中로봇청소기의 배신… “강제로 카메라 켜 사생활 털릴 우려”

KISA·소비자원 보안 실태조사

나르왈·드리미·에코백스 취약 확인
사진 탈취·실시간 영상 조회 위험 커
삼성·LG전자는 ‘상대적 우수’ 평가

로봇청소기 자료 이미지. 기사와 직접적인 관련 없음. 픽사베이

한국인터넷진흥원(KISA)과 한국소비자원이 국내 유통 중인 로봇청소기 6종을 대상으로 ‘보안 실태’를 점검한 결과 중국산 일부 제품에서 사생활 침해와 개인정보 유출 위험이 드러났다고 2일 밝혔다. 두 기관은 사업자에 즉각 조치를 요구했고, 현재는 개선이 완료된 것으로 알려졌다.

KISA와 한국소비자원에 따르면 조사 대상은 나르왈 프레오 Z 울트라, 드리미 X50 Ultra, 에코백스 디봇 X8 프로 옴니, 로보락 S9 MaxV Ultra(이하 중국산), 삼성전자 비스포크(BESPOKE) AI 스팀, LG전자 코드제로 로보킹 AI 올인원 등 6개 제품이다. 점검은 모바일 앱 보안, 정책 관리, 기기 보안 등 3개 분야, 총 40개 항목을 대상으로 약 5개월간 진행됐다.

모바일앱 보안 부문에서는 나르왈·드리미·에코백스 3개 제품이 취약한 것으로 확인됐다. 나르왈과 에코백스는 사용자 인증 절차가 미비해 클라우드 서버에 저장된 집 내부 사진이나 영상을 별도 인증 없이 조회·탈취할 수 있는 위험이 드러났다. 에코백스의 경우 악성 파일을 사용자의 사진첩에 전송할 수 있는 문제도 있었다. 드리미 제품은 사용자가 일부 권한을 제3자에게 공유했을 때, 그 사람이 카메라 기능을 마음대로 켜서 실시간 영상과 사진을 볼 수 있는 취약점이 발견됐다.

또 정책 관리 점검 결과 드리미 제품에서는 사용자가 해당 브랜드 글로벌 웹사이트 게시판에 글을 작성하면 해커가 사용자 ID를 통해 별도 인증 없이 개인정보를 조회할 수 있었다. 기기 보안 점검에서는 드리미와 에코백스 로봇청소기의 외부 포트가 노출돼 누구나 쉽게 접근할 수 있었고, 인터페이스 차단이 미흡해 물리적 침투 위험이 존재했다.

반면 삼성전자와 LG전자 제품은 전반적으로 접근 권한 관리, 안전한 패스워드 정책, 업데이트 정책이 상대적으로 우수하다는 평가를 받았다. 과학기술정보통신부는 “로봇청소기 보안에 대한 소비자의 우려가 확대되는 상황”이라면서 소비자에게 구매 전 사물인터넷(IoT) 보안 인증 마크 확인, 안전한 비밀번호 설정, 주기적인 보안 업데이트 등을 당부했다.

서울 이범수·세종 이영준 기자