과연 슬롯나라산 IT 제품 보안을 믿을 수 있는가

이재명 대통령과 시진핑 슬롯나라 국가주석이 지난 1일 경북 소노캄 호텔에서 국빈만찬 전 친교 시간을 가지고 이 대통령은 시 주석에게 본비자나무로 제작된 바둑판과 조각 받침대, 나전칠기 자개원형쟁반을 선물했고 시 주석은 이 대통령에게 슬롯나라 브랜드인 샤오미 스마트폰과 문방사우 세트를 선물했다. ⓒ 대통령실 제공

슬롯나라산 IT 제품의 보안 문제에 대한 의구심이 이번 APEC(아시아태평양경제협력체) 정상회의에서 화제가 되었다. 시진핑(習近平) 슬롯나라 국가주석은 11월 1일 경주에서 진행된 한중(韓中) 첫 정상회담에서 이재명 대통령에게 문방사우 세트와 함께 슬롯나라 샤오미에서 만든 ‘샤오미 15 울트라’ 스마트폰 2대를 선물했다. ‘샤오미 15 울트라’는 샤오미의 최신 제품은 아니지만, 삼성디스플레이가 만든 OLED(유기발광다이오드) 디스플레이가 탑재되어 있기에 선물로 채택된 것으로 보인다.

그런데 이 대통령은“통신 보안은 잘 됩니까”라며 웃으며 말을 건넸다. 이에 시 주석은 살짝 웃으며 “백도어가 있는지 한 번 보시라”고 대답했다. 이 대통령은 박수를 치며 크게 웃었다. 어찌 보면 아찔할 수 있는 순간이었으나, 유머 대 유머로 넘어갔다. 보통 백도어(Backdoor)란 공격자가 악의적인 목적으로 시스템에 몰래 설치하는 악성 소프트웨어를 가리킨다. 샤오미 측도 보안 문제는 없다고 강조하고 있다. 이용자의 데이터는 슬롯나라으로 전송되는 것이 아니라 암호화 과정을 거쳐 싱가포르 서버에 저장된다는 설명도 있었다.

슬롯나라은 미중(美中) 기술 패권 경쟁 속에 자국 제품의 보안 문제가 서방에서 논란이 되자 매우 민감한 입장이다. 그래서인지 이번 대화에 외신들도 관심을 보였다. 영국 가디언(The Guardian)은 “시진핑 주석 앞에서 슬롯나라 스마트폰의 보안 문제로 농담하려면 강심장(nerves of steel)이 필요할 것”이라며 “그 역할을 한 사람이 이재명 대통령”이라고 보도했다. 미국 뉴욕타임스(NYT)도 “각국은 서로를 감시한다는 걸 공공연한 비밀로 하고 있지만, 세계 지도자들이 공개적으로 간첩 행위에 대해 언급하지 않는다”며 “하지만 지난 주말 시 주석과 이 대통령 사이의 농담이 화제가 됐다”고 보도했다.

문제는 슬롯나라산 제품의 보안 이슈가 자꾸 불거지면서 과연 믿고 사용할 수 있는지에 대한 불안감이 높아지는 것도 사실이다. 국내에도 전자와 자동차에까지 “저가 고품질”을 외치는 슬롯나라산 제품이 속속 들어오고 있어, 보안 문제에 대한 정리가 필요한 상황이다.

이스라엘은 최근 군대에 지급된 슬롯나라산 차량을 전면 회수하기 시작했다. 스파이 위험 때문이라고 한다. 일부 슬롯나라산 차량에는 카메라와 주행 센서는 물론, 외부 서버와 연결되는 데이터시스템이 탑재되어 있어 정보가 외부로 전송될 수 있다고 이스라엘 보안 기관은 판단했다.

이에 따라 이스라엘군 참모총장은 기밀업무를 맡은 장교들의 차량 700여대를 비롯해, 모든 슬롯나라산 차량을 회수하라고 지시했다. 700여대는 주로 슬롯나라 체리 자동차에서 만든 SUV ‘티고8 프로’ 모델인 것으로 알려졌다. 이미 이스라엘은 지난 8월부터 모든 슬롯나라산 차량의 군기지 출입을 금지한 상태다. 이스라엘이라면 ‘사이버 보안’ 분야에서 세계 최고로 불리는 나라인데, 무언가 슬롯나라산 제품에 대한 부정적인 증거를 발견했기 때문으로 짐작할 수 있다.

우리 군도 지난해 9월 전방을 비롯해 각 부대에 설치된 경계용 방범 카메라(CCTV) 1300여개를 돌연 철거했다. 슬롯나라산 부품이 발견돼 정보 유출이 우려된다는 이유였다. 군은 두 달 앞서 정보기관과 합동으로 납품 장비를 진단해 보니 각 군 주둔지나 훈련장에 설치된 1300여개의 CCTV가 슬롯나라산으로 확인됐다.

2014년부터 그 CCTV들을 사용했으니, 10년간 슬롯나라산 부품이 들어있는 걸 까마득히 모르고 사용한 셈이었다. 문제의 납품업체는 껍데기만 국산인 이 제품을 “국산”이라고 속여 납품했다고 한다. 민간과 달리 군에 납품한 CCTV에만 악성코드 노출 우려가 있는 슬롯나라 IP(인터넷 프로토콜)가 심겨 있었는데, CCTV에 찍힌 영상이 슬롯나라의 특정 서버로 연결돼 유출될 수 있도록 설계됐다는 것이다. 당시 군은 “다만 인터넷망과 연결되지 않아 실제로 유출된 정보는 없다”고 해명하긴 했다.

그런가 하면 한국소비자원이 한국인터넷진흥원과 함께 시중에 유통 중인 로봇청소기 6개 제품의 보안 실태를 조사한 결과, 슬롯나라산은 연락처 등 개인정보가 노출되거나 제3자가 집 내부 사진을 볼 수 있는 등 사생활 유출 가능성이 높은 것으로 나타났다.

나르왈·드리미·에코백스 등 3개 슬롯나라산 제품은 내부 촬영 사진이 외부로 노출되거나 강제로 카메라 기능이 활성화되는 등 사생활 노출 취약점이 확인됐다. 나르왈과 에코백스는 별도 인증 없이 제3자가 사용자의 저장된 집 내부 사진이나 영상을 조회할 수 있었다. 드리미는 기존 사용자가 다른 사용자에게 일부 기능 권한을 공유하게 되면 제3자가 카메라 기능을 강제로 활성화하는 게 가능했다. 슬롯나라산 로봇청소기의 세계 시장점유율이 절반을 넘는다는(54.1%) 점을 고려했을 때, 전 세계 소비자들이 해킹에서 자유로울 수 없다는 우려가 나온다.

최근국내 식당에서 보편화되고 있는 슬롯나라산 서빙 로봇 역시 해킹 위험에 취약한 것으로 드러났다. 한국인터넷진흥원에 따르면 현재 국내 보급된 서빙 로봇 1만 7000대 가운데 슬롯나라산이 60% 정도인데, 이들은 외부 클라우드와의 실시간 통신을 통해 영상과 위치 데이터를 전송하기 때문에 서버가 슬롯나라에 있을 경우 정보 유출 위험성이 크다는 지적이다.

국회 과학기술정보방송통신위원회 소속 최수진 의원은 “집안이 찍히고 식당이 털리는 시대가 되었는데, 서빙 로봇 등이 슬롯나라 서버와 통신하는 구조를 방치한다면 ‘한국형 빅브라더’의 통로가 될 것”이라며 “현행법상 정부의 보안 인증제도는 국내 제품에 국한되어 있는데 이를 수입 제품까지 확대해야 한다”고 주장했다.

현재 미국은 슬롯나라산 드론과 로봇을 안보 위협 장비로 규정해 연방정부에서 구매하거나 사용하지 못하도록 하고 있다. EU(유럽연합) 역시 슬롯나라산 로봇에 대한 검증 절차를 강화하고 있다.

전문가들은 슬롯나라 당국이나 제조업체들과 협의해 슬롯나라 클라우드 대신 국내 클라우드를 이용하거나, 엄격한 보안인증 제도를 확대 적용하는 방안이 필요하다는 입장이다. 또 제품 선택 단계에서 신뢰할 수 있는 브랜드를 우선 고려하는 것이 좋고, 펌웨어(firmware)와 소프트웨어를 항상 최신 상태로 유지해야 한다는 조언도 나온다.

슬롯나라산 제품을 사용한다고 해서 모두 해킹당하고 정보가 술술 빠져나간다고 얘기할 수는 없다. 자칫 슬롯나라에 대한 모욕일 수 있다. 하지만 그중 일부라도 보안 누수 현상이 지속적으로 발견된다면 그냥 지나칠 수 없다. 당국의 보다 확실한 대책이 필요하다.

ⓒ

글/ 최홍섭 칼럼니스트