아마존 ‘링’은 580만 달러짜리 ‘몰카’? 한국도 법적·제도적 장치 마련해야

아마존 직원, 81명 여성의 수천 개 동영상 ‘관음’ 英 PSTI법, 美 보안장비법 등 강도 높은 보안정책 도입 링 직원에 부여된 과도한 액세스 권한 ‘백도어’

160X600_GIAI_AIDSNote

지난달 31일(현지 시각) 미국 CNBC는 스마트 초인종 제품을 만드는 아마존의 자회사 ‘링’이 개인정보 침해 사건에 휘말렸다고 보도했다. 아마존은 연방거래위원회(FTC)가 제기한 소송을 해결하고자 580만 달러(약 75억8,000만원)를 지불하기로 한 것으로 알려졌다.

느슨했던 개인정보 보호 및 보안 조치

링의 스마트 초인종에는 고객의 안전을 지키기 위해 설계된 보안 카메라가 장착돼 있다. 그러나 일부 직원과 계약업체가 권한을 오용하면서 사람들의 사생활을 침해했다. FTC에 따르면 이들은 카메라가 꺼져 있을 때에도 카메라에 액세스하여 비디오를 다운로드한 것으로 드러났다.

놀랍게도 이들은 아무런 제한 없이 모든 링 고객을 ‘관음’할 수 있었다. 한 직원은 침실과 욕실에 설치된 카메라를 통해 최소 81명의 여성을 촬영한 동영상 수천 개를 시청한 것으로 알려졌다. 몇 달 동안 지속된 관음 행위에도 링의 상부는 이 사실을 전혀 눈치채지 못했다. 사건이 커지고 나서야 링은 2단계 인증과 종단 간 암호화 의무화 등 사용자 보호 조치를 취하면서 여론의 뭇매를 맞았다.

이번 스캔들에서 가장 문제시 되는 점은 링의 위험할 정도로 광범위한 접근과 개인정보 보호 및 보안에 대한 느슨한 태도다. 우크라이나에 기반을 둔 수백 명의 계약업체 밋 직원들은 모든 고객의 동영상에 제한 없이 접근할 수 있었다. 즉 누구의 감시도 받지 않고 마음대로 동영상을 보고, 다운로드하고, 공유할 수 있었다. 심지어 이들은 업무에 필요하지 않은 민감한 데이터도 자유롭게 액세스할 수 있었다.

FTC에 따르면 2019년 1월부터 2020년 3월까지 55,000명 이상의 미국 고객 계정이 유출됐다. 해커가 소수의 계정에 한 달 이상 액세스 권한을 유지한 사례를 비롯해 훔친 사용자 인증 정보로 계정에 침입하는 ‘크리덴셜 스터핑’을 통해 해킹 작업을 수행한 사실도 드러났다. FTC는 “링이 ‘password’, ‘12345678’과 같이 쉽게 추측할 수 있는 비밀번호를 사용할 수 있도록 허용해 무차별 암호 대입을 통한 계정 탈취가 더 쉬웠으며, 계정 해킹을 방지하기 위한 조치를 취하지 않았다”고 밝혔다.

링/사진=아마존

주택과 통신의 융합 보편화, IoT 기기 보안 강화의 필요성

일각에서는 이같은 개인정보 침해 사례를 우려해 사물인터넷(IoT) 기기의 보안 조치를 강화해야 한다고 목소리를 높인다. 이는 비단 미국만의 문제가 아니며, 우리나라를 포함한 많은 국가에서 엄격한 보안법 도입을 고려하고 있다.

실제로 영국은 IoT 보안을 강화하기 위해 PSTI법(Product Security and Telecommunications Infrastructure bill)을 도입했다. PSTI법에 따르면 IoT 기기의 비밀번호는 해커가 쉽게 알아낼 수 없을 정도로 강력해야 한다. 이를 어길 경우 제조사는 최대 1,000만 파운드(155억원) 또는 매출의 4%를 벌금으로 부과해야 하는 등 강력한 제재를 받는다. 미국도 연방통신위원회(FCC)의 거래 금지 목록에 오른 기업의 수입을 차단해 자국 내 보안을 강화하는 보안장비법(Secure Equipment Act of 2021)을 통과시킨 바 있다.

이에 우리나라에서도 미국과 영국처럼 법적·제도적 장치를 마련해야 한다는 지적이 잇따르고 있다. 특히 스마트홈, 지능형 주택 등 주택과 통신의 융합이 보편화됨에 따라 한국도 실질적인 보안 정책을 마련할 필요성이 높아지고 있다. 현재 일부 국내 제조업체는 여전히 IoT 기기에 ‘1111’ 또는 ‘1234’와 같은 간단한 비밀번호를 사용하고 있어 해킹에 더욱 취약한 실정이다. 또한 중국산 저가 통신 장비와 통신을 사용하는 가전제품도 국내에 많이 수입되고 있어 해킹의 위험성이 높다.

백도어 통해 제한 없이 액세스 및 다운로드

링 스캔들의 맥락에서 볼 때 직원과 계약업체에 부여된 과도한 액세스 권한은 ‘백도어’의 한 형태로 볼 수 있다. 이들은 백도어가 작동하는 방식과 마찬가지로 제한 없이 고객의 동영상에 액세스하고, 다운로드하고, 공유할 수 있었던 것이다. 백도어는 시스템에 액세스하기 위해 정상적인 인증을 우회하는 방법으로, 소프트웨어나 하드웨어에 숨겨져 있는 경우가 많다. 이를 통해 백도어에 대해 알고 있는 사람은 탐지되지 않고 시스템에 액세스할 수 있다.

백도어는 운영 체제의 커널, 프로그램, 심지어 암호화 알고리즘 등 다양한 곳에 삽입될 수 있으며, 일부 백도어는 의도적으로 만들어지기도 하고, 프로그래머의 감독 소홀이나 실수로 인해 만들어지기도 한다. 이번 링의 사생활 침해 사태는 기업과 소비자 모두에게 경각심을 불러일으킨다. 스마트 디바이스와 IoT를 통해 세상이 점점 더 유기적으로 연결되고 있는 만큼 개인정보 보호와 보안에 각별히 유념해야 할 것이다.