한국소비자원이 한국인터넷진흥원과 공동으로 시중에 유통 중인 로봇청소기 6개 제품의 보안 실태를 조사한 결과, 일부 제품에서 집 내부 사진 열람과 카메라 강제 활성화 등 사생활 침해 우려가 있는 보안 취약점을 발견, 즉시 조치했다.

◆ 3개 제품서 사생활 침해 가능한 취약점 확인

이번 조사는 나르왈, 드리미, 로보락, 삼성전자, 에코백스, LG전자 등 6개 브랜드 로봇청소기를 대상으로 모바일앱 보안, 정책 관리, 기기 보안 등 총 40개 항목을 점검했다. 

조사 기간은 지난 3월부터 7월까지 약 5개월간 진행됐다.

모바일앱 보안 점검에서는 나르왈, 드리미, 에코백스 3개 제품에서 사용자 인증 절차가 미흡한 것으로 나타났다. 

이들 제품은 불법적인 접근이나 조작이 가능하며, 집 내부를 촬영한 사진이 외부로 노출되거나 카메라 기능이 강제로 활성화되는 등 사생활 노출 우려가 확인됐다.

▲ 사진 조회 및 탈취 가능성 발견

나르왈과 에코백스 제품의 경우, 공격자가 별도 인증 없이 사용자의 개인키나 식별자 정보를 획득하면 클라우드 서버에 저장된 집 내부 촬영 사진이나 영상에 접근할 수 있는 것으로 확인됐다. 

특히 나르왈 제품은 클라우드에 저장된 사진을 URL 정보로 접근한 후 사용자 개인키를 획득해 암호를 해독하여 사진을 탈취할 수 있었다.

에코백스의 경우 단순 서비스 계정만 보유해도 사용자의 사진 및 동영상 식별자를 조회한 후 별도 인증 없이 개인 사진과 동영상을 탈취할 수 있는 것으로 나타났다.

▲ 카메라 강제 활성화 및 악성파일 전송

드리미 제품에서는 기존 사용자가 다른 사용자에게 청소나 맵 정보 등 일부 기능 권한을 공유할 경우, 공격자가 부여받은 권한 외의 카메라 기능을 강제로 활성화할 수 있는 취약점이 발견됐다. 

이를 통해 공격자는 사용자의 카메라를 실시간으로 조회하고 사진 파일을 탈취할 수 있었다.

에코백스 제품에서는 공격자가 사용자의 식별자를 변조하여 사용자 사진첩에 악의적인 사진 파일을 전송할 수 있어 불특정 다수가 악성파일에 노출될 가능성도 확인됐다.

◆ 개인정보 보호 정책도 미흡

정책 관리 점검에서는 드리미 제품의 개인정보 관리가 미흡한 것으로 나타났다. 

사용자가 해당 브랜드 글로벌 웹사이트 포럼 게시판에 글을 작성하면, 공개된 사용자 식별자 정보를 이용해 별도 인증 절차 없이 이름, 전화번호, 이메일 등 개인정보를 조회할 수 있는 취약점이 발견됐다.

또한 드리미와 에코백스 제품은 제조사 취약점 관리 정책이나 보안 업데이트 정책 등 정책 관리 측면에서도 미흡한 것으로 평가됐다.

◆ 하드웨어·펌웨어 보안 전반적으로 부족

기기 보안 점검에서는 드리미와 에코백스 2개 제품의 하드웨어 보안 수준이 상대적으로 낮았다. 제품 외부에 UART 등의 포트가 노출되어 외부 접근이 가능하고, 디버깅 인터페이스가 비활성화되지 않아 보안상 취약한 것으로 나타났다.

조사대상 전 제품은 네트워크 보안 측면에서는 안전한 통신 프로토콜 사용 등 전반적으로 양호한 수준을 보였으나, 펌웨어 보안 설정이 미흡해 기기 내부 보안 구조가 외부에 노출될 가능성이 있는 것으로 확인됐다.

◆ 삼성·LG 제품 상대적으로 우수한 평가

종합 평가에서는 삼성전자와 LG전자 2개 제품이 접근 권한 설정과 불법 조작 방지 기능, 안전한 패스워드 정책, 업데이트 정책 등이 비교적 잘 마련되어 있어 상대적으로 우수한 평가를 받았다.

한국소비자원은 “조사대상 모든 사업자에게 모바일앱 인증 절차, 하드웨어 보호, 펌웨어 보안 등 부족한 부분에 대한 보안성 향상 조치를 권고했으며, 전체 6개 사업자 모두 품질개선 계획을 회신했다”며, “사생활 노출 등 발견된 심각한 취약점은 즉시 조치가 완료됐다”고 설명했다.

(사용자 보안 수칙)

이어 “소비자에게 로봇청소기 사용 시 안전한 비밀번호 설정과 주기적인 보안 업데이트 등 기본적인 보안 수칙을 준수할 것 당부한다”며, “한국인터넷진흥원과 협력하여 로봇청소기 등 사물인터넷 제품의 보안 관리 강화를 위한 점검을 지속적으로 추진할 계획”이라고 밝혔다.

한편 ▲ ‘로봇청소기(보안 취약점 중심) 안전실태조사’ 개요, ▲ ‘로봇청소기(보안 취약점 중심) 안전실태조사’ 결과, ▲ 조사대상 제품, ▲보안 점검항목 등은 (메디컬월드뉴스 자료실)을 참고하면 된다. 

[메디컬월드뉴스]