로봇 청소기. 게티이미지뱅크

<이미지를 클릭하시면 크게 보실 수 있습니다>

(☞한겨레 뉴스레터 H:730 구독하기. 검색창에 ‘한겨레 h730’을 쳐보세요.)

카메라와 센서로 공간을 인식해 청소하는 로봇 청소기에서 사생활이 침해될 수 있는 보안 취약점이 확인돼 주의가 필요하다는 지적이 나온다.

한국소비자원과 한국인터넷진흥원은 시중에 판매되는 로봇 청소기 6개 제품을 두고 보안 실태를 점검한 결과, 일부 제품에 사생활 침해와 개인정보 유출 가능성이 있어 즉시 조처했다고 2일 밝혔다. 사용자가 아닌 다른 사람의 사진·영상 탈취 가능, 카메라 강제 활성화 등 보안 허점이 드러난 것이다.

조사 대상 제품은 삼성전자·엘지(LG)전자·나르왈·드리미·로보락·에코백스다. 소비자원은 로봇청소기를 제어 설정하는 ‘모바일 앱 보안’, 제조사의 보안 업데이트 정책·개인정보 보호정책 등 운영을 포함한 ‘정책 관리’, 하드웨어·네트워크·펌웨어 등 기기 보안 분야로 나누어 총 40개 항목을 점검했다.

모바일 앱 보안 점검 결과, 3개 제품은 사용자 인증 절차가 미비해 사생활 노출 가능성이 확인됐다. 나르왈, 에코백스 제품은 제삼자가 별도 인증 없이도 집 내부를 촬영한 사진이나 영상을 보는 것이 가능했고, 드리미 제품은 카메라 기능을 강제 활성화할 수 있었다. 또한 에코백스 제품은 외부에서 사용자의 사진첩에 악성 파일을 전송할 수 있었다. 조사대상 6개 가운데 3개 제품(나르왈·로보락·에코백스)는 이미 완성된 앱의 구조나 작동 방식을 분석해 역으로 내부를 파악하는 역공학에 대한 방지법이 적용되지 않아 보안 취약성을 드러냈다. 4개 제품(나르왈·드리미·로보락·에코백스)는 안전한 패스워드 정책이 적용되지 않았다.

정책관리 분야에서도 문제가 확인됐다. 드리미 제품은 개인정보 관리가 미흡해 사용자의 개인 정보가 유출될 우려가 있었다. 일반적인 사용 환경에선 발생하기 쉽지 않지만, 특정 수준의 이상의 해커가 악용해 개인정보가 유출될 수 있는 것이다.

기기 보안 점검에서도 드리미와 에코백스 제품은 하드웨어 보안 수준이 상대적으로 낮았다. 6개 제품 모두 펌웨어 보안 설정이 충분하지 않아, 기기의 내부 보안 구조가 외부로 노출될 가능성이 있는 것으로 나타났다. 종합 평가에서는 삼성전자와 엘지전자 제품이 접근 권한 설정, 안전한 패스워드 정책, 업데이트 정책 등이 상대적으로 우수한 것으로 파악됐다. 소비자원은 6개 제조사에 모바일 앱 인증 절차, 하드웨어 보호, 펌웨어 보안 등 보안성 향상을 위한 조처를 권고했고 이들은 품질개선 계획을 회신한 상태다.

소비자원은 “로봇청소기 사용 시 안전한 비밀번호를 설정하고 주기적으로 보안 업데이트를 하는 등 기본적인 보안에 주의하라”고 소비자에게 당부했다.

서혜미 기자 ham@hani.co.kr