[아이티데일리] 일부 중국 로봇청소기에서 보안 취약점이 발견됐다. 제품을 제어·설정하는 모바일 앱에서 카메라 기능이 강제 활성화되는 등 사생활이 노출될 수 있는 위험이 확인됐다.

한국인터넷진흥원(KISA)은 2일 한국소비자원과 함께 시중에 유통 중인 로봇청소기 6개 제품의 보안 실태를 조사한 결과를 발표했다.

조사 대상으로는 △나르왈(프레오 Z 울트라) △드리미(X50 울트라) △로보락(S9 맥스브이 울트라) △삼성전자(비스포크 AI 스팀) △에코백스(디봇 X8 프로 옴니) △LG전자(코드제로 로보킹 AI 올인원) 등 6개 회사의 제품이 포함됐다.

KISA와 한국소비자원은 △로봇청소기를 제어·설정하는 ‘모바일 앱 보안’ △제조사의 보안 업데이트 정책·개인정보 보호 정책 등을 포함한 ‘정책 관리’ △하드웨어·네트워크·펌웨어 등 ‘기기 보안’ 분야로 나눠 총 40개 항목을 5개월여간 점검했다.

모바일 앱 보안 점검 결과 나르왈, 드리미, 에코백스 3개 제품은 사용자 인증 절차가 미비해 불법적 접근이나 조작 가능성이 있는 것으로 드러났다. 이 취약점을 악용하면 집 내부를 촬영한 사진이 외부 노출되거나 카메라 기능이 강제로 활성화될 위험이 있었다.

나르왈, 드리미, 에코백스는 모두 중국 브랜드다. 이번 조사로 그간 일각에서 제기된 로봇청소기 카메라를 이용한 사생활 침해 가능성은 실제로 있었던 것으로 확인됐다.

정책 관리 점검에서는 드리미 1개 제품이 개인정보 관리가 미흡해 이름, 연락처 등 사용자 정보가 유출될 우려가 있는 취약점이 발견됐다. 일반 사용 환경에서는 악용 가능성이 낮지만, 특정 수준 이상의 해커가 공략할 소지가 있어 KISA는 사업자에게 즉시 조치를 주문했고 개선 완료됐다.

기기 보안 점검에서는 드리미, 에코백스 2개 제품의 하드웨어 보안 수준이 상대적으로 낮게 나타났다. 조사 대상 제품 전반적으로 펌웨어 보안 설정이 충분치 않아 내부 보안 구조가 외부에 노출될 가능성이 있었다.

조사 대상 6개 제품 중 삼성전자, LG전자 2개 제품은 접근 권한 설정, 불법 조작 방지 기능, 안전한 비밀번호 정책 등이 비교적 잘 마련돼 상대적으로 우수한 평가를 받았다.

KISA와 한국소비자원은 전체 조사 대상 6개 사업자에게 모바일 앱 인증 절차, 하드웨어 보호, 펌웨어 보안 개선 등 취약점에 대한 보안 향상 조치를 권고했다. 또 지속적인 협력으로 로봇청소기 등 IoT 제품의 보안 관리 강화를 위한 점검을 추진해 나갈 계획이다.

KISA 관계자는 “소비자는 로봇청소기 사용 시 안전한 비밀번호를 설정하고 주기적으로 보안 업데이트를 하는 등 기본적인 보안에 주의할 것을 당부한다”고 밝혔다.