한국소비자원 조사, 카메라 원격 활성화·비밀번호 유출 등 다수의 보안 허점 발견
"국제 보안 인증을 획득했습니다."
중국산 로봇청소기 다수가 온라인 쇼핑몰과 공식 홈페이지에서 내세우는 문구다. 소비자들의 신뢰를 얻기 위한 '보안 마케팅'이지만, 정작 한국소비자원이 시행한 보안 실태 조사에서는 허점투성이인 것으로 드러났다. 카메라가 사용자의 동의 없이 작동하거나, 악성코드 감염 위험이 존재하는 등 사생활 침해 우려가 현실화됐다. 표면적인 인증만 강조한 채, 실제 보안 관리에는 소홀했다는 지적이 나온다.
한국소비자원은 지난 9월, 시중에서 판매 중인 로봇청소기 6개 모델을 선정해 총 40개 항목에 걸쳐 보안 실태를 분석했다. 조사 대상은 국내 제조사 제품 2종(삼성전자, LG전자)과 중국 브랜드 4종(드리미, 로보락, 에코백스, 나르왈)이다. 이 가운데 국산 제품 2종은 종합 평가에서 모두 '우수' 판정을 받은 반면, 중국산 제품에서는 다수의 취약점이 발견됐다.
가장 문제로 지적된 항목은 사용자 정보 보호 및 원격 제어 관련 보안 기능이다. 일부 중국산 제품에서는 외부에서 카메라 기능을 강제로 활성화할 수 있었고, 초기 비밀번호 설정이 미흡해 해킹 위험이 높았다. 또, 펌웨어 업데이트가 제대로 이뤄지지 않아 악성파일 유입 가능성도 확인됐다.
이들 중국산 제품은 모두 사물인터넷(IoT) 보안 관련 국제 표준인 'EN 303 645'를 준수했다고 홍보하고 있다. 유럽전기통신표준협회(ETSI)가 제정한 이 기준은 소프트웨어 업데이트 유지, 개인정보 안전 보관, 민감 정보 보호 등 13개 사이버 보안 요구사항을 담고 있다. 일부 제품은 해당 인증을 발급한 시험기관의 로고까지 전면에 노출하며 인증 취득 사실을 강조해왔다.
하지만 한국소비자원이 자체 기준으로 점검한 결과, 실제로는 인증 요건을 충족하지 못한 항목이 적지 않았다. 조사에 참여한 중국산 로봇청소기 대부분이 보안 업데이트 정책 미비, 개인 정보 보호 수단 부족 등의 문제를 안고 있었던 것으로 드러났다. 한국소비자원 측은 "표기된 인증을 받았더라도, 인증 당시 기준만 충족하면 되는 구조여서 실제 소비자 사용 환경에선 보안 취약점이 그대로 노출될 수 있다"고 설명했다.
실제로 제품에 따라 앱 내 비밀번호 설정이 기본으로 적용되지 않거나, 비밀번호를 단순 숫자로만 구성할 수 있게 돼 있었다. 또 일부 제품은 소프트웨어 내부에 보안 키 값을 평문으로 저장하고 있어 악성코드에 노출될 경우 사용자 네트워크가 위협받을 수 있는 구조였다.
반면 삼성전자와 LG전자의 제품은 보안 정책과 기술력 면에서 확연한 차이를 보였다. 삼성전자는 국내 로봇청소기 제품 중 유일하게 한국인터넷진흥원(KISA)의 사물인터넷 보안 인증 최상위 등급을 받았으며, 펌웨어 자동 업데이트 기능과 고급 암호화 기술을 탑재한 것으로 나타났다. LG전자는 자체 보안개발 프로세스인 'LG SDL(Security Development Lifecycle)'을 도입해, 설계 단계부터 보안 취약 요소를 제거하고 있는 것으로 확인됐다.
로봇청소기와 같은 IoT 가전은 사용자의 생활 공간을 직접 파악하고 이동하며, 실시간 네트워크에 연결돼 있다. 보안이 뚫릴 경우 단순한 정보 유출을 넘어 사생활 노출 및 해킹 위협으로 이어질 수 있다. 한국소비자원이 확인한 바에 따르면, 조사에 포함된 중국산 로봇청소기 중 다수는 "사용자 동의 없이 카메라 기능이 외부에서 원격 제어될 수 있는 구조"로 설계돼 있었다.
인증을 발급한 유럽 시험기관 관계자는 "EN 303 645는 유럽 시장에 출시되는 제품을 위한 기준이며, 인증이 존재하더라도 제품의 보안 유지 및 업데이트 관리는 제조사 책임"이라며 "한국소비자원이 자체적으로 더 정밀한 기준으로 점검을 실시한 것으로 안다"고 설명했다. 소비자원의 조사 이후 관련 업체들은 문제 항목에 대한 보안 개선 조치를 완료한 것으로 알려졌다.
정보보안 전문가들은 국제 인증보다 더 중요한 것이 '지속적인 사후 보안 관리'라고 강조한다. 지재덕 국민대 정보보안암호수학과 연구교수는 "보안 인증은 하나의 기준일 뿐이고, 보안은 살아 움직이는 영역"이라며 "신규 취약점이 계속 발견되는 만큼, 제조사가 얼마나 빠르게 보안 패치와 업데이트를 제공하는지가 실제 보안 수준을 결정한다"고 말했다.
사용자 스스로도 보안을 위한 주의가 필요하다. 한국소비자원은 "모바일 앱의 자동 업데이트 기능을 반드시 활성화하고, 기본 설정된 비밀번호는 반드시 영문·숫자·특수문자를 조합한 8자리 이상으로 변경해야 한다"고 당부했다. 또, 의심스러운 접근이나 동작이 감지될 경우 즉시 고객센터를 통해 확인할 필요가 있다고 밝혔다.
한편, 이번 조사 결과는 한국소비자원 공식 홈페이지를 통해 일반에도 공개됐다.
