로봇청소기 중 일부 제품이 외부에서 강제로 카메라를 켜거나 정보를 빼낼 수 있는 등 보안이 취약하다는 조사결과가 나왔다.

한국소비자원은 시중에 유통 중인 로봇청소기 6종을 대상으로 모바일 앱, 보안 업데이트 및 개인정보 보호정책 등 보안 실태 조사를 해보니 일부 제품에서 불법적인 접근이나 조작 가능성이 확인됐다고 2일 밝혔다.

모바일앱 보안 점검 결과 나르왈 프레오 Z 울트라(YJCC017)·에코백스 디봇 X8 프로 옴니(DEX56) 제품은 사용자 인증 절차 미비로 인해 사용 과정에서 촬영된 집 내부 사진이 외부로 노출될 가능성이 확인됐다.

제3자가 사용자의 개인키 또는 ID 정보를 알게 되면 별도 인증 절차 없이 클라우드 서버에 저장된 사진·영상에 접근할 수 있다는 것이다.

로봇청소기는 장애물 회피와 동선 확인 등을 위해 카메라가 탑재돼있으며 사용자가 장애물을 확인할 수 있도록 사진을 촬영한다.

드리미 X50 Ultra(RLX85CE)는 제3자가 카메라 기능을 강제 활성화할 수 있는 보안 취약점이 확인됐다.

사용자가 제3자에게 일부 기능 권한을 공유한 경우 부여받은 권한 이외에 카메라 등 다른 기능을 강제 활성화할 수 있어 제3자가 청소기 카메라를 통해 영상과 사진을 실시간으로 확인할 수 있었던 것으로 나타났다.

에코백스 제품은 모바일앱에 제품을 등록하면 제3자가 클라우드서버에 접속해 사용자의 핸드폰 사진첩에 악성 사진 파일을 저장할 수 있는 것으로 확인됐다.

소비자원은 현재 각 회사가 지적된 내용을 수용해 이러한 보안 취약점에 대한 조치를 완료했다고 밝혔다. 한국인터넷진흥원과 함께 조치에 대한 확인도 마쳤다는 설명이다.

또 보안 업데이트 정책, 개인정보 보호정책 등을 포함한 정책 관리 점검에서는 드리미 제품의 개인정보 관리가 미흡해 이름, 연락처 등 사용자의 개인정보 유출 우려가 있는 것으로 드러났다.

점검은 보안 전문 인력의 고도화된 공격 시나리오에 기반해 이뤄졌으나 특정 수준 이상의 해커에 의해 악용될 수 있는 만큼 즉시 개선 조치를 완료했다.

하드웨어·네트워크·펌웨어 등 ‘기기 보안’ 점검에서는 드리미, 에코백스 2개 제품의 하드웨어 보안 수준이 상대적으로 낮은 것으로 나타났다.

반면 삼성전자, LG전자 2개 제품은 접근 권한 설정과 불법 조작을 방지하는 기능, 안전한 패스워드 정책, 업데이트 정책 등이 비교적 잘 마련됐다는 평가를 받았다.

이재걸·정석용 기자 claritas@naeil.com