"中 로봇청소기로 집안 영상 유출 위험"

시중에 유통 중인 중국산 로봇청소기들에서 청소기를 원격 제어하는 휴대전화를 통해 가정 내 사진·영상을 외부로 빼돌릴 수 있는 등 보안에 문제가 있다는 사실이 드러났다. 인터넷망을 통해 외부 서버와 통신하는 사물인터넷(IoT) 기기의 보안 취약성을 이용해 사용자 개인정보를 빼돌리는 방식이다.

한국인터넷진흥원(KISA)은 2일 한국소비자원과 함께 시중에 유통되는 로봇청소기 6개 제품의 보안 실태를 조사한 결과를 공개했다. 조사 결과 중국 나르왈, 드리미, 에코백스 등이 출시한 3개 제품에서 사생활이 침해될 수 있는 보안 취약점이 발견됐다. 로봇청소기는 카메라와 센서를 통해 외부 서버와 통신하는 IoT 제품이다.

KISA와 소비자원은 로봇청소기를 제어·설정하는 ‘모바일 앱 보안’, 제조사 보안 업데이트 정책·개인정보 보호정책 등을 포함한 ‘정책관리’, 하드웨어·네트워크·내장 소프트웨어(SW) 등 ‘기기 보안’ 분야로 구분해 총 40개 항목을 점검했다. 모바일 앱 보안 점검에선 나르왈·드리미·에코백스 제품의 보안 취약점이 확인됐다. 이들 제품은 사용자 인증 절차가 미비해 불법적 접근이나 조작 가능성이 있었다. 이로 인해 집 내부를 촬영한 사진이 외부에 노출될 수 있다는 지적이다. 또 카메라 기능을 강제로 활성화해 사생활이 노출될 가능성도 제기됐다.

취약점이 드러난 제품은 나르왈 ‘프레오 Z 울트라’, 드리미 ‘X50 울트라’, 에코백스 ‘디봇 X8 프로 옴니’였다. 프레오 Z 울트라는 사진 조회·탈취 가능성이 문제로 꼽혔다. X50 울트라와 디봇 X8 프로 옴니는 각각 카메라 기능 강제 활성화, 사진 조회·탈취 및 악성 파일 전송 가능성이 지적됐다.

정책 관리 점검에선 드리미 제품이 개인정보 관리에 미흡한 것으로 나타났다. 이름·연락처 등 사용자 개인정보가 유출될 우려가 있는 취약점이 발견됐다는 설명이다. 일반적인 사용 환경에선 악용 가능성이 다소 낮지만 특정 수준 이상의 해커에 의해 악용될 소지가 있는 것으로 파악됐다. 드리미는 보완 조치를 통해 이 문제를 개선했다. 기기 보안 점검에선 드리미·에코백스 2개 제품의 하드웨어 보안 수준이 상대적으로 낮게 조사됐다.

삼성전자와 LG전자 제품은 접근 권한 설정, 불법 조작 방지 기능, 안전한 패스워드 정책, 업데이트 정책 등이 비교적 우수했다. 국내 시장 점유율 1위를 달리는 중국 로보락도 모든 점검 부문에서 우수하거나 양호한 수준을 보였다. KISA와 소비자원은 모든 조사 대상 사업자에게 개선 조치를 권고했다. 사용자에겐 로봇청소기를 사용할 때 안전한 비밀번호를 설정하고 주기적으로 보안 업데이트를 할 것을 당부했다. 과학기술정보통신부와는 이번 조사 결과로 확인된 보안 문제를 공유하고 IoT 제품 보안성을 제고할 수 있도록 정책·기술적 협력을 확대하기로 했다.

IoT를 이용한 보안 사고는 증가 추세다. 휴대폰, 컴퓨터와 달리 상대적으로 보안 SW 업데이트 주기가 긴 IoT 기기의 보안 구멍을 악용한 것이다. 특히 아파트 내부 기기, CCTV 등은 개인적인 관리가 어려워 해킹 사고에 무방비로 노출된 상태다. KISA는 “정부 차원의 보안 점검이 주기적으로 이뤄져야 한다”며 “IoT 제품의 보안 제고를 위한 정책·기술적 협력을 확대할 예정”이라고 밝혔다.

최지희 기자 mymasaki@hankyung.com