Shodan 역할, 사용 방법

Shodan으로 검색할 수 있는 주요 IoT 기기(CCTV, 웹캠, 프린터, 산업제어시스템)의 기기별 특징과 주요 포트, 그리고 보안상 주의해야 할 점을 정리

본 포스팅에 사용된 이미지는 학습 목적으로 Shodan 검색 결과를 인용한 것이며, 개인정보 보호 및 악용 방지를 위해 IP 주소, 위치, 고유 식별 정보 등 민감한 정보는 모두 모자이크 처리함.

---

1. CCTV (DVR, NVR)

CCTV(Closed-circuit Television, 폐쇄회로 TV)는 물리적 보안을 위해 설치, 네트워크에 연결되며 해커들의 주요 표적이 되고 있음. Shodan을 통해 관리자 페이지가 노출된 경우 존재

• 주요 제조사: Dahua, Hikvision, Hanwha Vision (구 삼성테크윈) 등

• 대표 포트 (Port):

  • 80, 443: 웹 관리 페이지 접근용 (HTTP/HTTPS)
  • 554: RTSP (Real Time Streaming Protocol); 실시간 영상 스트리밍을 위한 프로토콜로, 이 포트가 열려 있으면 영상 탈취 위험 큼.

• 주요 키워드: dvr, nvr, webcamXP, Boa, CCTV: DVR, NVR 등

• 보안 취약점 및 특징:

  • 초기 비밀번호 미변경:
    많은 기기가 출고 당시의 기본 ID/PW를 그대로 사용하고 있어 무단 접속에 취약.

  • 로그인 페이지가 노출되어 무작위 대입 공격(Brute Force)의 대상이 되기 쉬움.

CCTV Shodan 노출 사례

80번 포트가 열려있는 한국의 dvr 기기를 검색했을 때 아래와 같이 나왔다.

하나를 클릭하며 확인했을 때 각 80(HTTP), 443(HTTPS), 554(실시간 영상 스트리밍)번 포트가 열려있어서 해당 기기에 접근할 수 있었다.

해당 기기의 IP 주소를 URL에 작성하여 이동하면 아래와 같은 기기의 관리자 로그인 화면이 나온다. 관리자 화면이 노출될 경우 무차별 공격같은 웹 공격으로 인해 계정에 무단으로 공격자가 로그인할 수 있다.

웹 상에 CCTV 제조사별 초기 ID 및 비밀번호를 쉽게 구할 수 있기 때문에, 만일 초기 비밀번호를 변경하지 않았다면 쉽게 로그인하여 CCTV 정보를 확인할 수 있을 것이다.

---

2. WebCam, IP Camera

가정이나 소규모 사무실에서 사용하는 웹캠이나 IP 카메라는 보안 설정이 미흡한 경우가 많아 사생활 침해 위협이 가장 높은 기기

• 주요 특징: 별도의 NVR 장비 없이 카메라 자체적으로 웹 서버 기능을 내장하여 영상을 송출합니다.

• 대표 포트 (Port):

  • 80, 443: 웹 관리 페이지 접근용 (HTTP/HTTPS)
  • 554: RTSP (Real Time Streaming Protocol); 실시간 영상 스트리밍을 위한 프로토콜로, 이 포트가 열려 있으면 영상 탈취 위험 큼.

• 식별 방법:

  • 서버 헤더(Server Header) 정보에 webcamXP, IP Webcam 등의 소프트웨어 이름이 노출.
  • 특정 안드로이드 앱 기반의 IP Webcam 서버는 가정집 내부가 노출되는 경우가 많아 주의 필요.

• 주요 검색 키워드:

  • "webcamXP": 윈도우 기반 웹캠 소프트웨어
  • "Hikvision IP Camera": 하이크비전 IP 카메라 식별

WebCam 노출 사례

쇼단에 한국의 webcam 기기 키워드로 스크린샷 화면이 노출된 것만 검색하였다.

캠 화면이 웹 상에 노출되어 있는 것을 확인할 수 있었다.

IP Cam 노출 사례

쇼단의 한국의 IP 캠 중 특정 제조사를 키워드로 하여 검색했다.

CCTV와 비슷하게 80(HTTP)와 554(실시간 영상 스트리밍)번 포트가 열려있는 것을 확인할 수 있었다.

해당 기기의 IP 주소로 이동하면 위와 같이 관리자 페이지가 나오는데, CCTV 때와 마찬가지로 초기 비밀번호를 변경하지 않았다면 쉽게 로그인하여 CCTV 정보를 확인할 수 있을 것이다.

---

3. Network Printer (네트워크 프린터)

프린터는 단순 출력 장치로 생각하기 쉽지만, 실제로는 내부 네트워크로 진입하는 교두보로 이용 가능

• 주요 제조사: HP, Canon, Samsung (현재 HP 인수됨) 등

• 대표 포트 (Port):

  • 9100: HP JetDirect (인쇄 명령 전송용 기본 포트)
  • 631: IPP (Internet Printing Protocol)
  • 515: LPD/LPR (라인 프린터 데몬)
  • 161: SNMP (단순 망 관리 프로토콜)

• 보안 위험성:

  • 무단 인쇄: 9100 포트가 인증 없이 열려 있으면 외부에서 악의적인 문서를 마음대로 출력 가능.
  • 정보 유출: 161번(SNMP) 포트가 열려 있으면 프린터 모델명, 펌웨어 버전, 네트워크 설정 정보, 심지어 최근 인쇄된 문서의 로그(파일명, 사용자)까지 수집 가능**.

네트워크 프린터 Shodan 노출 사례

한국의 특정 제조사 프린터기기 중 HTTP (암호화되지 않은) 서버가 작동 중인 것만 검색했다.

80, 161(인터넷 프린팅 프로토콜), 631(단순 망 관리)번 포트가 열려있는 것을 확인하였다.

해당 IP 주소로 들어가면, 로그인 페이지도 없이 바로 해당 프린터 시스템에 접속할 수 있었다.

해당 프린터 기기 노출로 인해 네트워크 주소 및 사용자의 민감 정보까지 접근할 수 있었다.

---

4. 산업 제어 시스템 (ICS/SCADA)

발전소, 공장, 빌딩 제어 시스템 등 국가 기반 시설이나 산업 현장에서 사용되는 장비들. 가장 민감하고 위험도가 높은 영역

• 대표 포트 및 프로토콜:

  • 502: Modbus TCP (가장 널리 쓰이는 산업용 프로토콜)
  • 102: Siemens S7 (지멘스 PLC 통신용)
  • 20000: DNP3 (전력 시스템 등에서 사용)
  • 47808: BACnet (빌딩 자동 제어용)

• 보안 취약점 (CVE):

  • ICS 장비들은 교체가 어렵고 오래된 운영체제(예: Windows 7)를 사용하는 경우가 많아 CVE(Common Vulnerabilities and Exposures)에 등록된, 이미 알려진 취약점에 노출된 경우가 많음.
  • Shodan에서 CVE-2023-XXXX와 같은 태그가 붙은 장비들이 검색 되기도 함

• CVE ?

  • Common Vulnerabilities and Exposures
  • 공통 취약점 및 노출
  • 전 세계적으로 발견된 보안 취약점에 부여되는 고유 식별 번호 (ID)

산업 제어 시스템 노출 사례

스마트 팩토리 여튼 공장이나 빌딩의 자동화 또는 제어 시스템 기기 중 하나인 지멘스를 키워드로 하여 쇼단에 검색했다.

암호화 되지 않은 80번 포트와 502(산업용 프로토콜), 102(지멘스 PLC 통신용) 포트가 열려 있는 것을 확인하였다.

PLC는 산업 현장의 기계나 프로세서를 제어하는 산업용 컴퓨터 이다.

해당 IP 주소로 들어가보니.. 지멘스의 시스템 화면이 노출된것을 확인할 수 있었다.