지난 2021년 7월 감시 카메라 등을 만드는 중국 제조사 하이크비전(Hikvision)이 제조하는 복수 네트워크 카메라에 커맨드 인젝션 취약성이 발견된 문제로 수정 패치가 적용되지 않은 제품이 범죄인에게 악용됐다고 보고됐다. 문제를 지적한 보안 기업은 취약한 상태 제품을 악용하려는 해커가 넘치고 있다고 경고하고 있다.
보안 기업 사이버파마(CYFIRMA)에 따르면 하이크비전 네트워크 카메라에서 발견된 취약점인 CVE-2021-36260을 악용하려는 해커가 러시아 범죄자 포럼에서 대량 확인됐다고 한다. 패치를 적용하지 않고 공격을 받을 가능성이 있는 카메라는 전 세계 8만 대 이상. 하이크비전은 민간과 군사용으로 모니터링 장비를 제공하고 있으며 100개 이상 국가와 2,300개 이상 조직이 영향을 받고 있다고 보고하고 있다. 취약한 카메라가 가장 많은 국가는 중국으로 1만 2,690대이며 이어 미국 1만 611대, 베트남 7,394대 순이다.
10점 만점 중 9.8점을 받은 심각한 이 취약점은 하이크비전에 의해 수정됐으며 업데이트가 배포됐다. 하지만 배포 후 거의 1년이 지난 시점에서도 취약성을 그대로 갖고 있는 카메라가 많아 공격받을 위험이 있다는 것이다. 미국 사이버보안 인프라 당국은 악용된 알려진 취약성 목록에 이번 취약점을 추가하고 민간 기관에 2022년 8월말까지 패치를 적용하도록 명령하고 있다. 관련 내용은 이곳에서 확인할 수 있다.