동용으로 인기를 끄는 인공지능(AI) 장난감이나 스마트 교구가 보안에 취약하다는 분석이 나왔다. 일부는 한국에서도 시판되는 제품이었다.
비영리 단체 모질라 재단은 19일(현지시간) 유럽의 보안업체 7A시큐리티에 의뢰해 아동용 스마트 기기 10종의 보안을 점검해본 결과 대부분 제품에서 보안 허점이 발견됐다고 밝혔다.
점검 대상은 아마존 파이어 키즈 태블릿, 이모(Emo) 로봇, 고큐브 에지, 화웨이 워치 키즈4, 미코 미니, 플레이시푸 플루고 카운트, 파워업 4.0 에어플레인, 스피로 미니 액티비티 키트, 틱톡(TickTalk)5, 토니박스1 등이다. 이 중 플레이시푸 제품과 스피로 제품은 한국에서도 시판되고 있다.
많은 제품에서 확인된 취약점은 기기 내장 저장장치의 비암호화 문제였다. 조사 대상 기기 10개 중 6개는 이 같은 문제를 갖고 있었다. 아마존·화웨이와 같은 대기업 제품과 플레이시푸 제품을 포함한 결과다.
내장 저장장치에 암호화가 적용되지 않으면 제품을 분실하거나 도난당했을 때 또는 폐기했을 때 기기에 저장된 개인정보나 위치정보 등이 유출될 우려가 있다.
플레이시푸·스피로 등 5종에서는 스마트 기기와 연결되는 인터넷 서버의 보안 기능이 미비한 문제점이 있었다. 서버가 해킹에 뚫리면 이용자가 입력한 개인정보와 사용패턴 등이 유출될 우려가 있고, 일부 제품은 해커가 서버를 통해 원격으로 기기 제어권을 탈취할 수도 있다고 7A시큐리티는 설명했다.
스피로를 비롯한 3종에서는 블루투스 연결이 비밀번호 같은 별도 인증 절차 없이 가능해 가까운 곳에 있는 공격자가 기기에 연결할 수 있었다. 그 밖에 이모 로봇은 공격자가 제품에 내장된 스피커의 통제권을 탈취해 부적절한 메시지를 보낼 수도 있는 것으로 나타났다.
모질라 재단은 기기를 사용하지 않을 때는 카메라·마이크를 끄고 와이파이 접속을 막아둬야 하며 기본 비밀번호가 있다면 변경하라고 당부했다. 또 제품을 폐기할 때는 기기를 공장 초기화하고 내부 저장장치를 모두 제거해야 한다고 지적했다.
박수빈 한경닷컴 기자 waterbean@hankyung.com
관련뉴스
