미국에서는 경찰 등에 개인용 비디오 녹화장치를 활발하게 보급했다. 법 집행 시나리오에 관련된 제3자 디지털 증인을 확보하기 위함이다. 일명 경찰용 바디캠police body cam이라고 불리우는 개인용 카메라를 착용하면 근무 중 상황이 모두 녹화되어 체포·검문 등에 따른 갈등 요소를 줄일 수 있다는 점에서 긍정적인 평가를 받은 것이다. 하지만 이 경찰용 바디캠에서 심각한 보안 위협이 발견되어 우려를 낳고 있다.
각 경찰들의 업무 집행 상황을 여과없이 녹화하여 법 집행의 투명성을 높이고, 신뢰성을 향상시킬 수 있다는 점이 경찰용 바디캠의 순기능인데, 만약 이 영상이 유출될 경우에는 피의자의 인권 침해 등 수많은 부작용이 발생될 수 있다. 뉴윅Nuix이라는 보안업체의 컨설턴트인 조쉬 미첼은 널리 사용되고 있는 5개 브랜드의 경찰용 바디 카메라의 취약점을 찾아내 보완을 요구했다. VIEVU, Patrol Eyes, Fire Cam, Digital Ally, CEESC 등 5개 브랜드 모두가 심각한 보안 취약점을 내재해 시한폭탄과 같은 위험성을 갖고 있다는 것이 미첼 컨설턴트의 주장이다.
가장 큰 문제는 보안에 대한 고려가 거의 없는 수준에 가깝다는 것. 이는 와이파이 암호 취금에서 단적으로 드러난다. 제3자가 쉽게 알 수 있는 팩토리 패스워드가 사용되는 등 알려진 보안 취약점이 그대로 나타났다. 더 큰 문제는 디지털 서명이 전혀 이뤄지지 않았다는 점이다. 디지털 서명을 활용하지 않기에 장면 조작 여부를 확인할 수 없으며, 이는 악의적 공격자에 의해 영상 조작이 가능함을 의미한다. 미첼 컨설턴트에 따르면, 5개 바디 카메라 제조사 중 어떤 제조사도 디지털 서명을 활용하지 않았다.
디지털 서명을 활용하지 않는다는 건 업데이트 패치로 위장한 멀웨어의 침투가 가능다는 말이다. 바디 카메라가 패치의 진위를 확인하지 않고 업데이트하고 있기에 마음만 먹으면, 악성코드를 업데이트 패치로 위장시켜 바디 카메라에 침투시킬 수 있는 것. 바디 카메라는 데이터 전송을 위해 경찰 네트워크로 연결되기 때문에 카메라의 악성코드가 경찰 내부 네트워크로 흘러들어갈 수 있다.
미첼 컨설턴트는 “바디 카메라는 가슴에 휴대하는 완전한 기능의 컴퓨터”라며 “따라서 PC에서 요구되는 보안 메커니즘과 동일한 수준의 보안 정책이 필요하다”고 강조했다.
한편 미첼 커널턴트는 바디 카메라 제조사에 취약점에 대해 알렸다. 이에 각 제조사는 취약점 해소를 위한 패치 작업을 진행하고 있다.
