관련 통계자료 다운로드 로봇청소기 보안점검 종합결과 중국 로봇청소기에서 보안 취약점이 공식 확인됐다. 일부 제품에서는 집 안 사진이 외부로 유출되거나 카메라가 무단으로 활성화되는 등 사생활 침해 위험이 있는 것으로 드러났다.
한국인터넷진흥원(KISA)과 한국소비자원은 6개 로봇청소기 보안 실태를 조사한 결과, 일부 제품에서 사생활 침해와 개인정보유출 가능성이 있는 보안 취약점을 확인, 즉시 조치했다고 2일 밝혔다.
조사 대상은 △나르왈(프레오 Z 울트라) △드리미(X50 울트라) △로보락(S9 맥스V 울트라) △삼성전자(비스포크 AI 스팀) △에코백스(디봇 X8 프로 옴니) △LG전자(코드제로 로보킹 AI 올인원) 제품이다.
KISA와 소보원은 로봇청소기를 제어·설정하는 '모바일 애플리케이션 보안', 제조사의 보안 업데이트 정책·개인정보 보호정책 등을 포함한 '정책 관리', 하드웨어·네트워크·펌웨어(내장 소프트웨어)를 포함한 '기기 보안'으로 나눠 총 40개 항목을 5개월에 걸쳐 점검했다.
◇카메라 불법 접근·조작 가능
그동안 제기된 로봇청소기 카메라를 이용한 사생활 침해 가능성은 실재했다. 모두 글로벌 인증기관의 보안인증을 받은 제품이지만 보안 취약점이 상당수 발견된 것이다.
모바일앱 보안 점검 결과, 나르왈·드리미·에코백스 제품은 사용자 인증 절차가 미비해 불법 접근이나 조작이 가능했다. 공격자가 집 내부를 촬영해 외부로 노출하거나 카메라 기능을 강제로 활성화할 수 있어 사생활 노출 위험이 있었다.
에코백스 제품은 공격자가 사용자 사진첩에 악성파일을 전송해 불특정 다수가 악성파일에 노출될 가능성이 발견돼 조치가 이뤄졌다. 나르왈은 모바일앱 보안에서 '미흡' 등급을 받았다. 드리미와 에코백스는 '보통' 등급에 그쳤다.
조사 대상 6개 제품 모두 펌웨어 보안 설정이 부족해 기기의 내부 보안 매커니즘이 외부에 노출될 우려가 있는 것으로 나타났다. 공개 취약점 목록에 등록된 라이브러리를 사용하는 경우도 있어 개선 권고를 받았다. 네트워크 보안은 6개 제품 모두 안전한 통신 프로토콜을 사용하는 등 전반적으로 양호했다.
◇개인정보관리도 부실
개인정보관리 체계에서 드리미는 '미흡', 에코백스는 '보통' 등급에 그쳤다. 삼성전자·LG전자·로보락· 나르왈은 '양호' 등급을 받았다.
드리미는 사용자가 글로벌 웹사이트(포럼) 게시판에 글을 작성하면 제3자가 공개된 사용자의 식별자 정보를 이용해 별도 인증절차 없이 이름, 전화번호, 이메일 등 개인정보를 조회할 수 있었다. 제조사 취약점 관리, 보안 업데이트, 개인정보보호 정책도 미흡했다.
에코백스는 보안 업데이트 정책이 미흡했다.
사물인터넷 보안기업인 지엔 조영민 대표는 “외부 인증기관의 보안인증은 필요 요건 충족을 점검하는 차원이며 실제 보안성과 직결하지 않는다”며 “보안 취약성 점검을 위해 별도로 깊이있는 테스트가 필요하다”고 말했다.
배옥진 기자 withok@etnews.com, 조재학 기자 2jh@etnews.com
