LG이노텍의 카메라서 패치 안 되는 고위험군 취약점 나와

LG이노텍에서 제조한 LNV5110R CCTV 카메라 모델에서 원격 공격 취약점이 발견됐다. 이를 익스플로잇 하는 데 성공할 경우 공격자는 피해 카메라 장비의 전체 관리자 권한을 얻어낼 수 있게 된다고 한다. 이 취약점은 CVE-2025-7742로, CVSS 4 기준 고위험군으로 분류됐다. 

미국 사이버 보안 전담 기관인 CISA가 7월 24일 공개한 바에 의하면 이 취약점은 LNV5110R 모델 전 버전에서 발견되고 있다고 한다. 또한 기본적으로 인증 장치를 우회하게 해 주는 취약점이라고 설명하기도 했다. 참고로 CVSS 3에 따르면 7.0점인데, 이 역시 고위험군이다. CWE 체계로서는 CWE-288로 분류됐다.

“공격자가 HTTP POST 요청을 장치의 디스크 저장소에 업로드 할 수 있게 해 주는 취약점입니다. 네트워크 기반 공격을 할 수 있게 해 주며, 사용자가 별 다른 상호작용(파일 열기나 링크 클릭 등)을 하지 않아도 익스플로잇 할 수 있다는 점이 특히 치명적입니다. 문제의 장비들이 외부에 노출된 경우가 많기 때문에 악용 소지가 높습니다.” CISA의 설명이다.

LG이노텍의 카메라는 전 세계적으로 인기가 높은 상품이다. 따라서 이번에 발견된 취약점이 갖는 파급력은 꽤나 크다고 할 수 있다. 이 취약점을 먼저 발견해 제보한 보안 전문가 수빅 칸다르(Souvik Kandar)는 “국경을 초월하는 영향력”이라는 표현을 동원하기도 했다. 

문제는 제조사 측으로부터 패치가 제공되지 않을 거라는 것이다. LG이노텍은 취약점이 있다는 사실을 인정하고는 있지만 “LNV5110R 모델은 이미 단종됐다”며 “단종된 모델에 대해서는 보안 패치를 개발하지 않는다”고 밝혔다. 따라서 사용자들은 위험 부담을 안고 장비를 계속 유지하거나, 새 장비를 구매해야 하는 상황이다.

그래서 CISA는 다음과 같은 권고 사항을 배포했다. 

1) LNV5110R 모델을 사용하고 있다면, 해당 장비를 인터넷에 연결하지 않는다.

2) 방화벽 배치를 조정함으로써 카메라 제어 시스템과 업무 네트워크를 분리한다.

3) 장비를 원격에서 접근해야 할 때, VPN을 이용한다.

4) 위험 평가를 수행하여, 적절한 대체 장비를 물색한다.

한 가지 안심인 점은 공격 난이도가 꽤 높다는 것이다. 하지만 이것이 훌륭한 방어책이 되는 경우는 드물다. 사이버 공격자들 중 국가 지원을 받는 APT 조직들은 공격 난이도와 상관 없이 자신들이 원하는 바를 달성시키기 때문이다.

장비 생애주기와 취약점

LG이노텍에서 단종을 이유로 들며 패치를 하지 않겠다고 한 것은 제조사와 개발사들 사이에서 흔히 볼 수 있는 대응이다. 또한 현 시점 기준, 잘못된 것도 아니다. 하드웨어나 소프트웨어 제품 모두, 최초 제작 혹은 개발한 측에서 영원토록 패치를 해줄 수 없기 때문이다. 어떤 물건이나 결국 수명을 다 할 수밖에 없다. 구매 당시 소비자에게 ‘n년 동안만 지원한다’고 알려줬다면, 문제될 게 없다. 다만 이 햇수를 일방적으로 제조사와 개발사에서 지정한다는 것에는 이견이 갈리기도 한다. 

기업 입장에서 기술이 오래되고, 판매량이 감소하며, 관련 규제가 변해서 제품을 단종시킬 수밖에 없다고 한다면, 그리고 그런 입장이 법으로서도 보장이 된다면, 소비자는 어떻게 해야 할까? 안전을 위해 투자한다고 생각하고 주기적으로 장비 교체를 위해 돈을 지불하는 게 맞는 걸까? 기업은 그런 이유들을 핑계로 사실 신제품을 적극 시장에 풀어 판매량을 늘리는 건 아닐까? 소비자로서는 이해가 가면서도 석연치 않은 지출이 이어지는 게 불만일 수 있다.

이 문제는 의외로 환경 분야에서 해결책을 제시할 수도 있을 것으로 예상된다. 유럽연합은 새 제품이 자꾸만 생산되고 또 버려지는 것이 환경에 좋지 않아 “모든 제조사들이 오래 쓸 수 있는 제품을 만들어야 한다”는 내용의 에코디자인 지침(Ecodesign Directive)을 시행하고 있으며, 소비자가 자신이 구매한 제품을 직접 수리할 수 있다는 내용의 ‘수리할 권리’를 적극 권장하고 있기도 하다. 미국은 아직 주별로 차이가 크지만 ‘수리할 권리’를 인정하는 주가 늘어나는 추세다.

Related Materials

• No Patch for Flaw Exposing Hundreds of LG Cameras to Remote Hacking - SecurityWeek , 2025년
• LG Innotek Camera Model LNV5110R Authentication Bypass Vulnerability - CISA 공식 권고문 , 2025년
• Unpatched flaw in EoL LG LNV5110R cameras lets hackers gain Admin access - Security Affairs 분석 보고서 , 2025년
• LG Innotek Camera Flaws Could Give Hackers Full Admin Access - GBHackers , 2025년

공원 등 175개 CCTV 보안 ‘취약’

💡Editor Pick - 개인정보위, 공익신고된 175개 IP 카메라 점검 결과 보안 취약 - IP주소 공개 설정해 외부 접속 허용...비밀번호 1234 해킹에 취약 아파트, 상가, 공원, 도로 등에 설치된 관제목적의 IP 카메라가 보안이 취약한 것으로 드러났다. 개인정보위가 공익신고된 개인정보 침해 우려 175개 IP 카메라 조사결과, 175개 운영자는 영상정보처리기기인 네트워크 비디오

The Tech EdgeCheifEditor