SBS Biz

[자료=한국소비자원]

최근 일부 로봇 청소기 제품에 대한 해킹 사건으로 사생활 침해 우려가 커진 가운데, 실제로 일부 제품에 카메라 등을 통한 사생활 침해와 개인정보 유출 가능성이 있는 것으로 나타났습니다.



한국소비자원은 한국인터넷진흥원과 시중에 유통 중인 로봇청소기 6개 제품의 보안 실태를 조사한 결과, 일부 제품에 사생활 침해와 개인정보 유출 가능성이 있어 즉시 조치했다고 오늘(2일) 밝혔습니다.

소비자원은 조사 대상 제품에 대해 로봇청소기를 제어·설정하는 '모바일앱 보안', 제조사의 보안 업데이트 정책·개인정보 보호정책 등 운영을 포함한 '정책 관리', 하드웨어·네트워크·펌웨어(내장 소프트웨어) 등 '기기 보안' 분야로 나눠 총 40개 항목을 점검했습니다.

소비자원이 조사 대상으로 선정한 품목은 △나르왈 '프레오 Z 울트라' △드리미 'X50 울트라' △로보락 'S9 MaxV Ultra' △삼성전자 '비스포크 AI 스팀' △에코백스 '디봇 X8 프로 옴니' △LG전자 '코드제로 로보킹 AI 올인원' 등 총 6개 제품입니다.

모바일앱 보안 점검 결과, 나르왈, 드리미, 에코백스 등 3개 제품은 사용자 인증 절차가 미비해 불법적인 접근이나 조작 가능성이 있었습니다.



특히, 집 내부를 촬영한 사진이 외부로 노출되거나 카메라 기능이 강제로 활성화되는 등 사생활이 노출될 수 있는 보안 취약점이 확인됐습니다.

구체적으로 나르왈, 드리미, 에코백스 등 3개 제품은 모바일앱의 인증 절차 또는 보안이 미흡해 비인가 사용자의 접근이 가능했습니다.

나르왈과 에코백스 제품은 별도의 인증 없이 사용자의 저장된 사진 또는 영상을 조회할 수 있었으며, 공격자 등 제3자가 별도 인증 없이 사용자의 개인키 또는 식별자(ID) 정보를 획득한 후 클라우드 서버에 전송 및 저장된 집 내부 촬영 사진이나 영상에 접근할 수 있었습니다.

해당 취약점은 보안 전문 인력의 고도화된 공격 시나리오에 기반해 도출된 결과로, 특정 수준 이상의 보안 기술과 도구를 보유한 공격자에 의해 악용될 가능성이 있다고 소비자원은 지적했습니다.

정책 관리 점검에서는 드리미 제품의 개인정보 관리가 미흡해 이름, 연락처 등 사용자의 개인정보 유출 우려가 있는 취약점이 발견됐습니다.

이는 일반적인 사용 환경에서는 발생하기 쉽지 않지만, 특정 수준 이상의 해커에 의해 악용될 수 있는 만큼 사업자에게 즉시 조치해 개선 완료했다고 소비자원은 밝혔습니다.

기기 보안 점검에서는 드리미와 에코백스 제품의 하드웨어 보안 수준이 상대적으로 낮았습니다.

조사대상 제품은 전반적으로 펌웨어 보안 설정이 충분하지 않아 기기의 내부 보안 구조가 외부에 노출될 가능성이 있는 것으로 나타났습니다.

조사대상 6개 중 삼성전자와 LG전자 제품이 접근 권한 설정과 불법 조작을 방지하는 기능, 안전한 패스워드 정책, 업데이트 정책 등이 비교적 잘 마련돼 있어 종합적인 평가에서 상대적으로 우수했습니다.

소비자원은 조사대상 모든 사업자에게 모바일앱 인증 절차, 하드웨어 보호, 펌웨어 보안 등 부족한 부분에 대해 보안성 향상을 위한 조치를 권고했습니다.

이에 전체 조사대상 6개 사업자는 소비자원의 권고에 따라 품질 개선 계획을 회신했습니다.

소비자원은 "로봇청소기 사용 시 안전한 비밀번호를 설정하고 주기적으로 보안 업데이트를 하는 등 기본적인 보안에 주의해달라"고 당부했습니다.

소비자원은 한국인터넷진흥원과 협력해 로봇청소기 등 사물인터넷(IoT) 제품의 보안 관리 강화를 위한 점검을 지속적으로 추진할 계획입니다.

또한, 과학기술정보통신부와 이번 조사 결과에 따른 보안 이슈를 공유하고 사물인터넷 제품의 보안성 제고를 위한 정책·기술적 협력을 확대해 나갈 예정입니다.