투데이e코노믹 = 이혜진 기자 | 청소이모님으로 대접받는 로봇청소기. 시중에 유통되는 일부 로봇청소기가 사생활 침해와 개인정보 유출 가능성이 발견됐다.

한국소비자원은 인터넷진흥원과 시중에 유통중인 6개 제품의 보안 실태를 조사했다. 최근 미국에서 로봇청소기가 촬영한 화장실 내부사진이 SNS를 통해 확산되고, 해킹된 중국산 로봇청소기에서 인종차별적 욕설이 나오는 등 로봇청소기 보안 관련 소비자 불안이 가중되어 왔다.

최근 출시되는 로봇청소기는 카메라와 센서를 통해 외부 서버와 통신하는 사물인터넷(IoT) 제품이다. 사물인터넷이란 센서와 프로세서를 장착하여 정보를 수집하고 관리할 수 있도록 인터넷으로 연결되어 있는 시스템을 말한다. 즉 사물인터넷이 적용된 로봇청소기는 집안 구조를 인식하기 위해 카메라와 센서를 이용해 데이터를 수집한다.

문제는 보안성이다. 보안이 취약하여 불법적인 접근이나 조작 가능성이 있을 경우 집 내부를 촬영한 사진이 외부로 노출되거나 카메라 기능이 강제로 활성화 되는 등 사생활이 그대로 노출될 수 있다.

'중국산' 나르왈 · 드리미 · 에코백스, 보안에 취약

전문인력의 공격 시나리오에 기반하여 도출된 결과 나르왈, 드리미, 에코백스는 모바일앱의 인증 절차 또는 보안이 미흡하여 비인가 사용자의 접근이 가능했다. 나르왈, 에코백스는 별도 인증 없이 사용자의 저장된 사진 또는 영상을 조회할 수 있었다. 해커 등 제3자가 별도 인증없이 사용자의 개인키 또는 식별자 정보를 획득한 후 클라우드 서버에 전송하거나 저장된 집 내부 촬영 사진이나 영상에 접근이 가능했다.

드리미 경우 카메라 기능을 강제로 활성화가 가능했다. 기존 사용자가 타 사용자에게 청사나 맵 정보 등 일부 기능의 권한을 공유하게 되면 해커 등 제3자가 부여받은 권한 외 기능(카메라)를 강제로 활성화할 수 있었다.

또한 드리미의 경우, 개인정보 관리가 미흡하여 이름, 연락처 등 사용자의 개인정보 유출 우려가 있는 취약점도 발견됐다. 하드웨어 보안 수준도 상대적으로 낮았다. 전반적으로 펌웨어 보안 설정이 충분하지 않아 기기의 내부 보안 구조가 외부에 노출될 가능성이 있는 것으로 나타났다.

에코백스는 사용자의 사진첩에 악의적인 사진 파일을 전송할 수 있었다. 최초 사용자가 모바일앱에 사용자 등록을 하게 되면 해커 등 제3자가 사용자의 ID를 변조하여 사용자의 사진첩에 악성 사진 파일을 저장할 수 있어 불특정 다수가 악성파일에 노출될 가능성이 있었다. 하드웨어 보안 수준도 상대적으로 낮았다.

로보락은 나르왈, 드리미, 에코백스와 더불어 안전한 패스워드 정책에 미흡함을 보였다.

'한국산' 삼성 · LG 제품, 종합적인 보안성 평가 우수

'한국산' 삼성·LG은 종합적인 보안성 평가에서 상대적으로 우수했다. 접근 권한 설정과 불법 조작을 방지하는 기능, 안전한 패스워드 정책, 업데이트 정책 등이 비교적 잘 마련되어 있었다.

이에 일부 소비자들은 "중국산 쓰다가 사생활 다 털린다"며 불신을 나타내고 있는 실정이다.

한국소비자원은 조사대상 모든 사업자에게 모바일앱 인증 절차, 하드웨어 보호, 펌웨어 보안 등 부족한 부분에 대해 보안성 향상을 위한 조치를 권고했다. 소비자에게는 로봇청소기 사용 시 안전한 비밀번호를 설정하고 주기적으로 보안 업데이트를 하는 등 기본적인 보안에 주의할 것을 당부했다.