시중에 유통되는 일부 중국산 로봇청소기 제품에서 사생활 침해와 개인정보 유출 가능성이 있는 보안 취약점들이 대거 발견됐다. 제3자가 제품에 탑재된 카메라를 강제로 활성화하거나, 로봇청소기가 촬영한 집 내부 사진이 외부로 유출될 위험이 있는 것으로 조사됐다.
한국소비자원과 한국인터넷진흥원(KISA)은 삼성전자와 LG전자, 나르왈, 드리미, 로보락, 에코백스 등 로봇청소기 제품 6종을 대상으로 진행한 보안 실태 조사 결과를 발표했다. 삼성·LG를 제외한 4개 제품은 모두 중국산이다.
모바일앱 보안 점검에서 나르왈의 ‘프레오 Z 울트라’와 드리미 ‘X50 Ultra’, 에코백스 ‘디봇 X8 프로 옴니’ 제품은 사용자 인증 절차가 미비한 것으로 드러났다. 이로 인해 타인이 집 내부 사진을 조회하고, 마음대로 카메라를 실행하는 등 사생활이 노출될 수 있다는 우려가 제기됐다. 특히 에코백스 제품은 모바일 앱에 제품을 등록할 경우 외부 공격자가 사용자의 핸드폰에 악성 사진 파일을 저장하는 것도 가능했다.
정책 관리 점검에서는 드리미 제품이 개인정보를 미흡하게 관리한 것으로 파악됐다. 이름과 연락처 등 사용자 정보 유출 우려가 있다는 것이다. 또 사용자가 해당 브랜드 글로벌 웹사이트 게시판에 글을 작성하면 제3자가 공개된 식별자(ID) 정보를 이용해 별도 인증 절차 없이도 이름과 전화번호, 이메일 등을 조회할 수 있었다.
기기 보안 점검에서는 드리미와 에코백스 2개 제품의 하드웨어 보안 수준이 낮았다. 기기를 작동하는 기본적인 프로그램인 펌웨어 보안 설정 항목은 국산과 중국산 6개 전체 제품 모두 충분치 않은 것으로 조사됐다.
종합적으로는 삼성전자의 ‘비스포크 AI 스팀’과 LG전자 ‘코드제로 로보킹 AI 올인원’ 제품이 접근 권한 설정과 불법 조작 방지 기능, 안전한 패스워드 정책 등에서 상대적으로 우수한 평가를 받았다. 국내 시장 1위인 로보락도 비슷한 수준이었지만, 패스워드 강도 관련 안전 정책에서 ‘미흡’ 평가를 받았다.
소비자원은 조사 대상 사업자에게 부족한 부분에 대해 보안성 향상 조치를 권고했으며, 6개 사업자 모두 품질개선 계획을 회신했다고 밝혔다.
박선영 기자 pomme@kmib.co.kr