중국산 로봇청소기 해킹 취약점 다수 확인
서빙로봇은 보안 실태조사 대상 조차 아니라 사각지대
[보안뉴스 강현주 기자] 국내 식당 곳곳에서 사용되고 있는 중국산 서빙로봇이 해킹 위험에도 보안 실태 점검조차 할 수 없다는 지적이 나왔다.
21일 최수진 국민의힘 의원은 중국산 서빙 로봇에 대한 해킹 위험에 대해 지적했다.
앞서 한국인터넷진흥원(KISA)이 일부 중국산 로봇청소기 제품을 점검한 결과, 일부 제품이 해킹에 구조적으로 취약한 것으로 드러났다. 하지만 중국산 서빙로봇의 경우 이같은 보안점검을 실시할 수 있는 법적 근거조차 없다. 실태 파악이 어려운 실정이다. 사실상 ┖해킹의 사각지대┖나 다름 없다는 지적이 나온다.
▲중국 로봇 이미지 [자료: 푸두로보틱스]
KISA는 시중에 유통되고 있는 중국산 로봇청소기 4대를 대상으로 보안점검을 실시했다. 이중 3대에 암호화 파일 복호화·카메라 제어·악성파일 업로드 등 사생활 침해로 이어질 수 있는 심각한 취약점이 있다는 점이 확인됐다. KISA는 해당 제조사에 즉시 개선명령을 내리고 보안패치 이행을 요구했다. 하지만 이마저도 KISA에 현행법상 사전점검 및 결과 공표 권한이 없다. ‘사고 후 대응’에 지나지 않을 것이라는 우려가 있는 상황이다.
일부 중국 제조사는 로봇을 스마트폰 앱을 통해 작동하도록 설계하고 있다. 심지어 해당 앱의 약관에 “사용자가 업로드한 사진·영상 등을 회사가 자유롭게 이용할 수 있다” 라는 조항이 포함돼 있다. 이 약관 구조대로라면 로봇이 촬영한 집 내부 영상이 제조사 서버로 전송되거나, 내부적으로 활용될 가능성을 배제하기 어렵다. 앱을 통해 전송되는 영상 데이터가 어디로, 어떻게 사용되는지 소비자가 통제하기 어려운 구조다.
최수진 의원실이 KISA로부터 추가 제출받은 ‘서빙로봇 보안대책 검토현황’에 따르면, 현재 국내에 보급된 서빙로봇은 약 1.7만대 정도이며, 식당과 호텔, 공공시설 등 다양한 장소에서 사용되고 있다. 이 중 60%는 중국산 제품으로 추정되는데, 이들은 로봇청소기만큼이나 해킹에 취약한 구조를 갖고 있다. 특히 외부 클라우드와의 실시간 통신을 통해 영상과 위치 데이터를 전송하기 때문에 서버가 중국에 있을 경우 정보가 유출될 위험성이 크다.
실제로 미국은 이러한 이유로 중국산 드론과 로봇을 안보 위협 장비로 규정해 연방정부의 구매 및 사용을 금지하고 있으며, 유럽연합 역시 중국산 로봇에 대한 데이터 주권 검증 절차를 강화하고 있다.
하지만 KISA 등 국내 기관에서는 서빙 로봇에 대한 보안 점검 권한조차 가지고 있지 않은 상황이다. 서빙 로봇은 소비자가 직접 구매하는 것이 아닌, 기업 간 거래(B2B) 품목이기 때문이다.
KISA 관계자는 “서빙 로봇을 대상으로 해킹 사고가 발생하기 전 사전 보안점검을 수행하기에는 제도적 한계가 존재한다”고 말했다.
KISA 등 국내 기관이 서빙 로봇에 대해서 단순 사후 대응이 아니라 사전 점검, 개선 권고, 결과 공표까지 가능하도록 제도 개편이 필요한 이유다.
최수진 의원은 “집 안이 찍히고, 식당이 털리는 시대”라며 “서빙로봇 등 생활밀착형 로봇이 중국 서버와 통신하는 구조를 방치한다면 언젠가 한국형 빅브라더의 통로가 될 것이다"라고 경고했다. 이어 “현행법상 정부의 보안인증제도는 국내 제품에 국한되어 있는데, 이를 수입 제품까지 확대해야 한다”고 덧붙였다.
[강현주 기자(jjoo@boannews.com)]
서빙로봇은 보안 실태조사 대상 조차 아니라 사각지대
[보안뉴스 강현주 기자] 국내 식당 곳곳에서 사용되고 있는 중국산 서빙로봇이 해킹 위험에도 보안 실태 점검조차 할 수 없다는 지적이 나왔다.
21일 최수진 국민의힘 의원은 중국산 서빙 로봇에 대한 해킹 위험에 대해 지적했다.
앞서 한국인터넷진흥원(KISA)이 일부 중국산 로봇청소기 제품을 점검한 결과, 일부 제품이 해킹에 구조적으로 취약한 것으로 드러났다. 하지만 중국산 서빙로봇의 경우 이같은 보안점검을 실시할 수 있는 법적 근거조차 없다. 실태 파악이 어려운 실정이다. 사실상 ┖해킹의 사각지대┖나 다름 없다는 지적이 나온다.
▲중국 로봇 이미지 [자료: 푸두로보틱스]
KISA는 시중에 유통되고 있는 중국산 로봇청소기 4대를 대상으로 보안점검을 실시했다. 이중 3대에 암호화 파일 복호화·카메라 제어·악성파일 업로드 등 사생활 침해로 이어질 수 있는 심각한 취약점이 있다는 점이 확인됐다. KISA는 해당 제조사에 즉시 개선명령을 내리고 보안패치 이행을 요구했다. 하지만 이마저도 KISA에 현행법상 사전점검 및 결과 공표 권한이 없다. ‘사고 후 대응’에 지나지 않을 것이라는 우려가 있는 상황이다.
일부 중국 제조사는 로봇을 스마트폰 앱을 통해 작동하도록 설계하고 있다. 심지어 해당 앱의 약관에 “사용자가 업로드한 사진·영상 등을 회사가 자유롭게 이용할 수 있다” 라는 조항이 포함돼 있다. 이 약관 구조대로라면 로봇이 촬영한 집 내부 영상이 제조사 서버로 전송되거나, 내부적으로 활용될 가능성을 배제하기 어렵다. 앱을 통해 전송되는 영상 데이터가 어디로, 어떻게 사용되는지 소비자가 통제하기 어려운 구조다.
최수진 의원실이 KISA로부터 추가 제출받은 ‘서빙로봇 보안대책 검토현황’에 따르면, 현재 국내에 보급된 서빙로봇은 약 1.7만대 정도이며, 식당과 호텔, 공공시설 등 다양한 장소에서 사용되고 있다. 이 중 60%는 중국산 제품으로 추정되는데, 이들은 로봇청소기만큼이나 해킹에 취약한 구조를 갖고 있다. 특히 외부 클라우드와의 실시간 통신을 통해 영상과 위치 데이터를 전송하기 때문에 서버가 중국에 있을 경우 정보가 유출될 위험성이 크다.
실제로 미국은 이러한 이유로 중국산 드론과 로봇을 안보 위협 장비로 규정해 연방정부의 구매 및 사용을 금지하고 있으며, 유럽연합 역시 중국산 로봇에 대한 데이터 주권 검증 절차를 강화하고 있다.
하지만 KISA 등 국내 기관에서는 서빙 로봇에 대한 보안 점검 권한조차 가지고 있지 않은 상황이다. 서빙 로봇은 소비자가 직접 구매하는 것이 아닌, 기업 간 거래(B2B) 품목이기 때문이다.
KISA 관계자는 “서빙 로봇을 대상으로 해킹 사고가 발생하기 전 사전 보안점검을 수행하기에는 제도적 한계가 존재한다”고 말했다.
KISA 등 국내 기관이 서빙 로봇에 대해서 단순 사후 대응이 아니라 사전 점검, 개선 권고, 결과 공표까지 가능하도록 제도 개편이 필요한 이유다.
최수진 의원은 “집 안이 찍히고, 식당이 털리는 시대”라며 “서빙로봇 등 생활밀착형 로봇이 중국 서버와 통신하는 구조를 방치한다면 언젠가 한국형 빅브라더의 통로가 될 것이다"라고 경고했다. 이어 “현행법상 정부의 보안인증제도는 국내 제품에 국한되어 있는데, 이를 수입 제품까지 확대해야 한다”고 덧붙였다.
[강현주 기자(jjoo@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.png){kind=spacer}
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
