미국에서 발생한 에코백스 로봇청소기 '디봇 X2s' 해킹 문제에 대해 중국 에코백스 본사가 국내 소비자를 대상으로 첫 공식 입장을 밝혔다.
해킹은 5월 미국에서 발생한 대규모 개인정보유출 사고 관련 계정 정보를 이용한 접속 시도인 것으로 분석했다. 향후 산업 표준과 국가별 보안인증 기준을 수렴하겠다는 내부방침을 수립했다고 확인했다.
에코백스 본사 소속 마틴 마 보안위원회 디렉터는 미국 해킹 사태 직후 가진 본지와 서면 인터뷰에서 “당시 유출된 개인정보를 이용해 전문적으로 에코백스 제품에 접속을 시도한 사례”라며 “사고 발생 이전부터 보안 전략을 개선한 데 이어 새로운 국가 인증과 산업 표준을 추가 획득하는 방안을 검토하겠다”고 밝혔다.
에코백스는 구체적 사고를 지목하진 않았다. 4~5월 발생한 미국 데이터 판매사 해킹 사고로 추정된다.
마틴 마 디렉터는 “통상 여러 플랫폼에서 동일한 아이디와 비밀번호를 사용하는 경우가 많아 해커들이 해당 정보를 이용해 전문적으로 에코백스 기기 침입을 시도했다”며 “사용자 로그인을 위한 기기인증 절차를 강화했고 같은 문제가 발생하지 않도록 로그인 인증 매커니즘을 지속 개선할 것”이라고 말했다.
에코백스는 중국 로봇청소기 점유율 1위 기업이다. 국내 판매량도 상위권이다. 미국에서 제품을 해킹한 외부인이 카메라와 내장 마이크를 이용해 마음대로 로봇청소기를 동작시키는 문제가 발생했다.
앞서 8월에는 미국 최대 보안 콘퍼런스 '데프콘'에 참여한 보안 연구원들이 에코백스 로봇청소기의 보안 취약점 문제를 지적하기도 했다.
에코백스는 로봇청소기 'X2'와 잔디깎기용 로봇청소기 '고트' 제품에 대해 TUV 라인란드 인증(ETSI EN 303 645, 2PfG CH0003)을 받았다. 하지만 TUV 인증은 일상 사용 시나리오에 초점을 맞춘 것이라 전문적 해킹은 피하기 어려운 것으로 알려졌다.
마 디렉터는 “데프콘에서 취약점을 공개한 보안 연구원 데니스 기스에 따르면 주로 블루투스 연결 취약점과 PIN 코드 검증 관련 위험 요소가 문제였다”며 “이는 전문 해커가 특수 해킹도구를 사용해야 잠재적으로 기기를 공격할 수 있는 수준이며 일상 사용에서 발생할 가능성은 매우 낮다”고 설명했다.
또 “에코백스는 데프콘 이전부터 보안 전략 개선을 시작했고, 9월 말 블루투스 연결 인증과 운영 메커니즘 강화를 조치했다”며 “다음 달에는 펌웨어 업데이트로 블루투스 연결 보안 수준을 더 높일 계획”이라고 말했다.
마 디렉터는 블루투스 연결 취약성을 이용한 해킹이 일반 가정에서 발생하는 게 '사실상 제품 소유자가 협조하지 않으면 해킹이 어렵다'며 상세 조건을 설명했다.
우선 블루투스 해킹을 하려면 연결할 기기를 찾는데 소요되는 20분 안에 해킹이 이뤄져야 한다고 강조했다. 해커가 원하는 시간과 블루투스 연결 버튼을 누르는 시간이 맞아 떨어져야 하는 셈이다.
마 디렉터는 청소기와 해커 사이의 물리적 거리도 중요하다고 설명했다.
그는 “만약 해커와 로봇청소기 사이에 아무 장애물이 없는 개방된 환경이라면 80미터 이내에서만 해킹이 가능하다”며 “해커와 로봇청소기에 벽, 가구, 문 등 장애물이 있는 일반 환경에서는 20미터 이내에서만 해킹이 가능하다”고 설명했다.
에코백스는 트러스트이(TRUSTe), 유럽 제3자 프라이버시 신뢰 인증, 모바일 국가 인증(CCRC), 개인정보보호 기술 인증(ePrivacy App) 등 새로운 국가 인증과 산업 표준을 추가 획득하는 방안도 검토하고 있다.
마 디렉터는 “전담 프라이버시 관리팀을 구성하고 보안 개발 생명주기(SDLC)와 프라이버시 디자인(PbD)을 통합해 제품 개발 전체 단계에서 보안과 프라이버시를 통합 운영·관리하면서 프로세스 추적·감독 기능을 강화하고 있다”며 “신뢰성 높은 당국의 인증 기준을 지속 충족시켜 제품 신뢰성을 높이고 외부 인식 개선을 위해 노력하겠다”고 말했다.
배옥진 기자 withok@etnews.com