DOI QR코드

DOI QR Code

A Study on IP Camera Security Issues and Mitigation Strategies

IP 카메라 보안의 문제점 분석 및 보완 방안 연구

  • 신승진 (고려대학교 정보보호대학원 디지털포렌식학과) ;
  • 박정흠 (고려대학교 정보보호대학원) ;
  • 이상진 (고려대학교 정보보호대학원)
  • Received : 2022.09.13
  • Accepted : 2022.10.31
  • Published : 2023.03.31

Abstract

Cyber attacks are increasing worldwide, and attacks on personal privacy such as CCTV and IP camera hacking are also increasing. If you search for IP camera hacking methods in spaces such as YouTube, SNS, and the dark web, you can easily get data and hacking programs are also on sale. If you use an IP camera that has vulnerabilities used by hacking programs, you easily get hacked even if you change your password regularly or use a complex password including special characters, uppercase and lowercase letters, and numbers. Although news and media have raised concerns about the security of IP cameras and suggested measures to prevent damage, hacking incidents continue to occur. In order to prevent such hacking damage, it is necessary to identify the cause of the hacking incident and take concrete measures. First, we analyzed weak account settings and web server vulnerabilities of IP cameras, which are the causes of IP camera hacking, and suggested solutions. In addition, as a specific countermeasure against hacking, it is proposed to add a function to receive a notification when an IP camera is connected and a function to save the connection history. If there is such a function, the fact of damage can be recognized immediately, and important data can be left in arresting criminals. Therefore, in this paper, we propose a method to increase the safety from hacking by using the connection notification function and logging function of the IP camera.

세계적으로 사이버 공격이 증가하고 있으며 CCTV, IP 카메라 해킹과 같은 개인의 사생활에 대한 공격도 증가하고 있다. 유튜브나 SNS, 다크웹과 같은 공간에서 IP 카메라 해킹 방법에 대해 검색해보면 손쉽게 자료를 구할 수 있고, 해킹 프로그램 또한 판매되고 있다. 해킹 프로그램이 이용하는 취약점이 존재하는 IP 카메라를 사용하면 비밀번호를 주기적으로 변경하거나 특수문자와 영어 대소문자, 숫자를 포함한 복잡한 암호를 사용하더라도 쉽게 해킹 피해를 본다. 뉴스나 언론 매체를 통해 IP 카메라 보안성에 대해 문제를 제기하고 피해 방지를 위한 대책을 제시하였으나 해킹 사건은 꾸준히 발생하고 있다. 이러한 해킹 피해를 막기 위하여 해킹 사건 원인을 파악하고 이에 대한 구체적인 대응 방안이 필요하다. 먼저 IP 카메라 해킹 사건의 원인으로 취약한 계정 설정과 IP 카메라의 웹 서버 취약점을 분석하고 이에 대한 해결 방법을 제시하였다. 그리고 해킹에 대한 구체적인 대응 방안으로 IP 카메라에 접속하면 알림이 오도록 하는 기능과 접속 기록을 저장하는 기능이 추가되어야 한다고 제안하였다. 이와 같은 기능이 있다면 피해 사실을 즉각 알아차릴 수 있고, 범인을 검거하는 데 중요한 자료를 남길 수 있다. 따라서 본 논문에서는 IP 카메라에 접속 알림 기능과 로깅 기능을 사용하여 해킹으로부터 안전성을 높이는 방법을 제시하였다.

Keywords

References

  1. M. Horowitz, "2022 Cyber Security Report," Check Point Software Technologies, pp 34-38, 2002.
  2. J. Park and S. Kim, "Security requirements analysis on IP camera via threat modeling and common criteria," KIPS Transactions on Computer and Communication Systems, Vol.6, No.3, pp.121-134, 2017. https://doi.org/10.3745/KTCCS.2017.6.3.121
  3. M. Kim, "Privacy protection technologies on IoT environments: Case study of networked cameras," The Journal of the Korea Contents Association, Vol.16, No.9, pp.329-338, 2016. https://doi.org/10.5392/JKCA.2016.16.09.329
  4. L. Costa, J. Barros, and M. Tavares, "Vulnerabilities in IoT devices for smart home environment," in Proceedings of the 5th International Conference on Information Systems Security and Privacy, Portugal, pp.615-622, 2019.
  5. J. P. Singh and A. Chauhan, "Detection and prevention of non-PC botnets," CIISE, Concordia University, Montreal, Quebec, Canada, 2017.
  6. R. Alshalawi and T. Alghamdi, "Forensic tool for wireless surveillance camera," 19th International Conference on Advanced Communication Technology, PyeongChang, pp.536-540, 2017.
  7. S. Li, K. K. R. Choo, Q. Sun, W. J. Buchanan, and J. Cao, "IoT forensics: Amazon echo as a use case," IEEE Internet of Things Journal, Vol.6, No.4, pp.6487-6497, 2019. https://doi.org/10.1109/JIOT.2019.2906946
  8. I. Sutherland, E. D. Martin, and J. Kargaard, "IoT security and forensics: A case study," 20th European Conference on Cyber Warfare and Security, pp.278, 2021.
  9. "2021 Survey on information security," Ministry of Science and ICT, 2022.
  10. K. Tamiya et al., "Dangers of IP Camera-An Observational Study on Peeping," Journal of Information Processing, vol. 28, pp.502-510, 2020. https://doi.org/10.2197/ipsjjip.28.502
  11. B. Cusack and Z. Tian, "Evaluating IP surveillance camera vulnerabilities," The Proceedings of 15th Australian Information Security Management Conference, Perth, pp.25-32, 2017.
  12. G. Kang, S. Han, and H. Lee, "Security problems and measures for IP cameras in the environment of IoT," Journal of The Korea Society of Computer and Information, Vol.24, No.1, pp.107-113, 2019. https://doi.org/10.9708/JKSCI.2019.24.01.107
  13. M. S. Aslan, IP camera default password list [Internet], https://www.nvripc.com/ip-camera-default-password-list-2021.
  14. CVE-2002-2427: National vulnerability database [Internet], https://nvd.nist.gov/vuln/detail/CVE-2002-2427.
  15. CVE-2017-5674: National vulnerability database [Internet], https://nvd.nist.gov/vuln/detail/CVE-2017-5674.
  16. S. Jeong, Y. Choi, and I. Lee, "Cyber killchain based security policy utilizing hash for internet of things," Journal of Digital Convergence, Vol.16, No.9, pp.179-185, 2018. https://doi.org/10.14400/JDC.2018.16.9.179
  17. A. Akilal and M. T. Kechadi, "An improved forensic-bydesign framework for cloud computing with systems engineering standard compliance," Forensic Science International: Digital Investigation, Vol.40, 2022.