‘로봇청소기’ 다수 제품 보안 취약…대응방안은?
KISA·소비자원 9월 조사 결과…정부·기업 대응 강화 움직임
카메라와 인공지능(AI)을 탑재한 로봇청소기가 생활 필수가전으로 자리 잡았지만, 개인정보 유출 우려는 여전히 현재진행형이다. 정부는 제도 개선을 통해 보안 관리 체계를 강화하고, 업계는 기술 내재화로 해킹 위험을 줄이려는 움직임에 나섰다.
한국인터넷진흥원(원장 이상중, 이하 KISA)과 한국소비자원이 9월 공동으로 실시한 조사에 따르면, 일부 로봇청보기 제품에서 사진 열람과 카메라 조작이 가능한 보안 취약점이 확인됐다. 최근 열린 국회 국정감사에서도 “중국 등 해외 제조 사물인터넷(IoT) 기기를 사전에 점검할 법적 근거가 없다”는 지적이 나왔다. 이에 KISA는 “제도 개선과 인증 확산을 병행하겠다”는 입장을 밝혔고, 보안 전문기업들은 “보안은 출하 후가 아닌 설계 단계에서부터 내재화돼야 한다”고 강조하고 있다.
생활공간 노출 위험…“월패드 해킹 사태 재발할 수도”
KISA와 한국소비자원은 3월부터 7월까지 국내에서 많이 판매된 로봇청소기 6종을 대상으로 모바일앱·정책관리·기기보안 등 40개 항목을 점검했다. 그 결과 나르왈·드리미·에코백스 등 일부 제조사의 로봇청소기 제품에서 사용자 인증 절차가 미흡해 외부에서 촬영 사진을 열람하거나 카메라를 강제로 활성화할 수 있는 취약점이 발견됐다. 일부 제품은 사용자의 게시판 아이디(ID) 정보로 이름·전화번호 등을 조회할 수 있는 구조로 되어 있었다.
KISA는 즉시 시정조치를 요구했고, 사업자들은 개선 계획을 회신해 조치를 완료했다. 삼성전자와 LG전자는 접근권한 설정과 암호화 통신 등에서 상대적으로 양호한 평가를 받았다.
이번 결과는 단순한 기기 결함이 아니라, 생활공간을 촬영하고 외부 서버와 통신하는 IoT 기기 전반의 구조적 보안 위험을 보여준다는 점에서 의미가 크다. 앞서 2021년에는 월패드(스마트홈 시스템) 해킹 사건으로 입주민의 집 내부 영상 수천 건이 인터넷에 유출된 바 있다. 당시 전문가들은 “로봇청소기나 홈캠처럼 카메라·네트워크를 결합한 제품은 해킹 경로가 될 수 있다”며 “보안 업데이트가 미흡하면 유사한 대규모 유출이 반복될 수 있다”고 경고한 바 있다.
제도적 공백 지적에도…KISA “자율 인증 한계 속 개선 추진”
국회 과학기술정보방송통신위원회 국정감사에서는 중국산 로봇청소기 등 외산 IoT 제품의 보안 관리 실효성 부족이 도마에 올랐다. 국민의힘 최수진 의원은 “미국은 중국산 로봇을 안보 위협 장비로 규정했지만, 국내는 기업 동의 없이는 예방 점검조차 할 수 없다”고 지적했다.
이상중 KISA 원장은 “중국산 제품이 상대적으로 보안에 취약한 것은 사실”이라며 “확인된 취약점은 모두 시정조치가 완료됐다”고 답했다. 그는 “현행 정보통신망법상 KISA와 과기정통부가 단독으로 사전점검을 시행할 법적 근거가 부족하다”며 제도 개선의 필요성을 인정했다.
KISA 관계자는 “IoT 보안인증은 정보통신망법 제48조의6에 근거한 자율 인증제도로 강제할 수 있는 법적 권한이 없다”면서 “과기정통부와 협력해 파생모델 인증 허용, 중소기업 인증 수수료 지원, 의료·주택 등 IoT 수요처와의 협력 체결 등으로 인증 제품 확산을 추진하고 있다”고 말했다. 이어 “법 개정 전까지는 한국소비자원과 공동 점검 체계를 유지해 생활밀착형 IoT 제품의 보안성을 주기적으로 점검할 계획”이라고 덧붙였다.
KISA에 따르면, 2025년 5월 기준 누적 IoT 보안인증 제품은 439건이다. 다만 인증이 자율에 머물러 아직 모든 IoT 기기에 적용되지는 못하고 있으며, 기업 간 보안 수준 편차와 제도 적용 간격에 대한 우려는 여전히 남아 있다.
기업들도 자율 대응 강화…“보안·개인정보 보호 최우선할 것”
KISA 조사 결과가 공개된 이후 주요 제조사들도 스스로 보안 체계를 점검하고 개선에 나섰다. 특히 시장 점유율 상위권을 차지한 중국업체 등 해외 제조사들은 보안 업데이트와 데이터 보호 체계를 강화하겠다는 입장을 내놓고 있다.
국내 시장 점유율 2위인 중국계 로봇청소기 제조사 에코백스는 KISA의 발표가 있기 전인 올해 7월에 취약점을 자체 확인하고 개선을 완료했다는 입장을 밝혔다. 에코백스 관계자는 “해당 취약점을 순차적으로 수정해 앱·서버 보완과 펌웨어 업데이트를 마쳤고, 9월 이후에도 정기적인 보안 업데이트와 자율 점검을 지속 중”이라고 설명했다.
이어 “인기 모델 ‘디봇 X8 프로 옴니’가 글로벌 인증기관 UL 솔루션즈 IoT 보안인증 최고 등급 다이아몬드, 독일 튜프 라인란드 보안인증을 취득했다”고 설명했다. 개인정보에 대해서는 중국이 아닌 해외 클라우드(AWS, 세일즈포스 등)에 암호화된 형태로 저장한다는 입장이다.
국내 로봇청소기 점유율 1위 업체인 로보락도 개인정보 보호와 신뢰성 강화를 위해 노력하고 있다는 입장을 밝혔다. 일부 보도에 따르면, 로보락은 KISA 조사에서 중국 기업 중 유일하게 전 항목 ‘양호’ 이상 평가를 받았다. 한국 이용자 개인정보는 미국 데이터센터에 암호화 상태로 저장되며, 영상·사진 데이터는 서버에 보관하지 않는다는 것이 로보락 측의 설명이다.
올해 초 앱 정책의 ‘중국에서 직접 수집’ 문구 논란에 대해서는 로보락 측은 “법적 고지 문구일 뿐 실제 데이터는 국내 개인정보보호법을 포함한 각국 법령에 따라 관리된다”고 해명했다. 로보락은 “국내외 보안 기준을 충족하는 관리 체계를 유지하고 KISA 권고에 따라 보안 정책과 시스템을 지속 강화하겠다”고 말했다.
IoT 보안 전문가 “펌웨어 무결성·안전 업데이트·데이터 최소수집이 핵심”
전문가들은 생활밀착형 IoT 기기가 개인정보를 다루는 만큼 최소한의 인증 의무화가 필요하다고 본다. 스마트홈 기기의 보안을 연구하는 IoT 융합보안 전문기업 지엔(ZeN)은 “지금 필요한 것은 자율만으로 채울 수 없는 ‘기본 보안 내재화’”라고 강조했다.
지엔 관계자는 “로봇청소기처럼 모바일앱, 클라우드, 디바이스가 연결된 제품은 설계 단계부터 보안을 집어넣는 ‘시큐어 바이 디자인’이 전제돼야 한다”며 “보안 부트(secure boot)·펌웨어 서명·암호화·키 보호로 부트 체인의 신뢰를 확보하고, 동시에 OTA 업데이트 서명 검증·전송 무결성 기능과 롤백 방지를 기본값으로 넣어야 한다”고 설명했다.
이어 “제품 출시 후에도 ‘소프트웨어 구성 명세서(SBOM)’를 바탕으로 오픈소스 취약 라이브러리를 상시 교체하고, JTAG/UART 등 디버그 포트의 출고 전 차단, 루트 권한 최소화, 원격접속 기본 ‘꺼짐’ 같은 운영 보안 지침이 병행돼야 한다”고 덧붙였다.
지엔은 특히 프라이버시 보호의 기술적 내재화가 중요하다고 강조했다. “영상·음성은 가능한 로컬(엣지) 전처리를 기본으로 하고, 서버로 가는 메타데이터·위치·이동경로는 비식별화해야 한다. 또한 클라우드 리전 고정과 데이터 경로 투명화를 통해 이용자가 데이터 흐름을 확인할 수 있어야 한다”는 설명이다.
펌웨어 업데이트 관행과 관련해서는 “출시 후 2~3년 업데이트 종료 관행을 중단하고 최소 5년 이상 보안패치를 보장하도록 판매하고, 관련 사항을 A/S 정책에 명시해야 소비자 신뢰를 회복할 수 있다”고 조언했다.
아울러 “정부·제조사·보안기업의 역할 분담이 중요하다”며 “정부는 인증 기준·시험 방법 명확화와 비용 지원, 제조사는 설계 단계의 업데이트·키관리·취약점 대응 프로세스 구축, 보안기업은 AI 기반 자동 분석·검증 기술로 비용·인력 한계를 메워 실행력을 높여야 한다”고 말했다.
법 개정 추진 “IoT 보안 인증 제품 표시·중소기업 지원 근거 마련”
국회에서는 IoT 기기 보안 강화를 위한 법 개정이 추진되고 있다. 그동안 기업 자율에만 맡겨진 인증 제도로는 빠르게 확산되는 IoT 제품의 보안 위험을 선제적으로 막기 어렵다는 판단에서다.
이정헌 더불어민주당 의원은 지난 3월 ‘정보통신망 이용촉진 및 정보보호 등에 관한 법률 일부개정법률안’을 대표 발의했다. 개정안은 ▲보안인증을 받은 기업이 제품에 인증 내용을 표시할 수 있도록 하고 ▲인증시험 수수료 지원 등 중소기업 부담 완화 근거를 신설하는 내용을 담고 있다. 이는 자율 인증을 실질적으로 활성화하고, 소비자가 ‘보안 인증 제품’을 명확히 인식하도록 하려는 것이다. 개정안은 현재 상임위원회에서 심사가 진행 중이다. 이와 관련해 과기정통부 류제명 2차관은 국감에서 “IoT 보안인증은 국제적으로 임의 인증이지만 제도 개선과 법 개정 검토를 병행하겠다”고 밝힌 바 있다.
제도 개선과 관련해 지엔 관계자는 “자율 참여 확대만으로는 시장 전반의 기준선을 끌어올리기 어렵다”며 “의무 인증화를 검토하면서, 조달·보험 가점 등 실질적 인센티브를 병행해 제조사 참여를 끌어올려야 할 필요가 있다”고 제언했다. 이어 “국내 인증 제도가 사이버복원력법(CRA·RED) 같은 유럽 규제와 미국표준기술연구소(NIST) 보안 가이드라인 등 국제 기준과 정합성을 갖추는 방향으로 발전해야 한다”고 덧붙였다.
생활공간을 촬영하고 데이터를 전송하는 IoT 기기는 이미 수백만 대가 국내 가정에 보급돼 있다. 기술의 편의성만큼 개인정보 보호의 안전망도 강화돼야 한다. KISA와 정부의 제도 개선·기업의 자율 대응·국회의 입법이 함께 작동하고, 현장의 기술 해법이 내재화될 때 생활 속 IoT 보안의 기준도 한 단계 높아질 것으로 기대된다.
글. 바이라인네트워크
<곽중희 기자> god8889@byline.network
