“카메라 켜서 다 훔쳐본다”…중국산 로봇청소기의 배신

소비자원, 시중 6개 제품 보안실태 점검
개인정보 유출 우려…업체들 “조치 완료”

[헤럴드경제=나은정 기자] 시중에 유통 중인 로봇청소기 일부 제품에서 카메라가 외부에 의해 강제로 작동되거나 집 내부 사진이 유출될 수 있는 심각한 보안 취약점이 발견됐다.

한국소비자원은 시중 유통 중인 로봇청소기 6종을 대상으로 모바일 앱, 보안 업데이트 및 개인정보 보호정책 등 보안 실태를 점검한 결과, 일부 제품에서 불법적인 접근과 조작 가능성이 확인됐다고 2일 밝혔다.

로봇청소기는 장애물 회피와 동선 확인 등을 위해 카메라가 탑재돼있으며 사용자가 장애물을 확인할 수 있도록 사진을 촬영한다.

조사 결과 ‘나르왈 프레오 Z 울트라(YJCC017)’와 ‘에코백스 디봇 X8 프로 옴니(DEX56)’ 제품은 모바일앱 사용자 인증 절차 미비로 집 내부 사진이 외부로 유출될 수 있는 위험이 확인됐다. 제3자가 사용자의 개인키나 ID 정보를 알게 되면 별도 인증 없이 클라우드 서버에 저장된 사진과 영상을 열람할 수 있는 것이다.

‘드리미 X50 Ultra(RLX85CE)’ 제품은 제3자가 카메라 기능을 원격으로 강제 활성화할 수 있는 보안 취약점이 발견됐다. 제3자가 사용자에게서 일부 기능 권한을 공유받았더라도 부여받지 않은 카메라 등 다른 기능까지 조작할 수 있어서 청소기 카메라를 통해 실시간 영상과 사진을 확인할 수 있었던 것으로 나타났다.

또한 에코백스 제품의 경우 모바일앱에 제품을 등록하면 제3자가 클라우드 서버를 통해 사용자의 휴대폰 사진첩에 악성 파일을 저장할 수 있는 문제도 보고됐다.

보안 업데이트·개인정보 보호 등 정책 관리 점검에서는 드리미 제품이 이름·연락처 등 개인정보 정보 유출 우려가 있는 것으로 나타났다. 하드웨어·네트워크·펌웨어 등 기기 보안 점검에서는 드리미와 에코백스 2개 제품이 상대적으로 낮은 점수를 받았다.

반면, 삼성전자와 LG전자 2개 제품은 접근 권한 설정, 불법 조작 방지 기능, 안전한 패스워드 정책, 보안 업데이트 등이 비교적 잘 이뤄져 종합 평가에서 우수 판정을 받았다.

소비자원은 이번 조사에서 드러난 보안 취약점이 해커에 의해 악용될 수 있는 만큼 각 업체가 즉시 개선 조치를 완료했다고 밝혔다. 한국인터넷진흥원(KISA)과 함께 조치에 대한 확인도 마쳤다.

소비자원은 향후 KISA와 협력해 로봇청소기 등 사물인터넷(IoT) 제품의 보안 강화를 위해 점검을 지속적으로 추진할 계획이다.