세계일보

중국산 로봇청소기가 보안에 취약해 연락처 등 개인정보가 노출되거나 제3자가 집 내부 사진을 볼 수 있는 등 사생활 유출 가능성이 높은 것으로 나타났다. 

한국소비자원(소비자원)은 한국인터넷진흥원과 시중에 유통 중인 로봇청소기 6개 제품의 보안 실태를 조사한 결과, 일부 제품에서 사생활 침해와 개인정보 유출 가능성 등이 있어 즉시 조치했다고 2일 밝혔다.

로봇 청소기는 카메라와 센서를 통해 외부 서버와 통신하는 사물인터넷(IoT) 제품으로, 편리하고 효율적이라 최근 사용자가 증가하는 추세다.

조사 대상 중국산 제품 4개는 로보락 ‘S9 맥스V 울트라’, 드리미 ‘X50 울트라’, 에코백스 ‘디봇 X8 프로 옴니’, 나르왈 ‘프레오 Z 울트라’였다. 나머지 2개는 국내 제품인 삼성전자 ‘비스포크 AI 스팀’과 LG전자 ‘코드제로 로보킹 AI 올인원’이었다.

소비자원은 지난 3월부터 7월까지 약 5개월 동안 조사대상 6개 제품에 대해 로봇청소기를 제어·설정하는 ‘모바일앱 보안’, 제조사의 보안 업데이트 정책·개인정보 보호정책 등 운영을 포함한 ‘정책 관리’, 하드웨어·네트워크·펌웨어(내장 소프트웨어) 등 ‘기기 보안 분야’로 나누어 총 40개 항목을 점검했다.

모바일앱 보안 점검 결과, 나르왈, 드리미, 에코백스 3개 제품은 내부 촬영 사진이 외부로 노출되거나 강제로 카메라 기능이 활성화되는 등 사생활 노출 취약점이 확인됐다. 

나르왈과 에코백스는 별도 인증 없이 공격자 등 제3자가 사용자의 저장된 집 내부 사진이나 영상을 조회할 수 있었다. 드리미는 기존 사용자가 다른 사용자에게 일부 기능 권한을 공유하게 되면 제3자가 카메라 기능을 강제로 활성화하는 게 가능했다.

정책 관리 점검 조사에서는 드리미 1개 제품에서 이름이나 연락처 등 사용자의 개인정보가 유출될 우려가 있는 것으로 확인됐다. 

기기 보안 점검에서는 드리미, 에코백스 2개 제품의 하드웨어 보안 수준이 상대적으로 낮았다. 6개 제품 모두 펌웨어 보안설정이 충분하지 않아 기기의 내부 보안 구조가 외부에 노출될 가능성이 있는 것으로 나타났다. 

조사대상 6개 중 삼성전자와 LG전자 2개 제품이 종합적인 평가에서 상대적으로 우수했다. 이들 제품은 접근 권한 설정과 불법 조작을 방지하는 기능, 안전한 패스워드 정책, 업데이트 정책 등이 비교적 잘 마련돼 있었다.

소비자원은 조사대상 모든 사업자에게 모바일앱 인증 절차, 하드웨어 보호, 펌웨어 보안 등 부족한 부분에 대해 보안성 향상을 위한 조치를 권고했다.

아울러 소비자원은 소비자에게 “로봇청소기 사용 시 안전한 비밀번호를 설정하고 주기적으로 보안 업데이트를 하는 등 기본적인 보안에 주의할 것”을 당부했다. 

[ⓒ 세계일보 & Segye.com, 무단전재 및 재배포 금지]