시중에 유통 중인 한 중국산 로봇청소기가 보안 성능을 홍보하는 문구. 사진 홈페이지 캡처

“최고 수준의 보안 등급으로 안심하고 사용 가능”(에코백스)
“1등을 믿으세요, 보안안심센터”(로보락)
“보안 성능의 새로운 기준”(나르왈)
“안전한 양방향 소통”(드리미)

현재 시중에 판매되고 있는 중국산 로봇청소기들은 이같은 홍보문구를 내걸고 있다. 공식 홈페이지나 제품 판매글에선 모두 공인된 국제기관의 보안 인증을 획득했다고 강조한다. 그러나 최근 한국소비자원 조사에서 이들 제품들은 사생활 침해와 개인정보 유출 가능성 등 각종 보안 취약점이 잇따라 발견됐다. 국제 인증까지 내건 보안 마케팅의 허점은 무엇이었을까.

시중에 유통 중인 한 중국산 로봇청소기가 보안 성능을 홍보하는 문구. 사진 홈페이지 캡처

한국소비자원은 지난달 2일 로봇청소기 6개 제품을 대상으로 총 40개 보안 항목에 대한 실태 조사 결과를 발표했다. 국내 2개 업체(삼성전자·LG전자)만 유일하게 모바일앱 보안과 정책 관리 항목 종합 평가에서 모두 우수 판정을 받았다. 반면 중국 업체는 카메라 기능 강제 활성화나 악성파일 전송, 비밀번호 유출 등의 취약점이 발견됐다.

조사 대상 제품은 ▶BESPOKE AI 스팀(삼성전자) ▶코드제로 로보킹 AI 올인원(LG전자) ▶프레오 Z 울트라(나르왈) ▶X50 Ultra(드리미) ▶S9 MaxV Ultra(로보락) ▶디봇 X8 프로 옴니(에코백스)였다.

보안 취약점이 발견되기 전부터 해당 중국산 로봇청소기 제품들은 보안 성능을 특별히 강조해왔다. 중국 4개 업체는 제품 소개에서 공통적으로 국제 공인시험인증기관의 로고를 부각시켰다. 유럽전기통신표준협회(ETSI)가 제정한 사물인터넷(IoT) 보안 관련 국제 표준인 ‘EN 303 645’를 준수했다는 의미다.

박경민 기자

문제는 국제 인증이 요구하는 보안 수준을 업체들이 제대로 준수하지 못했다는 점이다. 한국소비자원은 중국 업체들이 ‘EN 303 645’에 대한 인증을 취득했음에도 보안 업데이트 정책이나 개인정보 보호 조치를 제대로 이행하지 않았다고 지적했다.

2020년에 제정된 ‘EN 303 645’는 소비자 IoT 제품에 대한 세계 최초 국제 표준으로, 총 13개의 사이버 보안 요구사항을 담고 있다. 주요 내용으로 ‘소프트웨어 업데이트 유지’ ‘취약점 보고 관리 수단 구현’ ‘개인 데이터 안전 보장’ ‘민감한 보안 매개변수의 안전한 저장’ 등이 있다.

인증 발급 기관 관계자는 “EN 303 645 관련 인증을 받았다는 건 유럽 시장에서 통용될 수 있는 보안 수준을 갖췄다는 걸 의미한다”며 “한국소비자원은 이보다 더 엄격한 기준으로 시험을 진행한 부분도 있었다”고 말했다. 한국소비자원의 권고에 따라 현재 조사 대상 제품들은 모두 취약점 개선 조치를 완료했다.

LG전자 모델이 히든 스테이션에서 나오는 로봇청소기를 체험하고 있다. 사진 LG전자

반면 삼성전자와 LG전자는 국내 인증과 자체 보안 기술력을 앞세웠다. 삼성전자 제품은 한국인터넷진흥원(KISA)의 IoT 보안 인증 최상위 등급을 취득했다. 로봇청소기로는 국내에서 유일하다. LG전자는 자체 보안 체계인 ‘LG 표준 보안개발프로세스(LG SDL)’를 개발해 로봇청소기에 적용 중이다.

삼성전자 로봇청소기 '비스포크 AI 스팀'. 사진 삼성전자

전문가들은 국제 인증 여부보다 더 중요한 건 지속적인 보안 업데이트 등 사후 관리에 있다고 강조한다. 지재덕 국민대 정보보안암호수학과 연구교수는 “국제적으로 공인된 인증을 받았다고 해서 모든 환경에서 보안 문제가 없다고 단정할 수는 없다”며 “해킹 기법이 계속 진화하는 만큼 인증 이후에도 신규 취약점이 발견되면 제조사가 얼마나 신속하게 펌웨어 업데이트와 보안 패치를 제공하느냐가 핵심”이라고 말했다.

소비자 스스로의 보안 관리도 중요하다. 한국소비자원 관계자는 “주기적으로 모바일 앱에서 보안 패치 여부를 확인하고 자동 업데이트 기능이 지원된다면 이를 반드시 활성화하는 것이 좋다”며 “초기 비밀번호는 영문·숫자·특수문자를 조합한 8자리 이상으로 바꿔야 한다”고 조언했다.