서프샤크 “스마트 AI 보안 카메라, 새로운 사이버 위협 등극”

By곽중희

서프샤크는 스마트 보안 카메라에 적용된 인공지능(AI) 기능이 개인정보 보호에 새로운 위협이 될 수 있다는 연구 결과가 나왔다고 18일 밝혔다.

서프샤크는 최근 공개한 연구에서, 단순한 영상 녹화와 알림을 넘어 얼굴 인식과 차량 감지 기능을 제공하는 스마트 보안 카메라가 사용자의 생체 인식 정보와 메타데이터를 대량으로 수집·처리할 가능성을 지적했다. 이 과정에서 카메라 소유자뿐 아니라 이웃과 방문객의 얼굴, 차량 번호판 정보까지 함께 포착될 수 있다는 점이 문제로 제기됐다.

연구에 따르면, 다수의 스마트 보안 카메라는 보안 강화를 명분으로 동반 애플리케이션을 필수로 사용하도록 설계돼 있다. 그러나 이들 앱은 카메라 작동에 반드시 필요하지 않은 위치 정보, 기기 식별자, 사용 패턴 등 추가 데이터를 함께 수집하는 경우가 많았다.

서프샤크 사이버보안 전문가 미구엘 포르네즈는 “보안 도구가 불투명한 데이터 수집 구조를 갖게 되면, 오히려 개인정보 보호 위험으로 전환될 수 있다”고 경고했다. 그는 “집이라는 가장 사적인 공간이 충분한 통제 수단 없이 외부에 노출된다고 상상해보라”며 “문제는 단순한 영상 캡처가 아니라, 사용자가 자신의 생체 인식 데이터가 어디에 저장되고 누구와 공유되는지 알지 못한 채 활용된다는 점”이라고 말했다.

특히 이웃의 얼굴이나 차량 번호판을 명시적 동의 없이 인식·분석하는 기능은 주요 개인정보 침해 소지가 있다는 지적도 나왔다. 포르네즈는 “얼굴 인식과 같은 기능은 기술적 편의 이전에 법적·윤리적 검토가 선행돼야 한다”고 강조했다.

실제로 아마존 링(Amazon Ring)은 카메라에 포착된 인물을 식별하는 ‘익숙한 얼굴’ 기능을 도입한 이후 개인정보 보호 감시 기관과 시민단체의 비판을 받았다. 이 기능은 생체 인식 정보의 동의 방식과 처리 범위를 둘러싼 논란을 촉발했다.

국내에서는 얼굴 이미지와 같은 생체 인식 정보가 개인정보보호법에 따라 민감정보로 분류된다. 민간 기업이 이를 수집·이용하려면 원칙적으로 정보주체의 명시적 동의와 목적 고지, 기술적·관리적 보호 조치가 필요하다.

문제는 사용자가 이러한 법적 요구 사항을 충분히 인지하지 못한 채 AI 기능을 활성화한다는 점이다. 포르네즈는 “AI 기능을 사용하기 위해서는 카메라가 지속적으로 제조사 서버와 데이터를 주고받아야 하는 경우가 많다”며 “이 과정에서 영상뿐 아니라 위치 정보, 기기 아이디, 연락처 정보, 사용 이력, 생체 인식 정보까지 함께 전송될 수 있다”고 설명했다. 그는 이를 “침해 사고 발생 시 피해를 증폭시키는 또 하나의 감시 흐름”이라고 표현했다.

해킹 위험도 포르네즈는 “이미 알려진 취약점이 있는 스마트 카메라는 비교적 낮은 기술 수준의 공격자도 원여전히 존재한다. 격으로 통제할 수 있다”며 “실제로 인터넷에는 침해된 웹캠 목록을 제공하는 플랫폼도 존재한다”고 지적했다. 그는 “이 경우 보안 카메라는 집을 지키는 장비가 아니라 실시간 감시 도구로 전락할 수 있다”고 덧붙였다.

서프샤크는 이번 연구에서 주요 보안 카메라 브랜드 8곳을 분석했다. 이 가운데 6개 기업은 AI 기반 얼굴 인식 기능을, 7개 기업은 차량 감지 기능을 제공했다. 8개 기업 모두 사람 감지와 지능형 알림 기능을 갖추고 있었다.

동반 앱의 데이터 수집 규모는 아마존 링이 가장 컸다. 아마존 링 앱은 사용자와 연계된 15가지 유형의 데이터를 수집했으며, 구글 네스트(Google Nest)는 14개, 알로(Arlo)·심플리세이프(SimpliSafe)·비빈트(Vivint)는 각각 11개, 프론트포인트(Frontpoint)는 10개, ADT는 9개를 수집한 것으로 분석됐다.

아마존 링 생태계는 위치 정보, 사용자 또는 기기 식별자, 이메일 주소, 이름, 휴대전화 번호, 사진·영상, 실제 주소, 제품 사용 이력 등 다양한 데이터를 수집한다. 특히 일부 데이터는 ‘기타 목적’이라는 모호한 범주로 분류돼, 수집 이유가 명확히 드러나지 않는다는 점이 지적됐다.

광고 목적 데이터 활용 방식도 브랜드별로 차이를 보였다. 알로는 제삼자 광고를 위해 기기 식별자를 수집·공유한다고 명시했으며, 분석 대상 가운데 가장 많은 광고 관련 데이터를 수집했다. 비빈트와 구글 네스트는 각각 4개, 심플리세이프는 3개, 아마존 링과 ADT는 각각 1개의 데이터 유형을 광고 목적으로 수집했다.

이번 분석에서 상대적으로 개인정보 보호 친화적인 브랜드로 언급된 티피링크(TP-Link)는 제3자 서비스 연동 기능을 제공한다. 다만 이 기능은 기본적으로 비활성화돼 있으며, 활성화할 경우 보안 수준이 낮아질 수 있다는 점을 함께 안내하고 있다.

서프샤크는 “제조사가 제공하는 기본 생태계를 벗어난 연동은 충분한 이해 없이 사용하지 않는 것이 바람직하다”고 조언했다.

글. 바이라인네트워크
<곽중희 기자> god8889@byline.network

일간 바이라인 구독하기

곽중희

사람을 위한 보안을 취재합니다. 끝까지 배우며 글로 나아가겠습니다.

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다


The reCAPTCHA verification period has expired. Please reload the page.

[무료 웨비나] IdentityTV 2026: 아이덴티티 보안의 미래를 지금 확인하세요.

일시 : 2026년 7월 9일 (목) 14:00 ~ 15:40