중국산 로봇청소기 쓰다 사생활 털린다…‘가성비 3종’ 해킹 취약

소비자원, 카메라 기능 보안 취약 경고
‘가성비’ 드리미·에코백스·나르왈 특히 문제

기사와 관련없는 이미지. 게티이미지뱅크

가성비 제품으로 인기가 많은 중국산 로봇청소기 제품에서 사생활 침해와 개인정보 유출 가능성이 있는 보안 취약점들이 대거 확인됐다. 집안을 실시간으로 모니터링하는 로봇청소기가 찍은 사진이 외부로 유출되거나, 제3자에 의해 강제로 카메라가 켜질 수 있다는 것이다.

한국소비자원과 한국인터넷진흥원(KISA)은 2일 이같은 내용의 국내 주요 로봇청소기 보안 실태 조사 결과를 발표했다. 소비자원은 시중에서 많이 판매되는 6개 모델을 대상으로 올 3~7월 5개월간 모바일앱 보안, 기기 보안 등 40개 항목을 점검했다. 국내 제품은 △삼성 ‘비스포크 AI 스팀’ △LG ‘코드제로 로보킹 AI 올인원’ 등 2개였다. 나머지 4개는 모두 중국산으로 △로보락 ‘S9 맥스V 울트라’ △드리미 ‘X50 울트라’ △에코백스 ‘디봇 X8 프로 옴니’ △나르왈 ‘프레오 Z 울트라’였다.

한국소비자원 제공.

●중국산 드리미 등 제품, 집안 내부 사진 등 사생활 유출 위험

6개 중 문제가 된 제품은 중국산 제품인 드리미와 에코백스, 나르왈 등 3개 제품이었다. 프리미엄 제품인 중국산 로보락보다 저렴한 ‘가성비 제품’으로 꼽힌다. 이 3개 제품은 사용자 인증 절차를 제대로 갖추지 않아 불법적 접근이나 조작 가능성이 있는 것으로 나타났다.
청소시 장애물을 피하고 동선을 확인하는 카메라 기능이 보안에 특히 취약했다. 해커가 침입시 집 내부를 촬영한 사진이 외부로 노출될 수 있었다. 제3자가 사용자의 개인키 또는 ID 정보를 알게 되면 별도 인증 절차 없이 클라우드 서버에 저장된 사진·영상에 쉽게 접근할 수 있다는 것이다. 최근에는 로봇청소기의 ‘홈캠’ 기능을 활용해 반려동물 돌봄에 사용하는 경우도 많아 더욱 주의가 요구된다.

드리미 제품의 경우엔 제3자가 사진첩 열람 기능에 접근해 사진을 탈취할 수 있고, 카메라 기능을 강제 활성화할 수 있는 보안 취약점까지 확인됐다. 드리미 제품에선 개인정보 관리가 미흡해 이름, 연락처 등 사용자의 개인정보 유출 우려가 있는 취약점도 추가로 발견됐다. 에코백스 제품은 사용자의 사진첩에 악의적인 사진 파일을 전송할 수 있는 허점도 발견됐다.

●국내 삼성 LG 제품은 ‘우수’ 평가..로보락은 패스워드 강도 보안 ‘미흡’

국내산인 삼성과 LG 제품의 보안성이 가장 우수한 것으로 나타났고, 로보락도 비슷한 수준이었다. 다만 로보락의 경우엔 나르왈, 드리미, 에코배스와 같이 패스워드 강도에 대한 안전 정책에서 ‘미흡’하다는 평가를 받았다. 로보락은 기기의 내부 동작을 해커가 쉽게 분석하지 못하도록 조치하는 ‘역공학 방지 기법’ 적용 항목에 대해서도 나르왈, 에코백스와 함께 ‘미흡’ 점수를 받았다.

기기를 작동하는 기본적인 프로그램인 펌웨어 보안 설정 항목은 국내와 중국산 6개 전체 제품 모두 충분치 않은 것으로 조사됐다. 내부 보안 구조가 외부에 노출될 가능성이 있는 것으로 나타났다.

이에 소비자원은 우선 사생활 유출 가능성이 있는 취약점부터 즉시 개선하도록 조치하고, 나머지 문제들은 업체에 이행계획을 제출하도록 했다. KISA 관계자는 “사진 유출 위험이 가장 시급한 문제라고 보고 3개 중국 업체에 즉시 개선을 요청했고, 이 부분은 각사 서버에서 즉시 개선할 수 있는 부분이어서 개선조치가 완료된 것을 우리 측에서 다시 점검해 확인했다”고 설명했다.

소비자원 관계자는 “로봇청소기 사용 시 안전한 비밀번호를 설정하고 주기적으로 보안 업데이트를 하는 등 기본적인 보안에 주의해야 한다”고 당부했다.