'로봇청소기로 내 사진이 유출?'…일부 제품 사생활 보안 취약

한국소비자원 6개 제품 대상 조사…보안 향상 조치 권고

대표적인 사물인터넷(IoT) 제품인 로봇청소기가 집 내부를 촬영한 사진이 외부로 노출돼 사생활 보안에 취약점이 발견됐다.

2일 한국소비자원에 따르면 조사대상 6개 제품 중 나르왈의 ‘프레오 Z 울트라’가 ‘모바일앱 보안’면에서 가장 취약했으며 드리미의 ‘X50 Ultra’는 ‘정책관리’ 면에서 취약점을 드러냈다.

소비자원은 지난 3월 3일부터 7월 31일까지 약 5개월간 조사대상 6개 제품에 대해 ▲로봇청소기를 제어·설정하는 ‘모바일앱 보안’, ▲제조사의 보안 업데이트 정책·개인정보 보호정책 등 운영을 포함한 ‘정책 관리', ▲하드웨어·네트워크·펌웨어(내장 소프트웨어) 등 ‘기기 보안’ 분야로 나눠 총 40개 항목을 점검했다.

조사대상 제품은 나르왈의 ‘프레오 Z 울트라’, 드리미의 ‘X50 Ultra’, 로보락의 ‘S9 MaxV Ultra’, 삼성전자의 ‘BESPOKE AI 스팀’, 에코백스의 ‘디봇 X8 프로 옴니’, LG전자의 ‘코드제로 로보킹 AI 올인원’ 등이다.

조사 분야 중 ‘모바일앱’ 은 사용자가 로봇청소기를 제어하고 설정할 수 있는 스마트폰 기반 애플리케이션으로 조사 결과 나르왈, 드리미, 에코백스 등 3개 제품의 사용자 인증 절차가 미비해 불법적인 접근이나 조작 가능성이 있는 것으로 드러났다.

나르왈과 에코백스의 제품은 별도 인증 없이 사용자의 저장된 사진 또는 영상을 조회할 수 있었고 드리미 제품의 경우 사용자의 카메라 실시간 조회 및 사진첩 열람 기능에 접근할 수 있어 보안 취약점이 확인됐다. 또한 에코백스의 제품은 사용자의 사진첩에 악의적인 사진 파일 등을 전송할 수 있었으며 나르왈, 드리미, 로보락, 에코백스 등 4개 제품은 안전한 패스워드 정책이 미흡했다.

‘정책 관리 점검’ 분야에서는 ‘드리미’ 제품의 개인정보 관리가 미흡해 사용자의 개인정보를 조회할 수 있었다. 정책 관리가 취약할 경우 특정 수준 이상의 보안 기술과 도구를 보유한 공격자에 의해 악용될 가능성이 높아 별도 인증 절차 없이 이름, 전화번호, 이메일 등 개인정보가 노출될 우려가 있다. 이번 조사를 통해 ‘드리미’ 외에도 ‘에코백스’의 보안 업데이트 정책도 지적을 받았다.

하드웨어·네트워크·펌웨어 등 기기 보안 점검 분야에서는 ‘드리미’와 ‘에코백스'의 제품이 물리적 보안과 인터페이스 보안의 미흡함을 드러냈다. 네트워크 부문에서는 조사대상 6개 전 제품의 보안 수준이 양호한 반면 펌웨어 부문에서는 6개 전 제품이 보안 설정의 미흡으로 내부 보안 및 메커니즘이 외부에 노출될 우려가 있었다.

소비자원은 총40개 보안 항목(모바일앱 16개, 정책 관리 3개, 기기 21개)을 점검한 결과 조사대상 6개 중 2개 제품(삼성전자, LG전자)이 모바일앱 보안 측면에서 다른 조사대상 제품 대비 우수했고, 4개 제품은 정책 관리에서 상대적으로 우수했으나 전 제품이 기기 보안에서는 전박적으로 평가가 낮았다고 평했다.

이에 소비자원은 “조사대상 모든 사업자에게 ▲모바일앱 인증 절차 ▲하드웨어 보호 ▲펌웨어 보안 등 부족한 부분에 대해 보안성 향상을 위한 조치를 권고했다”며 “소비자들은 로봇청소기 사용시 안전한 비밀번호를 설정하고 주기적으로 보안 업데이트를 하는 등 기본적인 보안에 주의할 것”을 당부했다.