인공지능과 영상 처리 기술의 발전으로 CCTV를 포함한 영상 감시 산업은 급격히 성장하고 있습니다. 하지만 이러한 기술 발전은 개인의 프라이버시 침해와 개인정보 유출이라는 심각한 문제를 동반하고 있습니다. 특히, 감시 시스템의 중심에 있는 NVR은 그 중요성에도 불구하고, 보안 취약점에 대한 연구와 관심이 상대적으로 부족한 상황입니다. 본 발표에서는 NVR의 공급망 보안 문제와 실제 프라이버시 침해 가능성을 구체적으로 분석합니다. 시장 점유율이 높은 Hikvision과 Dahua, 그리고 Synology의 Surveillance Station을 분석 대상으로 선정하였으며, 이 과정에서 발견한 다양한 취약점과 이를 통해 발생할 수 있는 공격 시나리오를 공유합니다. 우리는 파일 시스템 추출 과정에서 발생한 여러 도전 과제, 예를 들어 부트로더(U-Boot) 보호장치 우회와 같은 문제를 부 채널 공격, OS 명령어 주입, 정보 유출 기법 등을 활용하여 해결하였습니다. 파일 시스템 추출 이후 다양한 분석 방법론을 통해 여러 종류의 취약점을 발견하였고, 해당 과정에서 발견한 취약점은 단순한 임베디드 시스템의 전형적 문제를 넘어, NVR이 가진 특수한 환경에서 발생 가능한 시나리오로 작성하였습니다. 예를 들어, NVR에서 사용되는 API를 이용한 영상 탈취 시나리오, 관리자 패스워드 초기화를 통한 영상 탈취 시나리오 등을 포함합니다. 마지막으로 이러한 취약점들이 공급망을 통해 확산되는 과정을 검증하였고, 파급력을 확장 시킬 수 있었습니다. 이러한 내용들을 통해 연구자들은 영상 감시 시스템 및 이와 유사한 시스템에서 취약점을 발견하거나 이를 익스플로잇할 수 있는 통찰력을 얻을 수 있으며, 공급망 보안의 중요성을 강화하기 위한 아이디어를 얻는 계기가 될 것입니다.