[더퍼블릭=김영일 기자] 편의성과 효율성으로 인해 최근 로봇청소기 사용자가 증가하는 가운데, 일부 제품에서 집 내부를 촬영한 사진이 외부로 노출되거나 카메라 기능이 강제로 활성화되는 등 사생활이 노출될 수 있는 보안 취약점이 확인됐다.
한국소비자원은 한국인터넷진흥원(KISA)과 시중에 유통 중인 로롯청소기 6개 제품의 보안 실태를 조사한 결과, 일부 제품에서 사생활 침해와 개인정보 유출 가능성이 있어 즉시 조치했다고 2일 밝혔다.
한국소비자원에 따르면, 로봇청소기를 제어·설정하는 ‘모바일앱 보안’, 제조사의 보안 업데이트 정책·개인정보 보호정책 등 운영을 포함한 ‘정책 관리’, 하드웨어·네트워크·펌웨어(내장 소프트웨어) 등 로봇청소기 6개 제품에 대해 3월 3일부터 7월 3일까지 약 5개월 동안 총 40개 항목을 점검했다고 한다.
조사 대상 로봇청소기 6개 제품은 ▶나르왈 ‘프레오 Z 울트라’ ▶드리미 ‘X50 울트라’ ▶로보락 ‘S9 맥스V 울트라’ ▶에코백스 ‘디봇 X8 프로 옴니’ ▶삼성전자 ‘비스포크 AI 스팀’ ▶LG전자 ‘코드제로 로보킹 AI 올인원’ 등이다.
모바일앱 보안 점검 결과, 조사 대상 6개 중 3개 제품(나르왈‧드리미‧에코백스)이 모바일앱의 인증 절차가 미흡하거나 접근제한이 충분히 적용되지 않아 촬영한 사진이 외부로 노출되거나 카메라 기능이 강제로 활성화되는 등 사생활 노출 취약점이 확인됐다.
나르왈‧에코백스의 경우 별도 인증 없이 사용자의 저장된 사진 또는 영상을 조회할 수 있었다. 해커 등 제3자가 별도 인증 없이 사용자의 개인키 또는 식별자(ID, 고유번호) 정보를 획득한 후 클라우드 서버에 전송 및 저장된 집 내부 촬영 사진이나 영상에 접근 가능한 것으로 파악됐다.
특히 에코백스는 사용자의 사진첩에 악의적인 사진 파일 등을 전송할 수 있었다. 최초 사용자가 모바일앱에 사용자 등록을 하게 되면, 해커 등 제3자가 사용자의 식별자(ID)를 변조해 사용자의 사진첩에 악성 사진 파일을 저장할 수 있어, 불특정 다수가 악성파일에 노출될 가능성이 높았다.
드리미는 사용자의 카메라 실시간 조회 및 사진첩(사진 및 영상 앨범) 열람 기능에 접근할 수 있었다. 기존 사용자가 타 사용자에게 일부 기능 권한(청소‧맵 정보 등)을 공유하게 되면 해커 등 제3자가 부여받은 권한 외 기능(카메라)을 강제 활성화가 가능했다.
아울러 나르왈‧로보락‧에코백스 로봇청소기는 역공학 방지 기법이 적용되지 않아 상대적으로 보안이 부족했고, 이들 나르왈‧로보락‧에코백스‧드리미 로봇청소기는 안전한 패스워드 정책에 미흡했다는 게 한국소비자원의 지적이다.
정책 관리 점검에서는 드리미 로봇청소기의 개인정보 관리가 미흡해 이름, 연락처 등 사용자의 개인정보 유출 우려가 있는 취약점이 확인됐다.
사용자가 드리미 웹사이트(포럼) 게시판에 글 작성 시, 해커 등 제3자가 공개된 사용자의 식별자(ID) 정보를 이용하여 별도 인증 절차 없이 개인정보(이름‧전화번호‧이메일 등)를 조회할 수 있었다.
한국소비자원은 “일반적인 사용 환경에서 발생하기 쉽지 않지만, 특정 수준 이상의 해커에 의해 악용될 수 있는 만큼 사업자에게 즉시 조치하여 개선 완료했다”고 밝혔다.
기기 보안 점검에서는 드리미‧에코백스 2개 제품의 하드웨어 보안 수준이 상대적으로 낮았다. 구체적으로 외부 포트 노출 및 분해 방지 대책 등 물리적 보안과 불필요한 직렬 통신용 하드웨어 포트(UART)의 사용 등 인터페이스 보안이 미흡했다.
네트워크 인증, 암호화, 데이터 보호 등 네트워크 보안 점검 결과, 조사 대상 6개 전 제품의 기기 통신에 대한 안전한 통신 프로토콜(SSL/TLS, 네트워크 통신/인터넷에서 데이터를 안전하게 주고받기 위한 보안 프로토콜) 사용 등 보안 수준이 전반적으로 양호한 것으로 나타났다.
반면, 펌웨어 보호, 인증, 취약점 등 전반적인 시스템 보안 점검에선 6개 전 제품이 펌웨어 보안 설정 미흡으로 기기의 내부 보안 메커니즘이 외부에 노출되는 등의 우려가 있었다.
한국소비자원은 “총 40개 보안 항목(모바일앱 16개, 정책 관리 3개, 기기 21개)을 점검한 결과, 조사 대상 6개 중 2개 제품(삼성‧LG 전자)이 모바일앱 보안 측면에서 다른 조사 대상 제품 대비 우수했다”고 밝혔다.
이어 “(삼성‧LG를 제외한)4개 제품은 정책 관리에서 상대적으로 우수했으나, 전 제품이 기기 보안에서는 전반적으로 평가가 낮았다”고 부연했다.
아울러 소비자원은 “▶나르왈(운경인텔리전스) ▶드리미(코오롱글로벌) ▶로보락(팅크웨어모바일) ▶에코백스(더불정보기술) ▶삼성전자 ▶LG전자 등 조사 대상 6개 사업자는 소비자원의 권고에 따라 품질개선 등 이행계획을 회신했으며, 일부 사생활 노출 등 발견된 취약점 특이사항은 즉시 조치했다”고 설명했다.
더퍼블릭 / 김영일 기자 kill0127@thepublic.kr