CISA, Honeywell CCTV ‘CVE-2026-1670’ 경고…무인증으로 계정 복구 경로 악용 가능성, 보스턴 소규모 사업장도 모델·버전 점검 필요

미국 사이버보안·인프라보안국(CISA)이 Honeywell(하니웰) CCTV 일부 제품에서 치명적 취약점 ‘CVE-2026-1670’을 경고했다. CISA가 공개한 기술 요약에 따르면, 핵심 기능에서 인증이 누락된(‘Missing Authentication for Critical Function’) 구조로 인해 인증되지 않은 공격자가 “비밀번호 찾기(계정 복구)용 이메일 주소”를 원격에서 변경할 수 있고, 그 결과 계정 탈취 및 카메라 영상 피드에 대한 무단 접근으로 이어질 가능성이 거론된다.

이번 이슈가 보스턴 지역 한인 유학생·거주민에게도 실무적으로 의미가 있는 이유는, 중소 규모 환경에서 흔히 쓰이는 CCTV 운영 형태와 겹치기 때문이다. 예를 들어 (1) 올스턴·브라이턴 일대의 식당/카페가 매장 내부·출입구 모니터링용으로 설치한 IP 카메라, (2) 콘도·아파트 관리사무소가 공용공간 감시를 위해 운영하는 카메라, (3) 연구실·창고 출입 통제 보조용 카메라처럼 “보안 목적의 장비”가 네트워크 관점에서는 또 하나의 인터넷 기기(IoT)로 동작하는 구성이 흔하다. 계정이 탈취될 경우 영상 노출뿐 아니라, 설정 변경(알림/녹화 비활성화 등)과 운영자 추가 같은 관리 기능이 악용될 여지도 생긴다.

독자가 가장 먼저 확인해야 할 핵심은 ‘우리 매장/건물의 모델과 펌웨어(버전)가 정확히 무엇인지’다. CISA의 ICSA-26-048-04(2026년 2월 17일자) 및 연동된 보안 데이터(NVD 등)에 기재된 영향 대상은 아래처럼 “모델 + 버전 문자열”로 특정돼 있다.

• Honeywell I-HIB2PI-UL 2MP IP: 6.1.22.1216
• Honeywell SMB NDAA MVO-3: WDR_2MP_32M_PTZ_v2.0
• Honeywell PTZ WDR 2MP 32M: WDR_2MP_32M_PTZ_v2.0
• Honeywell 25M IPC: WDR_2MP_32M_PTZ_v2.0

현장에서 혼동이 잦은 지점은 “모델명이 유사해도 펌웨어/리비전이 다르면 영향 여부가 달라질 수 있다”는 점이다. 따라서 ‘하니웰 카메라면 전부 위험’처럼 단정하기보다는, 장비별 모델·버전을 먼저 확인한 뒤 조치 우선순위를 정하는 편이 현실적이다.

사례로 보는 리스크는 비교적 단순하다. 카메라 관리 페이지가 외부에서 바로 접근 가능한 상태(포트포워딩, 인터넷 노출, 약한 관리자 계정, 원격접속 편의 설정 등)로 운영될 때, 공격자는 계정 복구 이메일을 바꾼 뒤 비밀번호 재설정을 유도해 계정 소유권을 가져가려 할 수 있다. 이후 관리자 권한으로 영상 열람, 설정 변경, 사용자 추가가 가능해지면 “보안 장비가 오히려 흔적을 지우는 도구”로 전환되는 역설이 생길 수 있다.

실무 관점에서 비용 대비 효과가 높은 점검 순서는 다음과 같다.

1. 인벤토리 확정: 매장/사무실/건물에서 운영 중인 카메라의 모델명과 펌웨어 버전을 관리자 콘솔에서 확인한다. 설치업체(MSP/보안설치업체)가 관리한다면 “모델·버전 목록”을 요청해 문서로 남긴다.
2. 인터넷 노출 여부 점검: 관리 페이지가 공인 IP로 열리거나 라우터 포트포워딩이 걸려 있다면 우선 중지 여부를 검토한다. 원격 접속이 꼭 필요하면 기기를 직접 노출하기보다 VPN 등 보다 통제 가능한 방식으로 전환을 고려한다.
3. 업데이트/완화책 확인: 일부 보도에서는 하니웰이 공지보다 고객 지원 경로로 패치 안내를 제공한다고 전했지만, 확인 가능한 공식 경로 기준으로는 CISA 권고에 따라 Honeywell 지원 채널을 통해 해당 모델의 패치 정보 및 권장 완화책을 확인하는 방식이 가장 정합적이다(설치업체가 유지보수를 맡는 경우, 지원 티켓 생성·펌웨어 적용 계획을 업체 측과 함께 정리하는 것이 일반적이다).
4. 계정·복구 채널 정리: 관리자 비밀번호를 재설정하고 관리자 계정 수를 최소화한다. 계정 복구 이메일이 개인 메일로 흩어져 있다면, 조직용 공용 보안메일(접근 통제·로그 확인이 가능한 계정)로 정리하는 방안을 검토한다.
5. 네트워크 분리: 카메라/녹화장치(NVR)를 직원 PC·POS·업무 서버와 같은 네트워크에 두기보다 분리 VLAN/별도 SSID로 격리하고, 방화벽에서 필요한 목적지로만 통신하도록 제한한다.

유학생·교민 독자 입장에서는 장비를 직접 관리하지 않더라도 확인할 수 있는 질문이 있다. 기숙사·하우징·콘도 거주자는 관리사무소나 집주인에게 “공용 CCTV가 외부에서 직접 접속되는 구조인지”와 “관리자 계정/복구 이메일이 특정 개인에게만 묶여 방치돼 있지 않은지”를 물어볼 수 있다. 개인이 임의로 설정을 바꾸기보다는, 관리 주체가 업데이트·격리 조치를 진행하도록 요청하는 편이 분쟁과 운영 리스크를 줄이는 데 도움이 된다.

마지막으로, CISA는 ICSA-26-048-04(2026년 2월 17일 공개)에서 ‘현재까지(해당 공개 시점 기준) 이 취약점을 특정해 공개적으로 확인된 악용 보고가 접수되지 않았다’고 명시했다. 다만 공개 취약점은 패치가 늦은 장비를 대상으로 한 자동 스캔·대입 시도가 늘어나는 경향이 있어, 영향 대상에 해당하는지 ‘모델·버전 문자열’로 먼저 판별한 뒤, 공식 지원 경로를 통해 업데이트/완화책을 확인하는 접근이 안전하다.