음성비서가 '사탄의 인형' 될 수 있다는데…

영국 보안전문가, 사물인터넷 인형'클라우드펫' 해킹 위험성 폭로…82만명 계정 정보 털릴 뻔

음성, 영상 데이터를 클라우드 장치에 저장하는 인형 '클라우드펫'. 이미지 출처 = 클라우드펫닷컴

[아시아경제 디지털뉴스본부 박충훈 기자] 해외 어린이들에게 인기를 끌고 있는 사물인터넷(IOT) 장치 '클라우드펫'이 별다른 보안수단 없이 개인정보를 저장하고 있었던 것으로 드러나 충격을 주고 있다. '클라우드펫'은 스마트폰 전용앱으로 녹음한 음성메시지를 클라우드 서버에 보관했다가 원격에서 재생할 수 있게 해주는 인형이다.

영국의 보안 전문가 트로이 헌트는 지난달 28일(현지시간) 자신의 홈페이지를 통해 클라우드펫에 담긴 개인정보가 유출돼 범죄에 사용될 수 있다고 경고했다. 헌트는 해킹정보를 공유하는 모임을 통해 클라우드펫 사용자 데이터를 입수했다. 해당 데이터에는 82만명에 달하는 계정 사진과 220 만 건 이상의 음성 메시지가 포함됐다. 이 데이터는 보안 인증이 필요없는 공개 데이터베이스 '몽고디비(MongoDB)'에 저장됐으며 사물인터넷 자료 검색 엔진 '쇼단(Shodan)'을 통해 얼마든지 접근할 수 있었다. 헌트는 자료를 자신에게 넘긴 사람이 데이터 유출의 위험성을 알리기 위해 클라우드펫 제조사와 관련업체들에게 연락을 시도했으나 모두 침묵으로 일관했다고 주장했다.

어린이용 사물인터넷 장치에 저장되는 데이터는 범죄에 사용될 수 있다. 데이터에 암호를 걸어놓고 복구 비용을 청구하는 랜섬웨어가 대표적이다. 계정 데이터에 포함된 어린이의 이름과 출생월일, 가족·친구목록도 유출시 악용될 가능성이 크다. 그야말로 귀여운 인형이 '사탄의 인형'으로 돌변할 수도 있다는 의미다. 현재 클라우드펫의 데이터베이스는 비공개로 전환됐으나, 제조사 '스파이럴 토이'가 소비자들에게 암호변경을 권유하는 등의 후속 대응을 하지는 않은 것으로 알려졌다. 헌트는 "클라우드펫 제조사는 아무런 대응도 없이 무책임한 행태를 보이고 있다"며 "정부기관에 이 사실을 통보할 생각"이라고 말했다.

이외에도 최근 세계 각국에서 아동용 사물인터넷 장치의 해킹 위험에 대한 우려의 목소리가 커지고 있다. 독일 정부는 지난달 17일 클라우드펫과 비슷한 음성비서 인형 '카일라 돌(Cayla Doll)'을 판매 중단 조치했다. '카일라 돌'은 구글 검색 데이터를 이용해 아이들과 대화하는 인형이다. 독일 당국은 이 인형이 개인정보 유출이나 도청 등에 사용될 수 있다고 설명했다. 영국의 보안업체 래피드세븐은 아기의 자는 모습을 원격으로 관찰하는 사물인터넷 장치 '베이비 모니터'를 만드는 업체들이 영상 암호화 등의 기초적인 보안조치조차 하지 않고 있다고 경고했다.

디지털뉴스본부 박충훈 기자 parkjovi@asiae.co.kr