[한스경제=박정현 기자] 중국산 전자제품이 국내 시장을 빠르게 잠식하는 가운데 국내에 상륙한 중국 정보통신(IT) 기업 샤오미의 애플리케이션 개인정보 보안 문제가 도마에 올랐다.

9일 한국인터넷진흥원(KISA)에 따르면 샤오미의 스마트 기기를 연결하는 애플리케이션 '미 커넥트'에서 보안 취약점이 발견됐다. KISA는 해당 앱의 인증 로직 검증이 부적절해 공격자가 사용자 인증 절차를 우회하고 기기 제어 권한에 접근할 수 있는 취약점이 있다고 지적했다.

루이스 콤브스 미국의 보안 분석가는 SNS를 통해 이번 사안이 사용자의 거실과 주방 전체를 무방비 상태로 만들 수 있다는 점에서 충격적이라며 스마트홈 환경 전반에 대한 보안 점검이 시급하다고 밝혔다.

'스마트 홈 생태계'를 겨냥해 한국 시장에 진출한 샤오미로선 치명적인 결함이 노출됐다. 샤오미는 1월 스마트폰과 태블릿은 물론 로봇청소기, 공기청정기, 홈카메라 등 사물인터넷(IoT) 기반의 스마트 가전 라인업을 앞세워 국내 시장에 진출했다. 삼성의 '스마트싱스', LG '싱큐'처럼 하나의 플랫폼에서 다양한 가전을 제어할 수 있는 '샤오미 생태계' 구축이 목표다. 

샤오미를 필두로 최근 국내에서 중국산 로봇청소기를 비롯한 스마트가전 판매가 늘면서 해킹과 개인정보 유출에 대한 불안감도 커지고 있다. 가전제품에 탑재된 카메라·마이크 등 첨단 센서가 해킹돼 집안 영상과 음성이 외부로 유출되는 사례가 늘어났기 때문이다.

실제로 국내 로봇청소기 시장의 절반가량을 장악한 중국 기업 로보락은 한국 사용자의 개인정보를 중국에서 수집 및 처리해온 것으로 확인됐다. 중국의 데이터보안법에 '정부가 국가 안보를 이유로 데이터를 요구할 경우 기업은 협조해야 한다'는 내용이 포함돼있어 우려가 크다. 지난해 10월 미국에서는 중국 에코백스의 로봇 청소기가 해킹돼 욕설을 하고 반려견을 쫓아가 공격하는 듯한 사례가 보고되기도 했다.

전문가들은 저가 IoT가 한국 안방으로 확산하면서 보안 공백이 오히려 커진 점을 지적한다. 국내에서는 샤오미 앱을 통한 위치 정보·건강 정보 수집 및 전송 구조에 대한 기술적 검증이 부족한 상황이다. 과기정통부는 지난해부터 IoT 하드웨어, 앱에 대한 보안인증을 강화하기 시작했다. 당시 강도현 과기정통부 제2차관은 “IoT 제품이 국민 생활 깊숙이 자리 잡는 것에 비해 보안에 대한 인식은 낮은 수준”이라며 “IoT 보안인증 제품을 확대해 안전한 사용환경을 만들어 나가겠다”고 밝혔다.

샤오미 측도 한국 소비자들의 개인정보 보호에 대한 우려를 이해하고 있다. 이날 샤오미 관계자는 "한국 사용자의 개인정보가 중국 본토로 전송되는 일은 절대 없을 것"이라고 강조했다.

하지만 국내 데이터센터 구축이나 클라우드 서비스 제공업체(CSP)와의 파트너쉽 계획에 대해서는 명확하게 밝히지 않았다. 국내에 보안 담당자를 배치하거나 국내 기업에 외주를 맡기는지도 확인하기 어려웠다.

앞서 조니 우 샤오미코리아 사장은 국내에서 정보보호책임자 등 전담 인력이나 조직이 있는지와 관련한 질문에 대해 "유저 프라이버시 보호를 위해 최선을 다 하고 있다"는 원론적 입장만 반복하며 구체적인 질문을 회피했던 바 있다.

샤오미는 한국 시장에서의 서비스 확대를 위해 향후 보안 이슈를 중점적으로 개선해나간다는 방침이다. 샤오미 관계자는 "한국 보안 기준에 부합하는 서비스를 제공하는 것은 샤오미의 최우선 과제"라며 "더욱 안전하고 신뢰할 수 있는 제품을 한국 소비자들에게 선보이도록 하겠다"고 말했다.

박정현 기자 awldp219@sporbiz.co.kr