영상감시 시스템 보안 요구사항, 정보통신단체표준, 영상감시 시스템 구성 환경 및 처리 절차, 영상감시 시스템의 보안 위협, 카메라에 대한 물리적 공격

영상감시 시스템 보안 요구사항

(Security Requirements of the Video Surveillance System)

 

1. 개요

 

네트워크로 연결되어있지 않거나 폐쇄적인 네트워크로 연결되었던 감시 카메라들이 인터넷으로 연결되고 감시 카메라가 임베디드 컴퓨터화되면서 기존에 없었던 보안 위협들이 나타나게 되었다. 가령, 네트워크 카메라에 대한 해킹 공격이나 공용 네트워크를 통해 전송되는 감시영상 데이터에 불법적으로 접근하여 데이터를 가져가는 공격 등이 가능해진다. 본 표준에서는, 영상감시 카메라들이 진화하고 네트워크로 연결되면서 나타날 수 있는 다양한 위협들로부터 보호하기 위해서 영상감시 시스템을 설계할 때 고려해야 할 보안 요구사항을 정의한다.

 

 

2. 표준의 구성 및 범위

 

영상감시 시스템에서 연속적인 실시간 감시를 보장하고, 감시영상 데이터를 보호하는 것이 본 표준의 목적이다. 따라서, 본 표준의 구성은 네트워크로 연결된 영상감시 시스템이 어떻게 구성되는지를 살펴보고, 발생 가능한 보안 위협을 기술한다. 이를 기반으로 안전한 영상감시 시스템을 설계할 때 고려해야 할 보안 요구사항을 정의한다.

본 표준은 감시 카메라에서 영상을 촬영하고 네트워크를 통해서 감시영상 데이터를 전송하는 과정까지만을 포함하고, 관제서버 또는 DVR/NVR 등에서 보안은 기존 서버 보안과 데이터 보안 기능을 적용하면 되므로 포함하지 않는다

 

 

3. 용어 및 약어 정의

 

3.1. 네트워크 카메라 (Network Camera)

       : 유무선 인터넷에 연결하여 사용하는 카메라. 카메라 모듈, 인코더, 영상 압축 칩, CPU, 네트워크 전송 칩 등으로 구성된다. 카메라 모듈로부터 받은 아날로그 신호는 인코더를 통해 디지털로 바뀌고, 압축 칩에서 압축을 거쳐 영상을 전송한다.

.

3.2. CCTV (Closed Circuit Television)

       : 특정한 수신자에게만 서비스하는 것을 목적으로 하는 텔레비전 전송 시스템. 카메라, 모니터, 디지털 비디오 녹화기(DVR), 네트워크로 구성된다. 산업, 교육, 의료 및 지역 정보 서비스 등 산업 분야 전반에 이용되고 있지만 영상 보안 시스템용으로 시장이 확대되고 있다.

 

3.3. DVR (Digital video recorder)

       : 하드 디스크에 영상을 저장하기 위한 녹화기. 기존의 비디오 테이프 녹화기(VTR)를 대체하는 제품으로 녹화하고 재생하고 전송하는 기능을 가진 폐쇄 회로 텔레비전(CCTV) 시스템의 일부분이다.

 

3.4. NVR (Network video recorder)

       : 네트워크 상에 설치된 카메라나 비디오 서버의 영상 녹화, 모니터링, 이벤트 관리, 재생 등을 위한 전용 PC 서버. IP 카메라를 통해 디지털 영상을 전송 받아 압축 저장하는 기능으로, IP 전용 저장장치이기 때문에 아날로그를 디지털로 변환하는 장치가 필요 없고 기존 DVR을 대체하는 장치이다.

 

3.5. CMS(Central Monitoring Solutions)

       : IP 카메라, 영상 서버, NVR, DVR 등의 각 영상 장비에 접속하여 영상 모니터링 및 관리를 할 수 있는 중앙 관제 솔루션이다.

 

3.6. 비디오 코덱 (Video Codec)

       : 디지털 영상을 압축하고 압축 해제하기 위한 디바이스 또는 소프트웨어이며, MJPEG, MPEG-4, MPEG-4 part 10 (H.264) 등의 여러 표준이 있다.

 

3.7. Real-time Transfer Protocol (RTP)

       : 인터넷 상에서 실시간으로 비디오나 오디오 패킷을 전송하기 위해 표준화된 프로토콜로써, 신뢰성은 없으나 빠르게 데이터를 전달할 수 있는 UDP 프로토콜 위에서 실행되는 경우가 많다.

 

3.8. 모바일 코드

       : 네트워크를 통해 전송이 되며 명시적인 설치 단계를 거치지 않고 실행할 수 있는 프로그램.

4. 영상감시 시스템 구성 환경 및 처리 절차

 

기존의 영상감시 시스템은 소수의 카메라가 좁은 지역을 감시하고 폐쇄 네트워크로 연결되어 원격지에서 관제 및 관리가 어려웠다. 최근에는 네트워킹 기능이 탑재되고 임베디드 컴퓨터급의 성능을 제공하는 네트워크 카메라가 널리 보급되고, 높은 압축률을 제공하는 영상압축 기술과 대역폭이 큰 네트워크가 가용해짐에 따라서 네트워크 영상감시 시스템의 적용 사례가 증가하고 있다. 일반적인 네트워크 영상감시 서비스는 (그림 4-1)과 같이 크게 영상감시 카메라, 네트워크, 그리고 관제센터 또는 DVR/NVR 등으로 구성된다. 영상감시 서비스가 적용되는 사례는 실시간 교통정보 제공, 무인 경비, 방범 및 보안, 화재 등의 재난/재해 감시 및 대응 등으로 다양하며, 특히 방범용 영상감시 카메라는 최근 범죄 수사에 중요한 역할을 하고 있다. 네트워크로 전송된 감시영상은 DVR/NVR 등을 통해서 바로 저장되기도 하고, 관제 센터에서 실시간으로 재생되면서 관제 서비스에 활용될 수도 있다.

 

카메라에서 영상을 획득하고 네트워크를 통해 전송하며 전송된 데이터를 처리하는 절차를 나타낸다. 카메라 센서를 통해 영상이 입력되면 이후의 영상 처리와 영상 압축 등을 위해서 디지털화가 된다. 모든 픽셀값을 그대로 전송하게 되면 데이터 양이 커서 네트워크를 통해 실시간 전송이 어렵고 저장을 위한 공간도 많이 필요하기 때문에 압축을 하게 되는데, 보통의 카메라는 영상압축을 위한 전용 칩을 사용하고 일반 CPU는 최소한으로 사용하여 실시간 처리를 가능하게 한다. 그리고 카메라 관리와 제어를 위한 프로세싱은 일반 CPU를 사용한다. 압축된 영상 데이터와 제어 데이터는 네트워크를 통해 전송되며, 영상 데이터의 실시간 전송을 위하여 주로 RTP를 이용한다. 관제서버/DVR/NVR 등에서 영상 데이터를 수신하고 바로 저장할 경우에는 압축된 영상데이터를 그대로 저장하고, 실시간 관제 서비스로 사용할 경우에는 압축 해제를 거쳐서 영상을 재생하게 된다.

 

 

5. 영상감시 시스템의 보안 위협

 

네트워크를 통한 영상감시 서비스의 중요성이 증가하고 있고 영상감시 시스템이 적용되는 지역이 늘어남에 따라서 영상감시 시스템의 보안에 대한 관심도 높아지고 있다. 감시 카메라가 관리자의 영향 아래 안전한 곳에 설치되지 않고 언제든지 공격 받을 수 있는 곳에 설치되는 사례가 점차 늘어날 것이고, 네트워크를 통해 연결된 카메라는 언제 어디서나 해커의 공격 대상이 될 수 있기 때문에 카메라 관점에서 보안 위협을 살펴본다. 그리고, 네트워크를 통한 감시영상의 전송 시 기존의 네트워크 상에서 가능했던 모든 공격들이 위협이 될 수 있고, 특히 무선 네트워크를 통한 전송 시에는 그 위협이 매우 커질 수 있다.

 

5.1. 데이터 유출

 

5.1.1. 취약점

 

이전에는 영상감시 카메라 내부적으로 데이터를 저장하거나 폐쇄적인 네트워크를 통해 영상 데이터를 전송하였지만, 네트워크 카메라는 영상 데이터를 주로 공용 네트워크를 통해 전송하게 되면서 영상감시 카메라나 관제서버 등을 공격하지 않고도 데이터에 접근할 수 있게 되었다. 특히, 무선 네트워크 기능이 탑재된 카메라가 설치되고 있고 앞으로 더 늘어날 것으로 예상되는데, 무선 네트워크를 통해 전송되는 데이터는 유출 위험이 유선 네트워크를 통할 때 보다 아주 높아진다.

 

5.1.2. 취약점을 이용한 공격의 영향

 

보안 구역을 촬영하는 영상이 유출되면 보안 구역 내부가 어떻게 이루어져 있는지 알 수 있게 되고 이를 이용한 물리적 침입이 용이해질 수 있다. 그리고 연구소 또는 사무실 내부 등이 촬영된 영상이 유출되면 산업 기밀 유출로 이어져서 국가적인 손실이 될 수도 있다.

 

5.2. 데이터 위변조

 

5.2.1. 취약점

 

영상감시 시스템의 주요 서비스는 무인 감시, 방범, 재난/재해 감시 등이다. 이러한 서비스를 위해서는 실시간으로 현재 일어나고 있는 상황을 정확하게 파악할 수 있어야 하고, 이후에 사건 해결을 위해서 정확한 데이터가 기록되고 저장되어야 한다. 데이터 위변조는 카메라 내부, 네트워크를 통한 전송 중, 관제서버/DVR/NVR 등에서 처리 시 발생할 수 있다. 관제서버/DVR/NVR 등은 컴퓨팅 파워가 충분하고 안전한 곳에 위치하는 경우가 많기 때문에 카메라에서 처리 중 또는 네트워크를 통한 전송 시 위변조가 일어날 가능성이 높다.

 

5.2.2. 취약점을 이용한 공격의 영향

 

감시영상 데이터가 위변조되면 범죄행위가 일어나고 있는 현장이 카메라에 찍히더라도 대응을 할 수 없게 되고, 사건해결에도 사용할 수 없게 된다. 영상에서 개인을 식별할 수 있는 정보를 삭제하거나 변경 등의 위변조를 하게 되면 범죄 현장 등의 영상이 있더라도 범인을 식별할 수 없기 때문에 심각한 위협이 된다.

 

5.3. 재전송 공격

 

5.3.1. 취약점

 

영상감시 시스템을 이용하여 실시간 감시를 하는 경우에 전송된 영상의 현재성을 보장할 수 있어야 한다. 영상 데이터에 대한 위변조 공격을 통해서 감시 카메라가 촬영하는 지역에서 현재 일어나는 일들을 숨길 수 있지만, 무결성 검증 보안 기능이 실행중인 경우에는 가능하지 않은 공격이다. 하지만, 이전에 전송되었던 무결성이 보장된 영상을 다시 전송한다면 무결성 검증을 통과할 수 있는 문제가 있다. 카메라에 대한 서비스 거부 공격 등을 통해서 카메라가 영상을 전송할 수 없게 만든 후에 미리 저장해두었던 이전 영상을 전송함으로써 공격을 성공할 수 있다. 무선 네트워크를 통해 영상을 전송하는 경우에 카메라의 네트워크 주소를 가장해서 재전송 공격을 하기가 더욱 용이해지는 문제가 있다.

 

5.3.2. 취약점을 이용한 공격의 영향

 

범죄 등이 발생하지 않는 동안의 정상적인 영상을 저장을 해두고, 범죄가 일어나는 동안 저장된 영상을 재전송한다면 영상관제센터에서 전송된 영상을 보더라도 현장에서 발생한 일을 알 수 없게 된다.

 

5.4. 카메라 해킹

 

5.4.1. 취약점

 

최신 네트워크 카메라는 임베디드 OS 상에서 여러 소프트웨어들을 동시에 구동하는 구조를 가지고 있다. 영상을 전송하고 관제서버 등과 통신하기 위해서 항상 통신 포트가 열려있으며, 웹을 통한 카메라 제어를 위해서 웹 서버가 항상 동작하고 있는 경우가 많다. 그리고 영상 압축을 위한 프로그램과 영상 분석이 카메라에서 실행되는 경우에 영상분석 프로그램이 실행되게 된다. 이러한 소프트웨어의 개수와 복잡도가 증가함에 따라서 소프트웨어 취약점을 이용한 해킹 공격의 위험성은 커지게 된다. 카메라와 같이 컴퓨팅 파워가 약한 임베디드 시스템에서 동작하는 소프트웨어들은 C/C++ 을 이용해서 개발되는 경우가 많고, 이러한 소프트웨어들은 취약점이 상대적으로 많은 경향이 있다. 그리고 원격지에 카메라가 설치되어 있어서 접근하기가 어렵고 카메라가 멈추지 않고 영상을 계속해서 전송해야 하는 경우에, 카메라 소프트웨어 등을 업그레이드 하기 위해 사용하는 모바일 코드 등이 취약점이 될 수 있다.

 

5.4.2. 취약점을 이용한 공격의 영향

 

카메라에 대한 접근 권한을 획득하게 되면 카메라 내부에 저장된 암호화 키와 같은 중요 데이터가 유출되게 된다. 그리고 영상 데이터 전송 부분을 변경하여 재전송 공격 등을 하기가 아주 용이해지게 된다.

 

5.5 서비스 거부 공격

 

5.5.1. 취약점

 

서비스 거부 공격은 중요한 데이터를 획득하거나 변경하려는 목적이 아니고, 시스템의 동작에 장애를 일으키거나 네트워크를 통한 접근이 어렵게 하고자 하는 것이다. 이러한 공격은 과도한 트래픽을 발생시키거나 대상 시스템이 수용할 수 있는 이상의 서비스 요청을 보냄으로써 일어날 수 있다. 대부분의 네트워크 카메라는 제어 및 관리 목적으로 웹 서버가 서비스 요청을 대기하고 있기 때문에 과도한 서비스 요청을 보냄으로써 카메라 시스템의 자원을 소모하여 영상압축 및 전송 등의 처리에 장애를 일으킬 수 있다. 이러한 서비스 요청 중 암호화된 데이터가 포함된 경우에는 카메라 시스템 쪽에서 복호화 처리를 해야 하고, 복호화는 상대적으로 계산량이 많아서 시스템에 큰 부담을 줄 수 있다. 네트워크 카메라에서 영상전송을 위한 네트워크 프로토콜로써 RTP 를 주로 사용하는데 이 프로토콜의 취약점을 이용할 수도 있다.

 

5.5.2. 취약점을 이용한 공격의 영향

 

영상 감시에 사용되는 카메라들은 실시간으로 영상을 전송할 수 있어야 하므로 이러한 공격이 일어난다면 실시간 영상 전송이 불가능해지고 영상감시 본연의 목적을 달성할 수 없는 문제가 있다.

 

5.6 프라이버시 침해

 

5.6.1. 취약점

 

단순히 외부 공격자로부터 프라이버시 침해 소지가 있는 영상을 안전하게 보호하는 것은 암호화와 시스템 보안 등을 통해서 이루어질 수 있지만, 시스템 관리자나 관제인력과 같이 권한이 있는 사람들로부터도 개인 프라이버시를 지킬 필요가 있기 때문에 데이터 유출과는 다른 위협 요소가 된다. 그리고, 개인 또는 정부기관 등이 감시영상에 대한 열람을 요청할 때 열람 목적에 해당하는 사람 외에 영상에 포함된 다른 사람들을 식별할 수 있는 형태의 영상을 제공한다면 프라이버시를 침해하게 된다.

 

5.6.2. 취약점을 이용한 공격의 영향

 

은행이나 회사 내부와 같이 제한된 공간에 주로 적용되던 영상감시 시스템이 기차역, 거리, 공원 등과 같이 공공장소에 설치되는 경우가 많아지고 있다. 이로 인해서 불특정 다수에 대한 영상이 수집되고, 차량 번호판과 같이 개인과 관련된 정보도 드러나게 되며, 공공장소에 설치된 카메라가 개인 주택 등을 포함하여 촬영하는 경우가 생긴다. 이러한 영상들이 유출되게 된다면 개인 프라이버시에 심각한 위협이 된다.

 

5.7 카메라에 대한 물리적 공격

 

5.7.1. 취약점

 

카메라가 건물 내 외부 감시 목적으로 설치될 때에는 관리자가 가까이에 있어서 카메라의 훼손이 어렵고 비교적 안전한 장소에 설치되는 경우가 많다. 하지만, 공공장소 등에 설치되는 카메라가 증가하고, 특히 방범 목적으로 설치되는 카메라는 우범지대에 집중되는 경향이 있어서 카메라 도난이나 파손의 위험이 증가하게 된다. 그리고, 카메라를 파손하지 않고 카메라 렌즈를 물리적으로 막는 등의 공격도 이루어질 수 있다.

 

5.7.2. 취약점을 이용한 공격의 영향

 

카메라가 도난 되거나 파손이 되면 영상 촬영이 안되고 실시간 영상 감시를 할 수 없게 된다. 그리고 카메라가 물리적으로 공격자의 손에 들어가게 되어서 시스템을 임의로 제어하거나 데이터가 유출되게 된다.

 

 

6. 영상감시 시스템의 보안 요구사항

 

본 장에서는 안전한 영상감시 시스템 구축을 위한 요구사항을 정의한다.

 

<표 4-1> 영상감시 시스템 보안 요구사항

보안 요구사항	관련 보안위협	세부 보안 요구사항
영상 데이터 기밀성 (Data Confidentiality, DC)	데이터 유출	DC-1.    데이터 중요도에 따른 암호화 수준을 정할 수 있어야 한다. DC-2.    암호화된 데이터가 전송 중 에러로 인하여 변경될 경우에 그 영향이 최소화되도록 해야 한다. DC-3.    영상 데이터를 구성하는 요소를 선택적으로 암호화할 수 있어야 한다. DC-4.    암호화된 영상 데이터를 복호화하지 않고 재생할 수 있도록 영상압축 표준을 준수하는 암호화 방법을 제공해야 한다.
영상 데이터 무결성 (Data Integrity, DI)	데이터 위변조	DI-1.       영상 데이터의 무결성을 검증할 수 있어야 한다. DI-2.       영상 데이터의 무결성 위반이 탐지되면 관리자에게 경고를 보낼 수 있어야 한다. DI-3.       무결성 검증용 데이터를 영상에 포함할 수 있도록 영상 압축 표준을 준수하는 무결성 검증 방법을 제공해야 한다.
영상 데이터 현재성 (Data Freshness, DF)	재전송 공격	DF-1.     영상 데이터의 재전송을 탐지할 수 있어야 한다. DF-2.     영상 데이터의 재전송이 탐지되면 관리자에게 경고를 보낼 수 있어야 한다. DF-3.     카메라와 서버 간의 time 을 동기화할 수 있는 기능을 제공해야 한다. DF-4.     카메라와 서버 간의 counter를 동기화할 수 있는 기능을 제공해야 한다.
카메라 침해 방지 (Incident Prevention, IP)	카메라 해킹	IP-1.       소프트웨어 보안 업데이트 기능을 제공해야 한다. IP-2.       카메라에 원격 접근을 하기 위해서는 인증을 거쳐야 한다. IP-3.       알려진 보안 취약점을 이용한 공격이 어렵도록 보안 설정을 해야 한다. IP-4.       카메라 시스템의 보안 수준을 검증할 수 있어야 한다.
서비스 가용성 (Service Availability, SA)	서비스 거부 공격	SA-1.     서비스 연속성을 보장하는 소프트웨어 업데이트가 가능해야 한다. SA-2.     프로세스별로 사용할 수 있는 시스템 자원을 제한할 수 있어야 한다. SA-3.     서비스 거부 공격을 탐지하고 대응할 수 있어야 한다. SA-4.     서비스 장애가 발생하면 관리자에게 경고를 보낼 수 있어야 한다.
프라이버시 보호 (Privacy Protection, PR)	프라이버시 침해	PR-1.    영상에서 프라이버시 보호를 위해서 중요한 영역은 마스킹할 수 있어야 한다. PR-2.    마스킹이 된 영상을 재생할 수 있도록 영상압축 표준을 준수하는 마스킹 기능을 제공해야 한다.
카메라에 대한 물리적 공격 탐지 및 대응 (Physical Attack Prevention, PA)	카메라에 대한 물리적 공격	PA -1.   카메라에 대한 물리적 접근을 통제할 수 있어야 한다. PA -2.   비휘발성 저장공간에 기록되는 데이터를 최소화해야 한다. PA -3.   카메라 내부에 저장되는 데이터를 최소화해야 한다. PA -4.   카메라에 촬영되는 영상에서 비정상적 패턴을 탐지할 수 있어야 한다.

 

6.1. 영상 데이터 기밀성

 

DC-1  데이터 중요도에 따른 암호화 수준을 정할 수 있어야 한다.

 

영상감시 시스템에서 전송되는 데이터는 크게 컨트롤 데이터와 영상 데이터로 구분할 수 있다. 영상 데이터가 유출되면 유출된 데이터에 한해서 위협이 되지만, 컨트롤 데이터가 유출되면 그 영향이 오래가고 큰 문제가 있다. 그리고 카메라가 촬영하는 지역의 중요도에 따라서 영상 데이터의 유출에 따른 문제의 심각성이 달라진다. 암호화 강도가 높아지면 암호화 처리를 위한 계산 복잡도가 증가하여 시스템에 부담을 줄 수 있기 때문에 대상 데이터의 중요도에 따라 적절한 암호화 방법을 적용할 수 있도록 해야 한다. 한 암호화 알고리즘을 사용하고 데이터의 중요도에 따라서 키 길이를 다르게 함으로써 암호화 레벨을 조절할 수 있다.

 

DC-2  암호화된 데이터가 전송 중 에러로 인하여 변경될 경우에 그 영향이 최소화되도록 해야 한다.

 

컨트롤 데이터는 전송되는 빈도가 낮고 TCP와 같이 신뢰성 있는 네트워크 프로토콜을 이용하기 때문에 네트워크 전송 중에 에러로 인하여 데이터가 변경될 위험이 낮다. 하지만, 영상의 경우에는 많은 양의 데이터를 빨리 전송하기 위해서 신뢰성이 상대적으로 낮은 UDP 프로토콜에 기반한 RTP 프로토콜을 이용하기 때문에 전송 중 에러가 발생할 위험이 있다. 암호화 방식에 따라서 특정 시점에 비트 에러가 생기면 그 영향이 이후의 모든 데이터에 미쳐서 정상적인 복호화를 할 수 없는 문제가 있다. 그렇기 때문에 에러가 발생 시 에러가 발생한 비트를 제외하고는 영향이 없도록 하거나, 에러로 인한 영향이 최소화되도록 암호화 방법을 설계해야 한다.

 

DC-3  영상 데이터를 구성하는 요소를 선택적으로 암호화할 수 있어야 한다.

 

현재 영상 감시 시장에서 영상 화질은 HD급이 주류를 이루고 있고, HD급 영상의 경우에 초당 처리해야 할 데이터 양이 크기 때문에 감시 카메라가 원래 기능을 수행하는데 필요한 리소스를 제외하면 여유가 거의 없는 경우가 많아서 대용량 데이터를 실시간으로 암호화하는 것이 어려울 수 있다. 영상 데이터는 전송과 저장을 효율적으로 하기 위해서 영상 압축을 거쳐서 생성이 되고, 영상 압축이 된 데이터는 프레임간의 참조와 프레임 내에서도 인접 블록들에 대한 참조를 통해 압축률을 높이기 때문에 몇 개 프레임 또는 프레임 내 일부 데이터가 유출되더라도 의미 있는 정보를 얻기 어려운 경우가 많다. 그래서 영상 압축을 거친 데이터는 픽셀 단위로 정보를 표현하지 않고 압축 데이터를 표현하기 위한 syntax 와 각 syntax 별 정보로 구성이 되고, syntax 를 기준으로 압축을 해제하여 원래 영상을 복원하기 위하여 중요한 정보를 파악할 수 있다. 따라서, 이렇게 중요한 비트들만을 암호화하여 데이터 처리량을 줄임 수 있는 방법을 제공하는 것이 좋다.

 

DC-4  암호화된 영상 데이터를 복호화하지 않고 재생할 수 있도록 영상압축 표준을 준수하는 암호화 방법을 제공해야 한다.

 

암호화된 영상을 복호화하지 않고 재생해야 하거나 편집해야 하는 경우를 위해서 영상 압축 표준을 준수하는 암호화 방법이 필요할 수 있다. 영상 압축 표준을 따르면 각 syntax 별로 나올 수 있는 데이터의 범위는 제한적이지만, 암호화는 기본적으로 랜덤하게 비트를 변경하는 것이므로 암호화 결과가 압축 표준에 부합한다는 것을 보장할 수 없다. 그리고 각 syntax 는 압축 해제를 위해서 꼭 필요한 정보이기 때문에 암호화를 해서는 안된다. 그래서 syntax 는 암호화하지 않고 각 syntax에 해당하는 데이터를 암호화할 때 표준에서 정의하는 범위 내에서 랜덤하게 변경하도록 하는 암호화 방법이 필요하다.

 

6.2. 영상 데이터 무결성

 

DI-1   영상 데이터의 무결성을 검증할 수 있어야 한다.

 

영상 데이터는 전송 중에 에러로 인하여 변경될 수도 있지만, 공격자에 의해서 의도적으로 변경될 수도 있다. 네트워크 전송 에러 등은 네트워크 프로토콜에 의해 탐지될 수 있지만, 의도적인 변경을 탐지할 수 있는 방법이 필요하다. 가령, 범죄가 일어나는 동안 전송되는 영상을 임의의 영상으로 변경해서 전송하거나, 암호화된 영상의 경우에는 복호화하지 못하도록 변경해서 전송한다면 범죄 수사를 목적으로 영상을 사용할 수 없는 문제가 발생한다. 그래서, 전송받은 영상이 카메라에서 전송한 영상과 동일한 것임을 보장하는 무결성 검증 방법이 필요하다.

 

DI-2   영상 데이터의 무결성 위반이 탐지되면 관리자에게 경고를 보낼 수 있어야 한다.

 

영상 데이터가 의도적으로 변경되었음이 파악되면 즉시 관리자에게 알려서 적절한 대응을 할 수 있도록 해야 한다.

 

DI-3   무결성 검증용 데이터를 영상에 포함할 수 있도록 영상 압축 표준을 준수하는 무결성 검증 방법을 제공해야 한다.

무결성 검증을 위한 방법으로 크게 무결성 검증을 위한 서명된 해쉬값 등을 추가로 보내는 것고, 영상 데이터에 워터마크를 삽입하는 방법이 있다. 워트마크 기법을 사용하는 경우에는 워터마크가 삽입된 영상이 재생이 가능해야 하기 때문에 영상 압축 표준을 준수하는 워터마크 방법이 필요하다. 즉, 워터마크로 삽입되는 bits 들이 영상 표준이 정하는 syntax 별 가능한 범위 내에서 결정되어야 한다.

 

6.3. 영상 데이터 현재성

 

DF-1  영상 데이터의 재전송을 탐지할 수 있어야 한다.

 

영상 데이터 무결성 검증 기능이 적용된다면 영상을 임의로 수정하는 것은 불가능하지만, 이전에 전송된 영상 데이터를 저장하고 있다가 재전송하는 공격은 무결성 검증으로 탐지할 수 없다. 범죄가 일어나기 전의 정상적인 영상을 범죄가 일어나는 순간에 관제센터로 전송한다면 관제요원은 해당 카메라의 영상을 보더라도 범죄 행위를 알 수 없는 문제가 있다. 그래서 전송되는 영상이 현재 일어나고 있는 상황을 찍은 것임을 보장할 수 있는 방법이 필요하다.

 

DF-2  영상 데이터의 재전송이 탐지되면 관리자에게 경고를 보낼 수 있어야 한다.

 

영상 데이터가 재전송 되었음이 파악되면 즉시 관리자에게 알려서 적절한 대응을 할 수 있도록 해야 한다.

 

DF-3  카메라와 서버 간의 time 을 동기화할 수 있는 기능을 제공해야 한다

 

재전송을 탐지하기 위해서 time stamp 를 이용할 경우에 카메라가 서버에 연결될 때 time 동기화를 하고, 이후에 계속 time 의 오차가 허용범위 내에서 유지되도록 하는 방법이 필요하다.

 

DF-4  카메라와 서버 간의 counter를 동기화할 수 있는 기능을 제공해야 한다.

 

재전송을 탐지하기 위해서 counter 를 이용할 경우에 카메라가 서버에 연결될 때 counter 초기화를 해야 하고, 데이터 전송 중 오류 등으로 인해 counter 가 동기화되지 않는 경우에 안전하게 초기화할 수 있는 방법을 제공해야 한다.

 

6.4. 카메라 침해 방지

 

IP-1   소프트웨어 보안 업데이트 기능을 제공해야 한다.

 

임베디드 OS 상에서 여러 소프트웨어들이 동시에 구동되는 카메라의 경우에 OS나 소프트웨어에 보안 취약점이 있으면 이를 이용한 공격이 가능해진다. 따라서, OS와 소프트웨어의 보안 업데이트를 최신으로 유지할 수 있는 방법이 필요하다.

 

IP-2   카메라에 원격 접근을 하기 위해서는 인증을 거쳐야 한다.

 

많은 카메라가 원격지에 있을 경우에 카메라 시스템 관리를 위해서 원격으로 접속하는 경우가 많다. 따라서, 원격 접근 사용자를 인증하고, 인증 후 생성된 세션을 안전하게 유지하는 방법이 필요하다.

 

IP-3   알려진 보안 취약점을 이용한 공격이 어렵도록 보안 설정을 해야 한다.

 

설치된 OS나 소프트웨어의 기본 설정을 그대로 사용할 경우에 보안에 취약한 경우가 많이 있다. 가령, 기본적으로 존재하는 불필요한 사용자 계정을 삭제하고 꼭 필요한 네트워크 포트만 오픈하는 등의 설정을 해야 한다.

 

IP-4   카메라 시스템의 보안 수준을 검증할 수 있어야 한다.

 

위의 카메라 침해 방지 기능들이 모두 적용되어 있어도 침해의 위협은 존재한다. 특히, 군사 지역과 같이 보안 수준이 높은 지역에 설치된 카메라가 해킹되어 관리자 권한이 넘어가면 보안 지역의 상황을 실시간으로 관찰할 수 있게 되어서 큰 문제가 된다. 따라서, 카메라가 설치될 때 그리고 수시로 카메라에 대한 침투 테스트를 실시하여 카메라의 보안 수준을 검증할 필요가 있다.

 

6.5. 서비스 가용성

 

SA-1  서비스 연속성을 보장하는 소프트웨어 업데이트가 가능해야 한다.

 

카메라 관리 목적 또는 보안상의 이유로 업데이트를 해야 하는 경우에 카메라 동작을 멈추지 않아야 연속적인 감시라는 본래의 목적에 부합하게 된다. 영상 압축 기능을 하는 프로세스와 같이 항상 동작하고 있어야 하는 프로세스를 종료하지 않고 업데이트를 할 수 있는 방법이 필요하다.

 

SA-2  프로세스별로 사용할 수 있는 시스템 자원을 제한할 수 있어야 한다.

 

서비스 거부 공격은 대상 시스템이 수용할 수 있는 이상의 서비스 요청을 보내고, 요청된 서비스를 처리하기 위해서 많은 시스템 자원을 이용하게 함으로써 시스템이 정지하거나 정상적인 서비스를 제공하기 못하게 한다. 따라서 서비스 거부 공격의 대상이 될 수 있는 프로세스들이 사용할 수 있는 시스템 자원을 제한함으로써 공격을 받더라도 시스템 자원을 무제한 사용할 수 없게 함으로써 다른 서비스들이 제공될 수 있도록 해야 한다. 감시 카메라에서 가장 중요한 서비스는 영상 전송이기 때문에 영상 압축 및 전송을 위해 필요한 최소한의 자원을 남겨 두고 나머지 프로세스들에 자원을 할당해야 한다.

 

SA-3  서비스 거부 공격을 탐지하고 대응할 수 있어야 한다.

 

네트워크를 통한 서비스 거부 공격이 발생되면 이를 탐지하고 대응하는 기능이 필요하다. 일반적으로 서비스 거부 공격을 완벽히 막는 것은 불가능하다고 알려져 있지만, 서비스 거부 공격 탐지 기능을 이용하여 공격 피해를 최대한 줄일 수 있도록 해야 한다.

 

SA-4  서비스 장애가 발생하면 관리자에게 경고를 보낼 수 있어야 한다.

 

영상 전송이 불가능해지면 해당 지역에서 일어나는 일을 알 수 없고, 범죄 행위 등을 위해서 의도적으로 서비스 장애를 일으켰을 수도 있기 때문에 서비스 장애가 일어나면 이를 탐지하고 관리자에게 경고를 할 수 있도록 해야 한다.

 

6.6. 프라이버시 보호

 

PR-1  영상에서 프라이버시 보호를 위해서 중요한 영역은 마스킹할 수 있어야 한다.

 

감시 카메라에 찍힌 영상에서 개인 프라이버시와 관련된 정보는 얼굴 또는 자동차 번호판 등과 같이 일부 영역이고 나머지 부분들은 프라이버시 보호에 위협이 되지 않는다. 따라서, 프라이버시 보호를 위해서 보호되어야 하는 대상을 정의하고 영상 내에서 이러한 대상 영역을 자동으로 탐지하는 기술이 필요하다. 프라이버시 민감 영역이 파악되면 해당 영역을 식별할 수 없도록 마스킹 해야 하는데, 범죄 수사와 같은 정당한 이유로 인해서 프라이버시 민감 영역의 정보를 복원해야 하는 경우에 대비해서 복원이 가능한 방식으로 마스킹을 해야 한다.

 

PR-2  마스킹이 된 영상을 재생할 수 있도록 영상압축 표준을 준수하는 마스킹 기능을 제공해야 한다.

 

마스킹이 적용된 영상에서 마스킹을 해제하지 않고 관제가 가능하도록 하기 위해서는 마스킹이 적용된 영상 데이터의 압축을 풀 수 있어야 한다. 따라서 마스킹을 적용 후에 영상 데이터가 영상 압축 표준을 준수하도록 해야 한다.

 

6.7. 카메라에 대한 물리적 공격 탐지 및 대응

 

PA-1  카메라에 대한 물리적 접근을 통제할 수 있어야 한다.

 

외부에 설치된 카메라는 항상 도난 또는 파손의 위험에 놓여 있다. 따라서 카메라가 도난이 되거나 파손되었을 때 관제 센터에서 이를 알 수 있도록 해야 하고, 도난 시에는 카메라 동작을 정지시켜서 민감한 정보의 유출을 최소화해야 한다. 도난을 탐지하기 위해서 기본적으로 네트워크 연결이 끊기거나, 카메라를 비정상적인 방법으로 분해하고자 하는 것을 알 수 있도록 해야 한다.

 

PA-2  비휘발성 저장공간에 기록되는 데이터를 최소화해야 한다.

 

하드 디스크나 ROM 과 같이 비휘발성 매체에 저장된 정보는 카메라 동작이 정지되더라도 남아 있으므로 물리적 공격의 주요 대상이 될 수 있다. 그래서 중요 정보는 최대한 휘발성 저장 공간인 메모리 등에 저장하여 유출의 위험을 줄여야 한다.

 

PA-3  카메라 내부에 저장되는 데이터를 최소화해야 한다.

 

비휘발성 매체에 데이터를 꼭 저장해야 하는 경우라면 저장되는 데이터를 최소화해야 하고, 휘발성 저장 공간이라고 하더라도 전원 공급이 끊기 이후에 어느 정도의 데이터는 복원할 수 있기 때문에 저장되는 데이터를 최소화해야 한다. 더 이상 사용하지 않는 키는 삭제해야 하고, 촬영한 영상은 실시간으로 전송하고 카메라 내부에는 저장하지 않도록 해야 한다.

 

PA-4  카메라에 촬영되는 영상에서 비정상적 패턴을 탐지할 수 있어야 한다.

 

카메라 영상 센싱부에 직접 접근할 수 있으면 센싱부를 가리거나 훼손함으로써 영상 촬영이 안되게 할 수 있다. 이러한 공격이 발생하면 입력 영상이 급격히 변하게 되므로 입력 영상의 비정상적 변화를 탐지하고 관제 센터에서 알 수 있도록 하는 방법이 필요하다.