일부 로봇청소기 에서 사용자 인증이 불충분해 불법적인 접근과 조작이 가능하다는 보안 취약점이 확인됐다.
사용자의 저장된 사진과 영상이 무단으로 조회되거나 외부로 유출될 수 있고, 심지어 악성 파일이 전송될 위험까지 드러났다.
한국인터넷진흥원(KISA)과 한국소비자원은 지난 3월 3일부터 7월 31일까지 5개월간 시중에 판매되는 주요 로봇청소기 6개 제품을 대상으로 보안 실태를 조사했다고 2일 발표했다.
이번 조사는 스마트폰 앱 보안, 제조사 정책, 기기 하드웨어와 펌웨어, 네트워크 등 총 40개 항목을 점검했다.
조사 대상은 나로왈 ‘프레오 7 울트라’, 드리미 ‘X50 울트라’, 로보락 ‘S9 MaxV 울트라’, 삼성전자 ‘비스포크 AI 스팀’, 에코백스 ‘디봇 X8 프로 옴니’, LG전자 ‘코드제로 로봇청소기 AI 올인원’ 등 6종이다.
모두 올해 출시된 신모델이었다.
조사 결과 나로왈, 드리미, 에코백스 제품에서 사용자 인증 절차가 미비해 사진이나 영상을 무단으로 조회하거나 카메라 기능이 강제로 활성화되는 보안 문제가 발견됐다.
특히 에코백스는 사진 무단 조회·유출, 악성 파일 전송, 펌웨어 보안 미흡 등 복수의 심각한 취약점이 동시에 드러났다.
드리미는 개인정보 보호 대책이 미비해 이름, 연락처, 이메일 등 사용자 정보가 유출될 우려가 있었고, 보안 업데이트 정책 운영도 미흡했다.
하드웨어 점검에서도 드리미와 에코백스 제품은 외부 USB나 UART 포트를 통한 무단 접속이 가능해 물리적 보안이 취약했다.
전반적으로 모든 제품에서 펌웨어 보안 설정 부족과 취약한 라이브러리 사용 문제가 지적됐다.
반면 삼성전자와 LG전자 제품은 접근 권한, 비밀번호 정책, 업데이트 정책 등이 충실히 적용돼 상대적으로 높은 평가를 받았다.
로보락 제품 역시 점검 결과 전반적으로 양호하거나 우수한 수준을 보였다.
KISA와 한국소비자원은 조사 결과를 각 제조사에 통보하고 시정 조치를 권고했다.
일부 긴급한 취약점은 이미 개선이 완료됐다.
두 기관은 앞으로도 IoT 기기 보안 실태 조사를 이어가며, 과학기술정보통신부와 협력해 제도적·기술적 보안 기준을 강화할 방침이다.
업계 관계자는 "로봇청소기 특성상 카메라로 집 내부를 실시간 촬영해 작동하는데, 이 영상이 외부에서 접근될 수 있다는 점은 심각하다"며 "사용자 사생활을 침해할 가능성이 있어 조속히 보안 강화가 필요하다"고 지적했다.
박세준 ([email protected]) 기사제보
같은 주제 기사 모아보기
IT테크 관련 기사 더 보기
댓글을 남기려면 로그인 해주세요.