KISA “다수 로봇청소기서 사진 탈취·카메라 강제 활성화 취약점 확인“

By곽중희

KISA·소비자원 공동 조사…삼성·LG 상대적 우수, 나르왈·드리미·에코백스는 다수 취약점 노출

한국인터넷진흥원(KISA, 원장 이상중)과 한국소비자원(원장 윤수현)은 시중에 판매 중인 로봇청소기 6개 제품을 대상으로 보안 실태를 점검한 결과, 일부 제품에서 사생활 침해와 개인정보 유출로 이어질 수 있는 심각한 취약점이 확인됐다고 2일 밝혔다.

이번 조사는 ‘소비자기본법‘에 근거해 지난 3월부터 5개월간 진행됐다. 조사 대상은 나르왈, 드리미, 로보락, 삼성전자, 에코백스, LG전자 등 국내 시장에서 판매량이 높은 6개 브랜드 제품이다. KISA와 한국소비자원은 총 40개 항목에 걸쳐 ▲모바일앱 보안 ▲정책 관리 ▲기기 보안(하드웨어·네트워크·펌웨어)을 점검했다.

모바일앱 보안 점검에서는 나르왈과 에코백스 제품에서 사용자가 촬영한 사진과 영상을 별도 인증 없이 조회할 수 있는 취약점이 발견됐다. 드리미 제품은 다른 사용자에게 일부 권한을 공유할 경우 카메라 기능까지 강제로 활성화돼 실시간 영상이 노출될 수 있었다. 에코백스 제품에서는 사진첩에 악성 이미지 파일을 전송할 수 있는 취약점도 확인됐다. 이들 문제는 모두 즉시 조치됐다.

나르왈 로봇청소기의 사진 조회 및 탈취 관련 모바일앱 보안 점검 화면 캡처 (사진=KISA 제공)

정책 관리 부문에서는 드리미 제품의 개인정보 관리가 미흡했다. 사용자가 글로벌 웹사이트 게시판에 글을 작성하면 공격자가 공개된 식별자를 활용해 이름, 전화번호, 이메일 등 개인정보를 별도의 인증 없이 조회할 수 있었다. 또한 드리미와 에코백스는 제조사 취약점 관리 정책이나 보안 업데이트 정책이 부족한 것으로 드러났다.

기기 보안 점검 결과 드리미와 에코백스는 외부 포트 보안이 취약했고, 전체 조사 대상 제품에서 펌웨어 보안 설정이 미흡했다. 불필요한 명령어나 취약한 라이브러리 사용이 발견돼 내부 보안 구조가 외부에 노출될 수 있는 위험이 있었다. 나르왈·드리미·로보락·에코백스 제품은 루팅이나 탈옥된 기기에서도 앱이 정상 작동할 정도로 역공학 방지 기법이 부족했으며, 안전한 비밀번호 정책도 제대로 적용되지 않았다.

종합 평가에서는 삼성전자와 LG전자가 상대적으로 우수한 평가를 받았다. 두 제품은 모바일앱 인증 절차, 불법 조작 방지 기능, 안전한 비밀번호 정책, 업데이트 정책 등을 잘 갖춘 것으로 나타났다. 로보락은 정책 관리와 기기 보안에서 양호한 평가를 받았고, 나르왈은 정책 관리 부문에서는 비교적 우수했으나 모바일앱 보안에서 미흡했다. 드리미와 에코백스는 여러 항목에서 보안이 부족하다는 결과가 나왔다.

KISA와 한국소비자원은 전체 사업자에게 모바일앱 인증 절차 강화, 하드웨어 보호, 펌웨어 보안 개선 등 조치를 권고했으며, 사업자들은 개선 계획을 회신했다. 일부 사생활 노출 우려가 있는 취약점은 즉시 조치가 완료됐다.

두 기관은 소비자들에게 로봇청소기 사용 시 안전한 비밀번호 설정, 주기적인 보안 업데이트, 불필요한 권한 차단 등 기본적인 보안 수칙 준수를 당부했다. 또 앞으로도 과학기술정보통신부와 조사 결과를 공유해 사물인터넷(IoT) 제품의 보안 정책·기술 협력을 확대할 계획이라고 밝혔다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.