우리집 엿본다니… 中로봇청소기 카메라 보안 심각

KISA·소비자원 실태 조사 결과
제3자 인증 없어도 영상 조회돼
삼성·LG 제품 상대적으로 우수

국내에 유통 중인 중국 로봇청소기에서 사생활 침해와 개인정보 유출 가능성 등 보안 취약점이 다수 발견된 것으로 나타났다.

한국인터넷진흥원(KISA)는 한국소비자원과 함께 시중에 판매 중인 로봇청소기 6종의 보안 실태에 대해 지난 3월부터 5개월여간 조사한 결과 이 같이 밝혀졌다고 2일 발표했다. 이번 조사는 중국 제품들을 중심으로 로봇청소기에 대한 보안 논란이 일면서 이뤄졌다.

조사대상은 △나르왈 프레오 Z 울트라 △드리미 X50 울트라 △로보락 S9 맥스V 울트라 △삼성전자 비스포크 AI 스팀 △에코백스 디봇 X8 프로 옴니 △LG전자 코드제로 로보킹 AI 올인원이었다.

KISA와 한국소비자원은 이들 제품에 대해 로봇청소기를 제어·설정하는 '모바일앱 보안', 제조사 보안 업데이트 정책·개인정보 보호정책 등을 포함한 '정책 관리', 하드웨어·네트워크·펌웨어 등 '기기 보안' 분야로 나눠 총 40개 항목을 점검했다.

먼저 모바일앱 보안 점검 결과 나르왈, 드리미, 에코벡스 제품은 사용자 인증 절차가 미비한 것으로 파악됐다. 나르왈, 에코백스 제품은 제3자가 별도 인증 없이 사용자의 저장된 사전이나 영상을 조회할 수 있었다. 드리미 제품은 사용자의 카메라 실시간 조회 및 사진첩 열람 기능에 접근할 수 있었다. 또 에코벡스 제품은 사용자 사진첩에 악의적인 사진 파일 등을 전송할 수 있었기에 각 사업자들이 조치를 완료했다.

정책 관리 점검에서는 드리미 제품이 개인정보 관리가 미흡해 이름, 연락처 등 사용자의 개인정보 유출 우려가 있는 취약점이 발견됐다. 일반적인 사용 환경에서는 악용 가능성이 다소 낮지만 해커에 의해 악용될 소지가 있어 개선 조치했다.

기기 보안 점검에서는 드리미, 에코맥스 제품의 하드웨어 보안 수준이 상대적으로 낮았으며, 조사대상 제품 전반적으로 펌웨어 보안 설정이 충분하지 않아 기기의 내부 보안 구조가 외부에 노출될 가능성이 있는 것으로 나타났다.

조사대상 가운데 삼성전자, LG전자 제품이 접근 권한 설정, 불법 조작 방지 기능, 안전한 패스워드 정책, 업데이트 정책 등이 비교적 잘 마련돼 있어 종합적인 평가에서 상대적으로 우수했다.

KISA와 한국소비자원은 조사대상 6개 사업자에게 보안성 향상을 위한 조치를 권고했다.

solidkjy@fnnews.com 구자윤 기자