보안 취약점 발견된 로봇청소기, 안전하게 사용하려면?

#IoT보안 #KISA #LG전자 #가전 #가전제품 #로보락 #로봇 #로봇청소기 #로봇청소기구매 #물리보안 #보안 #보안인증 #삼성전자 #중고거래 #청소기 #펌웨어
김예지 yj@itdonga.com

[IT동아 김예지 기자] 로봇청소기는 단순한 가전제품이 아니라 카메라와 센서를 통해 외부와 통신하는 사물 인터넷(IoT) 제품이다. 높아진 성능과 편리함 덕분에 많은 가정에서 사용되고 있지만, 기기가 네트워크로 연결되면서 사생활 침해 및 개인정보 유출의 위험도 증가했다.

로봇청소기는 IoT 제품으로 하드웨어 및 소프트웨어 취약점이 존재한다 / 출처=AI 생성 이미지
로봇청소기는 IoT 제품으로 하드웨어 및 소프트웨어 취약점이 존재한다 / 출처=AI 생성 이미지

한국인터넷진흥원(KISA)과 한국소비자원이 지난 9월 발표한 로봇청소기 제품 보안 실태 조사 결과, 시중에 유통 중인 일부 제품에서 사생활 침해 및 개인정보 유출 가능성이 있는 보안 취약점이 확인됐다.

조사 대상은 ▲나르왈(프레오 Z 울트라) ▲드리미(X50 울트라) ▲로보락(S9 MaxV 울트라) ▲에코백스(디봇 X8 프로 옴니) ▲삼성전자(비스포크 AI 스팀) ▲LG전자(LG 코드제로 로보팅 AI 올인원) 등 6개 브랜드 제품이다. KISA는 기기 제어 및 설정 관련 ‘모바일 앱’, 제조사의 보안 업데이트 정책 등 ‘정책 관리’, 하드웨어·네트워크·펌웨어(내장 소프트웨어) 등 ‘기기 보안’ 분야에서 총 40개 항목을 점검했다.

전 제품 펌웨어 보안 설정 미흡

로봇청소기 보안 점검 종합결과 / 출처=KISA
로봇청소기 보안 점검 종합결과 / 출처=KISA

조사에 따르면 삼성전자, LG전자 2개 제품이 타사 제품 대비 우수했으나, 전 제품에서 펌웨어 보안 설정이 미흡하다는 점이 확인됐다. 나르왈, 드리미, 에코백스 등 3개 제품은 모바일 앱 부문에서 사용자 인증 절차가 취약해 불법적인 접근이나 조작 가능성이 발견됐다. 이는 해커가 별도 인증 없이 사용자의 식별자(ID) 정보로 클라우드 서버에 저장된 집 내부 사진에 접근하거나, 카메라 기능을 강제 활성화해 사생활을 엿볼 수 있는 취약점이다.

드리미 제품은 개인정보 관리가 미흡했다. 사용자가 글로벌 웹사이트 게시판에 글을 작성하면 해커가 별도 인증 없이 이름, 전화번호, 이메일을 조회할 수 있었다. 또한 취약점 관리 정책과 보안 업데이트 정책이 부실해 사용자 개인정보 유출이 우려됐다. 또한 드리미, 에코백스 제품은 하드웨어의 물리적 보안 및 인터페이스 보안이 미흡한 점도 지적됐다.

네트워크 인증, 암호화, 데이터 보호 등 네트워크 보안 항목에서는 6개 전 제품 모두 보안 수준이 양호했다. 그러나 IoT 기기에서 가장 취약점이 많은 것으로 알려진 펌웨어 분야에서는 6개 전 제품 모두 보안 설정이 미흡했다. 불필요한 기능이 존재하거나 보안 설정이 제대로 적용되지 않은 경우로, 기기 내부 보안 매커니즘이 외부에 노출될 수 있는 우려가 존재했다.

안전한 로봇청소기 사용 위한 보안 수칙

새로운 로봇청소기를 구매하고 설치하는 순간부터 보안 관리가 시작된다 / 출처=셔터스톡
새로운 로봇청소기를 구매하고 설치하는 순간부터 보안 관리가 시작된다 / 출처=셔터스톡

KISA는 6개 브랜드 제조사에 품질개선 이행 계획을 알리고, 취약점 특이사항을 즉시 조치하도록 권고했다. 이와 더불어 사용자에게 안전한 비밀번호 설정, 주기적인 보안 업데이트 등 기본적인 보안에 주의할 것을 당부했다. 로봇청소기를 안전하게 구매 및 설치하고, 중고 거래하는 방법을 알아보자.

우선 새로운 로봇청소기를 구매하고 설치하는 순간부터 보안 관리가 시작된다. 따라서 사용자는 구입 전부터 보안 인증 제품인지 확인하는 게 좋다. 매뉴얼, 제품 소개서 등에 KISA IoT 보안 인증 등 취득 사항이 표시돼 있다면, 해당 제품은 기본적인 보안 요구사항을 충족했다는 의미다. IoT 보안은 하드웨어, 소프트웨어, 네트워크, 클라우드 서버가 상호작용하는 구조로, 각 계층별 보안 위협이 얽혀 있어 인증이 까다로운 편이다. 이에 따라 제조사는 각 계층을 아우르는 통합적이고 선제적인 보안 대응책을 마련해야 한다.

기기 구매 후, 초기 설정된 비밀번호가 있다면 반드시 변경하자. 카메라 등 민감한 기능은 패턴 등으로 추가 인증을 해둔다. 로봇청소기를 제어하는 모바일 앱은 공식 앱 마켓에서만 다운로드하고, 출처가 불분명한 파일은 피한다. 또한 앱에서 수집하는 정보를 파악하고, 불필요한 제3자 제공 동의는 거부하는 게 좋다. 로봇청소기가 집안 지도를 작성하고 영상을 촬영하는 만큼 내 정보가 어떻게 다뤄지는지 아는 것이 중요하기 때문이다.

로봇청소기 중고 거래 시 공장 초기화를 해야 한다 / 출처=IT동아
로봇청소기 중고 거래 시 공장 초기화를 해야 한다 / 출처=IT동아

사용 중에는 앱 또는 기기의 최신 보안 패치를 적용해 지속적인 네트워크 보안 관리에 신경 쓴다. 자동 업데이트가 지원된다면 설정하는 것도 방법이다. 로봇청소기와 연결되는 네트워크 환경도 안전해야 한다. 연결되는 공유기가 WPA3·WPA2(와이파이 네트워크를 보호하기 위한 최신 보안 표준) 보안 방식을 사용하는지 확인한다. 만약 앱에서 낯선 메시지나 로그를 발견하면 즉시 비밀번호를 변경하고, 최신 패치가 적용됐는지 확인한다. 이상 신호가 반복된다면 제조사에 문의해 지원을 받는다.

한편 중고 거래 시에도 구매 전처럼 꼼꼼하게 제품을 따져보아야 한다. 구매자는 기기의 공장 초기화와 기존 데이터 삭제 및 계정 연결 해제 상태를 점검하고, 최신 펌웨어 업데이트 여부를 확인한다. 판매자는 공장 초기화를 통해 앱 내 저장된 지도 정보가 완전히 삭제됐는지, 또한 계정을 연동 해제 또는 삭제했는지 반드시 확인한다.

IT동아 김예지 기자 (yj@itdonga.com)

#IoT보안 #KISA #LG전자 #가전 #가전제품 #로보락 #로봇 #로봇청소기 #로봇청소기구매 #물리보안 #보안 #보안인증 #삼성전자 #중고거래 #청소기 #펌웨어
IT동아의 모든 콘텐츠(기사)는 Creative commons 저작자표시-비영리-변경금지 라이선스에 따라 이용할 수 있습니다.
의견은 IT동아(게임동아) 페이스북에서 덧글 또는 메신저로 남겨주세요.
관련 기사
이전 위로 목록 다음
인기 뉴스
최신 기사
리뷰
강의