이미 알려진 수십 종의 웹캠 스크린샷 경로를 하나씩试探했다. Hikvision(하이크비전), Dahua(다후아), Axis, D-Link, TP-Link, SONY… 현존하는 거의 모든 주요 브랜드 카메라의 기본 스크린샷 인터페이스 주소는 공개되어 있고, 형식이 고정되어 있으며, 문서를 찾아볼 필요도 없이 추측 가능한 것들이다.
프로그램이 하나하나 문을 두드린다. 열리면 스크린샷을 저장한다. 안 열리면 건너뛴다. 비밀번호 무차별 대입도 없고, 취약점 공격도 없고, 백도어 설치도 없다. 이 프로그램이 하는 일은 단 하나다. 애초에 잠겨 있지 않은 문들을 찾아 사진을 찍고, 목록으로 정리하는 것.
Alec 자신의 말을 그대로 옮기자면: “To be absolutely clear: the engine never attempts authentication, brute-forces credentials or exploits software vulnerabilities. It only catalogues what is already completely open to the public internet.”
절제된 표현이다. 하지만 이 목록 안에 실제로 무엇이 들어 있는지 알게 되면, ‘절제’라는 단어는 섬뜩한 아이러니로 변한다.
상상도 못 할 장면들이 담겨 있다
IP Crawl에 노출된 장면의 범위는 일반인의 상상을 훨씬 뛰어넘는다. 필자가 공개 자료를 검토하며 정리한 사례들은 이렇다:
- SONY 일본 본사 사무실: 보안 카메라 화면이 그대로 공인망에 연결, 출입 통제도 접근 제어도 없음
- 이스라엘 공공 시설: 주요 인프라의 실시간 화면을 웹페이지에서 확인 가능
- 영국 Droitwich의 한 주택: 실내 재배 설비를 정면으로 비추고 있는 카메라 — 대마 재배로 의심되는 정황
- 미국 솔트레이크시티의 수상한 카메라: 촬영 각도가 정상적인 설치가 아닌, 누군가 몰래 설치한 듯한 위치
- 학교 복도와 교실
- 병원 복도와 병실 주변
- 어린이집 내부
- 공장 작업장과 산업 제어실
이는 Alec이 나열한 빙산의 일각에 불과하다. 그는 이렇게 썼다: “Schools, colleges, hospitals, government facilities, corporate offices, residential living rooms, daycares, indoor cultivation setups, industrial complexes and manufacturing plants. Every day you will see something new.”
HN 토론의 한 사용자가 직설적으로 표현했다: “I looked into someone’s bedroom. Fortunately it was empty, but I promptly shat myself and turned off my computer.” (누군가의 침실을 들여다보고 말았다. 다행히 방은 비어 있었지만, 나는 곧바로 겁에 질려 컴퓨터를 꺼버렸다.)
이건 공포 영화 장면이 아니다. 2026년, 사이버 보안 의식이 보편적으로 높아졌다고 여겨지는 시대에 실제로 벌어진 일이다.
왜 이렇게 많은 카메라가 공인망에 알몸으로 방치되어 있을까
일반 독자라면 첫 반응이 아마 이럴 것이다. “누가 자기 카메라를 인터넷에 노출시키나?”
답은 간단하다. 노출된 사람 대부분은 자신의 카메라가 노출되었다는 사실 자체를 모른다. 이 배후에는 세 가지 힘이 함께 작용하고 있다.
첫 번째 힘, 제조사의 방치.
Hikvision, Dahua, Axis, D-Link, Wyze, SONY — Alec은 기술 블로그에서 긴 브랜드 목록을 나열한 뒤 이렇게 썼다: “Shipping hardware this vulnerable directly violates customer privacy and creates a massive security liability.” (이렇게 취약한 하드웨어를 소비자에게 그대로 판매하는 것 자체가 고객 프라이버시 침해이자 거대한 보안 책임을 만들어내는 행위다.)
이 카메라들은 출하 시 보통 기본 비밀번호가 설정되어 있다. 대개 admin/admin이나 admin/12345 같은 극도로 단순한 조합이다. 많은 모델은 특정 URL 경로를 통해 비밀번호 없이도 실시간 화면에 직접 접근할 수 있다. 바로 IP Crawl 스캔이 이용한 메커니즘이다. 제조사들은 이것을 잘 알고 있지만, 비용과 편의성이라는 명목 아래 출하 설정을 실질적으로 바꾼 업체는 거의 없다.
Alec의 의심은 한 걸음 더 나아간다: “Risking the label of a conspiracy theorist, it’s starting to look less like negligence and more like a legally sanctioned backdoor for mass surveillance.” (음모론자로 낙인찍힐 위험을 감수하고 말하자면, 이건 점점 태만이 아니라 합법적으로 용인된 대규모 감시 백도어처럼 보이기 시작했다.)
두 번째 힘, 공유기의 자동 포트 포워딩.
많은 가정용 공유기는 UPnP(Universal Plug and Play)라는 기능을 기본으로 켜둔다. 원래는 편의를 위해 설계된 기능이다. 기기를 꽂기만 하면 자동으로 네트워크 설정이 되고, 수동으로 포트 매핑을 설정할 필요가 없다. 하지만 이는 곧 카메라가 공유기에게 “포트 좀 열어줘”라고 말하면 공유기가 그대로 실행한다는 뜻이기도 하다. 사용자는 전 과정을 전혀 모른다.
HN의 한 사용자가 정곡을 찔렀다: “UPnP is not disabled by default on all routers, especially older ones. So devices may just try to port-forward certain control or media ports.” (UPnP는 모든 공유기에서 기본으로 꺼져 있지 않다. 특히 구형 기기에서 그렇다. 그래서 기기가 특정 제어나 미디어 포트를 스스로 포트포워딩해버릴 수 있다.)
즉, 당신은 카메라 하나를 사서 전원을 꽂고 인터넷에 연결했다. 카메라는 스스로 공유기에게 말한다: “내가 밖으로 통하는 문이 필요해.” 공유기가 문을 열어준다. 그러면 전 세계의 스캐너들 — IP Crawl뿐 아니라 Shodan 같은 IoT 검색엔진도 — 당신 집의 문을 발견한다.
당신은 그저 QR코드 하나 스캔했을 뿐이다.
세 번째 힘, 설치 기사의 ‘되기만 하면 된다’ 정신.
많은 경우 카메라는 사용자가 직접 설치하지 않는다. HN 사용자 Aurornis는 매우 현실적인 시나리오를 묘사했다. 설치 기사는 천장에 하루 종일 매달려 땀을 뻘뻘 흘리며 장비를 설치한 뒤, 그저 빨리 끝내고 싶을 뿐이다. “Some installer with a git-er-done attitude knows their customer wants a solution to something (remote access) and they use the first technique they can find to accomplish that without any concern about what it means.” (설치 기사는 고객이 원격 접속 같은 기능을 원한다는 것만 알고, 자신이 아는 첫 번째 방법으로 해결해버린다. 그게 어떤 보안 위험을 의미하는지는 전혀 신경 쓰지 않는다.)
다른 사용자는 한 줄로 이 업계의 현실을 요약했다: “Most CCTV contractors are not network security experts. Most network security experts would quit before ever entering a hot attic.” (대부분의 CCTV 설치 업자는 네트워크 보안 전문가가 아니다. 대부분의 네트워크 보안 전문가는 더운 다락방에 들어가느니 차라리 사직서를 쓸 것이다.)
그래서 최종 설치 방안은 결국 이렇게 된다. 포트 열고, 화면 보이면 끝. 누가 그 화면을 ‘볼’ 것인지에 대해서는 — 설치 계약서 어디에도 쓰여 있지 않다.
‘기술의 편리함’과 ‘프라이버시 보안’은 선택의 문제가 아니다
여기에는 근본적인 대립이 존재한다. 소비자는 편리함을 원한다. 밖에서도 스마트폰으로 집 카메라를 보고 싶다. 하지만 그 ‘편리함’을 구현하는 경로가 현실에서는 ‘카메라 포트를 공인망에 그대로 노출’로 귀결되고 있다.
더 나은 해법이 없는 것은 아니다. HN에서 기술적 배경이 있는 사용자들은 안전한 아키텍처를 제안한다. 제조사가 중계 프록시 서버를 제공하고, 카메라와 프록시 사이에 암호화 연결을 수립하며, 사용자는 프록시를 통해 화면을 확인하는 방식이다. 카메라의 실제 IP는 공인망에 절대 노출되지 않는다. Signal, WhatsApp 등 화상 통화 앱은 이미 이 경로가 실현 가능하다는 것을 증명했다.
문제는 이렇다. 그런 방안을 구현하려면 제조사가 추가 서버 비용을 투자하고, 안전한 인증 메커니즘을 설계하고, 명확한 사용자 가이드를 제공해야 한다. 현재의 현실은 — 어떤 제조사도 ‘사용자가 눈으로 확인할 수 없는 안전’에 비용을 지불하려 하지 않는다.
Alec은 블로그에 이렇게 썼다: “The goal is straightforward: turn public exposure into pressure, forcing both manufacturers and users to take privacy seriously.” (목표는 단순하다. 공인망 노출을 공공의 압력으로 전환해, 제조사와 사용자 모두가 프라이버시를 진지하게 받아들이도록 강제하는 것이다.)
이는 투명성으로 변화를 압박하는 전략이다. 하지만 동시에 HN에서 격렬한 윤리 논쟁을 촉발시키기도 했다.
취약점을 고쳐야 하는가, 탐조등을 꺼야 하는가
상당수 HN 사용자들은 IP Crawl 프로젝트에 불안감을 표했다. ‘naturalmovement’의 댓글은 높은 지지를 받았다: “There’s a difference between your neighbor not closing her blinds and you using a telescope to look inside her apartment, which is what sites like this are.” (이웃이 블라인드를 안 내린 것과 당신이 망원경으로 그 집 안을 들여다보는 것은 다르다. IP Crawl은 바로 그 망원경이다.)
다른 사용자는 더 직설적이었다: “Definitely an invasion of privacy. I can’t visit this website in good faith. It should be taken down.” (이건 분명히 프라이버시 침해다. 양심상 이 사이트에 접속할 수 없다. 폐쇄되어야 한다.)
하지만 반문하는 사용자도 있었다. Shodan 검색엔진은 이미 10년 넘게 존재하며 똑같이 이런 노출된 카메라들을 검색할 수 있다. Shodan도 닫아야 하는가? Google도 비밀번호 없는 관리자 페이지를 검색할 수 있다. Google도 닫아야 하는가?
더 깊은 층위의 의견은 사용자 ‘portaouflip’의 댓글에서 나왔다: “I’d also ask us tech savvy people to practice some humility. Yes, the people setting up these cameras are not following security best practices. But are you sure that you will not make the same mistakes?” (우리 같은 기술에 능한 사람들도 겸손해져야 한다고 생각한다. 맞다, 이 카메라를 설치한 사람들은 보안 모범 사례를 따르지 않았다. 하지만 당신은 정말로 자신이 절대 같은 실수를 하지 않을 거라고 확신하는가?)
이것은 정답이 없는 논쟁이다. 하지만 어느 쪽에 서든 부인할 수 없는 사실이 하나 있다. IP Crawl이 드러낸 블랙홀은 실제로 존재한다. 이 사이트를 닫는다고 해도, 그 카메라들은 여전히 공인망에 알몸으로 방치되어 있다. for 루프 한 줄짜리 코드를 쓸 줄 아는 사람이라면 누구나 그것들을 찾을 수 있다.
당신이 지금 당장 해야 할 일
IP Crawl 사이트에는 ‘내 주변 확인’ 기능이 있다. 대략적인 위치를 입력하면 그 주변에 등록된 노출 카메라가 있는지 알려준다. 당신 집도 그 목록에 올라 있는지 확인하는 용도다.
집에 네트워크 카메라가 있다면, 다음 몇 단계만으로도 노출 위험을 즉시 낮출 수 있다:
첫째, 기본 비밀번호를 당장 바꿔라. admin/admin이나 12345, 생일, 전화번호는 안 된다. 최소 12자 이상, 영문자·숫자·특수문자를 포함한 비밀번호를 설정하라. 카메라 펌웨어가 강력한 비밀번호를 지원하지 않는다면 — 그 카메라 자체를 신뢰하면 안 된다.
둘째, 공유기의 UPnP 설정을 확인하라. 대부분의 가정용 공유기에서 UPnP를 끌 수 있다. 꺼둬라. 이후 새 기기를 연결할 때 수동 설정이 필요할 수 있지만, 그 약간의 불편함은 프라이버시 유출 위험과 비교할 가치조차 없다.
셋째, 카메라 원격 확인이 필요하다면 포트 포워딩을 쓰지 마라. 제조사가 안전한 클라우드 중계 서비스를 제공하는지 확인하거나, VPN 터널을 직접 구축하라. 후자는 기술적 문턱이 있지만, 당신의 데이터가 진짜로 중요하다면 — 감당해야 할 비용이다.
넷째, 보안 업데이트를 제공하지 않는 브랜드는 버려라. 펌웨어 업데이트도 없고, 알려진 취약점도 고치지 않고, 보안 연결도 지원하지 않는 제조사라면 — 그 기기를 쓰레기통에 버려라. 당신 자신과 가족에 대한 존중이다.
마지막으로
Alec의 IP Crawl 프로젝트는 본질적으로 하나의 돋보기다. 이 돋보기가 확대하는 것은 기술적 취약점이 아니다. 그런 취약점들은 10년도 더 전에 이미 반복적으로 논의된 것들이다. 이 돋보기가 진짜로 확대하는 것은 산업 생태계 전반이 보통 사람들에게 가하는 체계적인 무시다. 제조사는 안전하지 않다는 걸 알면서도 그대로 판다. 설치 기사는 전문적이지 않다는 걸 알면서도 그대로 설치한다. 플랫폼은 위험하다는 걸 알면서도 그대로 연결해준다.
그리고 최종 대가는, 그 대가를 가장 짊어져서는 안 될 사람 — 그저 고양이를 보고 싶었을 뿐인 평범한 소비자 — 에게 전가된다.
Alec은 블로그 마지막에 한 문장을 남겼다. 필자는 이 문장으로 이 글을 마무리하고 싶다. 이 문장은 너무나 단순하지만 너무나 중요한 진실을 찌르고 있기 때문이다.
“Step. The. F*ck. Up.”
번역하자면, 대략 이렇다: 이제 제발 정신 좀 차려라.
참고 링크:
- IP Crawl 공식 사이트: https://ipcrawl.com/
- Alec 기술 블로그 《IP Crawl: Exposing The Massive Open Webcam Crisis》: https://alec.is/posts/ip-crawl-exposing-the-massive-open-webcam-crisis/
- Hacker News 토론 게시글 (192포인트 / 107댓글): https://news.ycombinator.com/item?id=48700834
- 관련 보도 《40,000+ Internet-connected Cameras Exposed Streaming Live》: https://cybersecuritynews.com/40000-internet-connected-cameras-exposed/
- Shodan IoT 검색엔진: https://www.shodan.io/