KT에서 무단 소액결제 사건이 발생하면서 통신사의 보안 부실 문제가 대두되는 가운데 개인정보 유출 경로로 지목된 초소형 기지국(펨토셀)의 33%가 시스템상 잡히지 않는 것으로 나타났다. 15일 최수진 국민의힘 의원실이 이동통신 3사로부터 받은 자료에 따르면 통신 3사의 전체 펨토셀 19만 5000대 중 약 33%에 달하는 6만 4000대가 미작동해 신호가 잡히지 않고 있다. 회사별로 보면 무단 소액결제 사고가 발생한 KT에서 이러한 펨토셀이 가장 많았는데, 총 15만 7000여대의 KT 펨토셀 중 5만 7000대가 신호가 잡히지 않았다. LG유플러스는 2만 8000대 중 4000대, SK텔레콤은 1만대 중 3000대에서 신호가 잡히지 않았다. KT는 이와 관련해 “일부 초소형 기지국 신호가 잡히지 않는 이유는 전원 꺼짐, 고장 등이 주요 원인”이라면서 “잠재적 추가 악용을 막기 위해 신호가 잡히지 않는 초소형의 기지국에 대한 망 접근을 차단했다”고 밝혔다. SK텔레콤은 “신호가 잡히지 않은 3000대는 재고 수량에 해당한다”고 했다. 관리의 사각지대에 놓인 펨토셀은 해킹의 대상이 되기 쉬운데, 펌웨어가 깔려있고 외부와의 통신이 가능해서다. 공격자는 방치된 펨토셀에 접근해 기기 초기화나 펌웨어 탈취 등을 시도할 수 있다. 한편 북한 배후 추정 해킹 조직인 ‘김수키’ 그룹이 생성형 인공지능(AI)으로 만든 딥페이크 이미지로 사이버 공격에 나선 사례가 국내에서 처음 확인됐다. 지난 8월 해외 보안전문 매체 프랙은 김수키가 행정안전부 등 정부 부처와 통신사를 대상으로 공격을 시도했다고 전한 바 있다. 이날 보안 전문기업 지니언스의 시큐리티센터(GSC) 보고서에 따르면 지난 7월 김수키 그룹은 AI로 합성한 이미지를 활용해 군 관계 기관에 ‘스피어 피싱’(특정 개인·조직을 표적화한 사이버 공격)을 시도했다. 군무원 신분증의 시안을 검토해달라고 악성 파일을 심은 피싱 메일을 보낸 것인데, 신분증 시안 속 첨부한 사진이 AI로 합성한 딥페이크 이미지였다. 센터는 “AI 서비스는 업무 생산성을 높이는 강력한 도구이지만 동시에 국가 안보 차원의 사이버 위협에 악용될 수 있는 잠재적 위험 요소”라며 IT 조직 내 채용·업무·운영 전반에서 AI 악용 가능성을 고려한 대책 마련이 필요하다고 제언했다.

지난 12일 열린 제332회 서울시의회 임시회 제5차 본회의에서 이병윤 서울시의회 교통위원장(국민의힘, 동대문구1)이 발의한 ‘서울시 자율주행자동차 시범운행지구 운영 및 지원 조례 일부개정조례안’이 통과됐다. 이 위원장이 발의한 이번 조례 개정안은 자율주행차 확대에 따라 보안 검증 강화를 제도화하고, 자율주행버스의 조기 정착을 지원하기 위한 기반을 마련한 것이 핵심이다. 이번 조례 개정은 크게 두 가지 방향에서 추진됐다. 첫째 개인정보 및 공간정보 유출 방지 등 보안 검증 강화다. 개정안은 유상운송 허가 및 한정운수면허 발급 시 보안계획서 제출을 의무화하고, 심사를 위한 ‘보안분과위원회’를 새롭게 설치하도록 했다. 이를 통해 자율주행차 운행 과정에서 발생할 수 있는 각종 정보 유출 사고를 예방하고, 보안 점검 절차를 강화한다. 둘째 자율주행버스 확산을 위한 재정지원 근거가 마련됐다. 최근 개정된 ‘자율주행자동차 상용화 촉진 및 지원에 관한 법률’에 따라 국토교통부의 성능인증을 받은 자율주행버스는 정식 판매와 운행이 가능해졌다. 이에 따라 개정 조례는 노선 여객운송사업자가 성능인증을 받은 자율주행버스를 구매할 경우 재정적 지원을 받을 수 있도록 규정했다. 이는 전기차 보조금과 유사한 형태로, 자율주행버스의 초기 도입 부담을 줄여 대중교통에 조기 안착시키는 데 목적이 있다. 이 위원장은 “자율주행차 상용화는 도시교통 체계의 혁신이자 미래 성장 동력”이라고 말하며 “이번 조례 개정을 통해 서울시에서는 검증 체계를 확립하고 대중교통 수단으로서 자율주행버스 도입을 선제적으로 지원할 수 있는 근거를 마련하여 시민의 안전과 편의를 동시에 확보할 수 있을 것”이라고 강조했다. 한편, 서울시는 시민들의 높은 호응도를 이끌어낸 심야 자율주행 버스 및 새벽동행 자율주행 버스 운행 등을 시행 중으로, 올해 8월부터 청계천 자율주행 시범운행지구 내 운전석 없는 관광순환형 자율주행셔틀(B형 자율차) 사업 등을 추진하며 질적 자율주행 성장에 주력하고 있다.

KT 무단 소액결제 사태의 피해자가 약 200명으로 늘어난 가운데, 반복되는 통신사의 보안 불감증에 대한 비판이 커지면서 해외 사례에도 관심이 쏠리고 있다. 15일 이동통신 업계에 따르면 KT 사태와 유사하게 통신망 허점을 노린 결제 사고는 미국·일본 등 선진국에서도 종종 발생했다. 2022년 미국에서는 암호화폐 거래서 FTX 해킹 사태가 발생했다. 미국 유력 이동통신사인 AT&T의 본인인증 시스템 취약점을 노린 범죄였다. 미 법무부는 지난해 2월 FTX를 해킹해 4억 1500만 달러(한화 약 5146억 원) 상당의 가상화폐를 빼돌린 해커 일당 3명을 기소했다. 2019년에는 AT&T와 버라이즌 직원과 협력업체 관계자가 뇌물을 받고 심 스와핑(SIM Swapping) 범죄에 가담했다가 기소되기도 했다. 심 스와핑은 해커가 타인의 전화번호와 개인정보(이름, 생년월일 등)를 이용해 이동통신사에 피해자를 사칭, 기존 사용자의 유심(USIM) 정보를 복제하거나 재발급받는 방식의 범죄다. 복제한 심 카드를 휴대전화에 넣으면 피해자가 원래 받던 문자, 전화 인증 등을 해커가 모두 탈취할 수 있다. 미국은 유사 사건 방비를 위해 SIM 교체나 번호 이동 문서 처리 전 신원확인 절차를 의무화했다. 또 심 스와핑과 같은 시도가 발생할 경우 처리 전에 고객에게 반드시 통지하도록 했다. 일본에서는 2020년 당시 점유율 1위 통신사인 NTT도코모가 운영하는 전자결제 서비스 ‘도코모 계좌’에서 대규모 부정인출 사건이 발생했다. 공격자는 도용한 개인정보를 사용해 ‘도코모 계좌’를 만든 뒤 다른 사람의 예금을 무단으로 인출했다. 일본은 피해 발생 직후 신규 등록을 일괄 중단하고 피해 방지 대책에 나섰다. 또 결제 계좌 개설 과정에서 2단계 인증을 도입해 본인 확인 체계도 강화했다. 유럽에서는 소액결제 사기 및 과다 청구 사례를 미리 방지하기 위해 소액결제 상한선을 제한했다. 유럽연합(EU)은 2018년부터 이동통신 요금에 합산돼 청구되는 디지털 소액결제의 상한선을 건당 50유로(약 8만 1500원), 월 300유로(약 49만 원)로 제한하고 있다. 허술한 ARS 인증 고수, 결제대행사에 책임 돌리는 한국 통신업계국내에서는 지난달 27일 새벽 경기 광명·서울 금천 등 일부 KT 고객들의 휴대전화에서 본인도 모르게 소액결제가 진행된 것이 처음 확인된 뒤 유사한 피해 신고가 잇따라 접수됐다. 이번 사태는 범인이 불법 초소형 기지국(불법 기지국)을 통해 KT망에 접속, 개인 IMSI((가입자식별번호)등을 유출한 뒤 모바일 상품권 등으로 무단 소액결제를 일으키면서 발생했다. IMSI 유출로 인해 피해자 본인 인증 없이 결제가 이루어졌고, KT 알뜰폰 이용자까지 영향을 받은 것으로 파악된다. 지난 12일까지 경찰에 신고된 무단 소액결제 피해자는 총 199명, 피해액은 1억 2600만원으로 늘어났다. KT 자체 집계는 278건, 피해 규모는 1억 7000만원으로 더 많으며 피해자가 인지하지 못한 추가 사례도 확인하고 있다. 소액 결제의 허점이 그대로 드러난 해킹 사례는 이번이 처음이 아니지만 KT가 그동안 안일한 태도로 문제를 대한 탓에 피해가 눈덩이처럼 불어났다는 지적이 나온다. KT는 지난 10일 국회 과학기술정보방송통신위원회 소속 황정아 의원(더불어민주당)이 사건이 가장 빈번히 일어났을 것으로 추정되는 지난달 27일부터 열흘간의 소액결제 이용자 수, 이용 금액 등을 요구하자 “월별 관리 중으로 정확한 현황을 추출하지 못한다”고 답변했다. 이에 황 의원은 “로그기록과 요금이 모두 시스템상 남아있음에도 전체 소액결제 거래 현황은 파악할 수 없다는 KT의 의문스러운 태도가 결국 해킹 피해 규모를 축소하기 위한 것 아니냐”고 지적했다. 현행법상 기업이 먼저 신고하기 전까지는 현장 조사 불가일각에서는 KT 등 국내 통신 업계가 이미 문제가 입증된 소액 결제의 취약점을 개선하기보다는 허술한 ARS 인증을 고수하고, 소비자 분쟁이 발생하면 앱스토어 운영자나 결제대행사(PG)에 책임을 돌리고 있다는 비난을 내놓는다. 특히 KT 무단 결제 사고의 경우 경찰이 KT에 미리 집단피해 사실을 알렸음에도 “해킹 정황이 없다”고 자체 판단하고 침해 신고를 뒤늦게 한 사실이 알려져 논란이 됐다. 현행법에 따르면 해킹 등 사이버 침해 사고를 당한 기업이 스스로 정부에 신고하기 전까지는 직권 현장 조사가 불가능하다. 당국이 나서서 선제 조처를 취하는 데 한계가 있다는 의미다. 배경훈 과학기술정보통신부 장관은 12일 기자간담회에서 KT 무단 결제 사고 대응과 관련한 질의에 “원인 분석도 중요하지만, 신고 이후에나 조사를 진행할 수 있는 체계를 바꿔야 한다”며 “국화와도 논의 중이며, 정부와 국회 차원에서 할 수 있는 최대한의 고민을 하고 있다”고 밝혔다. 이어 “개인정보도 많고, 워낙 통신 활용도가 높다 보니 통신사를 대상으로 사고가 자주 일어나는 것으로 본다”며 “단말기 제조사 관점에서도 해킹이 근본적으로 일어나지 않도록 관련 앱을 설치하거나, 통신사들도 스미싱 사고 발생이 없도록 차단하는 등 국가 차원에서 종합 보안 대책이 필요하다고 본다”고 덧붙였다.

배경훈 과학기술정보통신부 장관이 KT 무단 소액결제와 SKT 개인정보 유출 등 잇따르는 통신사 해킹 사태에 대해 “기존보다 반걸음, 한걸음 빠른 대응책을 고민해 해결책을 찾아나가겠다”고 밝혔다. 배 장관은 지난 12일 서울 광화문에서 열린 ‘취임 50일 기자 간담회’에서 반복되는 통신사 사이버 침해 사고에 높아지는 국민 불편·우려에 대한 입장을 묻는 말에 이렇게 답했다. 그는 최근의 KT 사이버 침해 사건에 대해 “(사건 발생 시기로 알려진) 8월 22일 이전부터 문제가 됐던 것들이 지금 터지는 것 아닌가 해서 종합적인 연관 관계를 분석 중”이라고 밝혔다. LG AI연구원장 출신으로 인공지능(AI) 전문가인 배 장관은 “AI에 관심을 가지는 것 이상으로 정보 보호 체계에 대한 관심을 많이 갖고 있으며, AI 대전환 시대에 앞서서 우리가 반드시 해결해야 하는 문제가 해킹 이슈라고 본다”고 강조했다. 그러면서 “AI를 악용한 해킹 기술이 발전하는 상황에서 근본적인 대책을 세워야 하는데 거기에 대한 준비가 되어 있는가에 대한 고민이 매우 많다”고 했다. 이어 “정보 보호 대전환 체계를 만드는 것이 매우 중요하며 류제명 2차관을 단장으로 정보 보호 대응 태스크포스(TF) 팀을 꾸려 할 수 있는 최대한의 대응을 해보고자 한다”고 덧붙였다. 사이버 침해를 당한 기업이 당국에 신고하지 않으면 당국 개입이 어려운 현행 제도 개선 필요성도 언급했다. 정보통신망법은 정보통신 서비스 제공자가 침해 사고를 인지하면 24시간 이내에 과학기술정보통신부 장관이나 한국인터넷진흥원(KISA)에 신고하고 위반 시 3000만원 이하의 과태료를 내도록 규정하고 있다. 하지만 당국의 내부 정보 접근 등을 우려한 기업들이 침해당하고도 ‘쉬쉬’하면서 사이버 보안 역량이 약화하는 상황이 지적돼왔다. 배 장관은 “신고 이후에 당국이 조사할 수 있는 지금 체계를 바꾸기 위해서 국회와 소통 중”이라며 “통신사들도 정부를 믿고 문제가 생겼을 때 바로 신고하거나 상의할 수 있어야 할 것”이라고 말했다. 아울러 휴대전화 출시 단계에서 해킹 예방 애플리케이션 설치, 통신망 차원의 스미싱 차단, 국가적 차원의 화이트해커 육성 등 별도 대책 마련도 언급했다.

KT의 무단 소액결제 사태에 따른 해킹 논란이 이어지고 있지만 통신사 가입자 이탈은 뚜렷하게 나타나지 않은 것으로 나타났다. 12일 한국통신사업자연합회(KTOA)의 번호이동 통계에 따르면 관ㄹ녀 사건이 언론에 처음 보도된 지난 4일부터 전날인 11일까지 KT에서 다른 통신사로 이동한 고객은 1만8387명으로 집계됐다. 같은 기간 SK텔레콤과 LG유플러스에서 KT로 온 고객 1만 8167명을 고려하면 가입자는 총 220명 순감했다. SK텔레콤과 LG유플러스는 각각 182명과 38명 순증한 것과 비교하면 줄었지만, 통상 통신 3사는 하루 수십~수백명씩 가입자를 주고받는다. 앞서 SK텔레콤에서 유심 정도 유출 사태가 발생한 지난 4월에는 양상이 달랐다. 사건이 알려지고 불과 며칠 뒤 일일 순감 인원이 2만~3만명씩 발생했고, 5월 한 달 간 33만명이 넘는 고객이 이탈했다. 이번 사건에서 이탈이 제한적인 배경으로는 SK텔레콤에 비해 피해 규모가 상대적으로 제한적인 게 원인으로 지목된다. 전날 KT는 불법 초소형 기지국(펨토셀)으로 가입자식별정보(IMSI)가 유출된 고객이 5561명이라고 밝혔다. 불법 펨토셀 신호를 수신한 전체 고객은 1만 9000명이지만 상당수는 단순 접속자로 분류됐다. 피해 역시 서울 금천구와 경기 광명·부천에 집중돼 있어 공포가 전국으로 확산하지는 않은 것으로 평가된다. “다른 통신사라고 더 안전한 건 아니다”라는 인식도 영향을 미친 것으로 보인다. SK텔레콤, KT, LG유플러스 모두 최근 몇 년 사이 크고 작은 보안 사고를 겪으면서, 사업자를 옮겨도 근본적 위험은 비슷하다는 체념이 확산했다는 것이다. 이외에도 번호이동 절차의 번거로움, 장기 약정과 결합상품 등 현실적 제약도 이탈 억제 요인으로 지목된다. 다만 KT가 지난 10일까지 개인정보 유출 사실을 부인하다가 전날 일부 유출을 인정한 만큼, 향후 피해 규모가 예상보다 크거나 추가 유출 정황이 드러날 경우 여론이 악화해 뒤늦게 가입자 이동으로 이어질 가능성도 배제할 수 없다.

10년째 KT를 이용하고 있는 직장인 황모(33)씨는 최근 KT를 이용하는 고객들의 핸드폰에서 무단으로 소액결제 피해가 이어진다는 소식을 듣고 무력감을 느꼈다. 12일 황씨는 서울신문과의 인터뷰에서 “어차피 소규모 웹사이트들에서 개인정보 유출이 여러 번 일어나서 내 개인정보는 안전하지 않다”며 “워낙 이런 일이 많으니까 통신사도 바꿔봤자 소용이 없을 것 같고 내가 할 수 있는 일도 없다”고 했다. 최근 KT 소액 결제 사태가 커지면서 고객들은 ‘별수 없다’며 체념하거나 예방책을 찾고 있다. 지난달 말부터 특정 지역의 KT 이용자들이 자신도 모르게 휴대전화 소액결제 피해를 봤다는 신고가 접수돼 경기남부경찰청이 수사 중인 가운데 정부는 피해액이 1억 7000만원에 달하는 것으로 파악했다. 이 사건에 대해 민관 합동 조사단을 꾸린 과학기술정보통신부는 지난 10일 기준 피해 건수는 278건, 피해 금액은 1억7000여만원이라고 밝혔다. 지난 4월 일어난 ‘SKT 유심 해킹 사태’로 통신업계가 한차례 곤욕을 겪은 지 불과 5개월만에 사이버 침해로 인한 피해가 발생한 것인데 일부 고객들은 지금에서야 알게 된 것이 당혹스럽다는 반응이다. 8년째 KT를 쓰고 있는 한모(26)씨는 “경찰에서 수사 중이었다면 원인이랑 대처법을 모든 고객에게 빠르게 안내해야 하는거 아닌가”라고 했다. 직장인 정모(31)씨 역시 “감추려고 쉬쉬하지 말고 피해를 본 고객들에겐 충분한 보상을 해야 반성하고 있다는 생각이 들 것”이라고 했다. KT 이용자들은 자체적으로 예방책을 찾고 있다. 휴대폰 소액 결제 한도를 차단하거나 결제 알림을 켜두고, 2단계 인증 등 추가 보안 조치를 하는 것이다. 박모(26)씨는 “뉴스를 보자마자 소액 결제를 막아뒀다”며 “안전한 통신사는 없고 안 걸린 통신사만 있다는 배신감마저 든다”고 했다.

KT가 무단 소액결제 사태와 관련해 이용자 5561명의 개인 정보인 ‘가입자식별번호’(IMSI)가 유출된 정황을 확인해 이를 개인정보보호위원회에 신고했다. 전날까지 개인정보 유출은 없었다는 입장이었지만, 하루 만에 상황이 바뀌면서 김영섭 KT 사장을 비롯한 임직원이 나서 대국민 사과를 했다. 김 사장은 11일 서울 종로구 KT 광화문빌딩에서 “최근 특정 지역 일대에서 발생한 소액결제 피해 사건으로 크나큰 불안과 심려를 끼쳐드린 점에 대해 사과의 말씀을 드린다”며 “피해 고객들께는 100% 보상책을 강구하고 조치하는 한편, 재발 방지책 또한 만전을 기해 준비하겠다”고 고개를 숙였다. KT는 이번 사건과 관련해 추가 분석한 결과 2대의 불법 펨토셀에서 신호를 받은 1만 9000여명의 이용자 중 5561명의 IMSI가 유출된 정황을 발견했다고 밝혔다. 이 가운데 실제 소액결제가 발생한 고객은 전날 기준 278명(1억 7000만원)으로 피해자 숫자는 수십명가량 더 늘어날 전망이다. KT는 신호를 수신한 고객 1만 9000명 전체에 대해 유심 보호 서비스와 유심 교체 서비스를 제공할 방침이며, 추후 위약금 면제 등에 대해선 검토 중이라고 했다. 전국에 15만개 이상의 팸토셀에 대해 전수 조사한 결과 현재까지 추가적인 불법 팸토셀의 존재는 발견되지 않았다고 했다. 내부 소행 가능성도 제기됐지만 현재로선 알 수 없다는 입장이다. 펨토셀은 가정이나 소규모 사무실 내부에 설치해 통화 품질을 개선하고 데이터 속도를 높이는 데 사용되는 것으로 KT가 국내 최초로 상용화했다. 손바닥 크기 정도로 작아 해외에선 이를 모방한 가짜 기지국을 만들어 범죄에 이용하는 사례가 발생하고 있는데, 전문가들은 상용화 이전부터 펨토셀의 보안 취약성에 대해 지적해 왔다. 이번 사건의 정확한 범행 수법은 여전히 오리무중이다. 팸토셀을 통해 유출된 IMSI 정보만으로는 ARS 소액결제가 이뤄질 수 없기 때문이다. 이날 KT 광화문지사를 직접 방문해 이번 사고에 관한 조치 현황을 점검한 배경훈 과기부 장관은 국회 과학기술정보방송통신위원회 전체회의에서 해커가 무단 소액결제에 성공한 점을 감안했을 때 IMSI 외에 성명, 전화번호, 생년월일 등이 유출됐을 가능성을 묻자 “범인이 가지고 있을 것으로 추정된다”고 했다. 배 장관은 “민관 합동조사단을 꾸려 대응하고 있지만 초동 대응이 늦었다는 점에 대해 반성한다”면서 “(김 사장을) 직접 만나 피해 금액뿐 아니라 위약금 면제에 대해서도 적극적으로 대응하겠다고 약속받았다”고 말했다. SK텔레콤에 이어 KT까지 보안 문제가 불거진 가운데 개보위는 같은 날 중장기적으로 유출 사고가 반복되는 기업에 징벌적 성격의 과징금을 주는 방안 등이 담긴 ‘개인정보 안전관리 체계 강화 방안’을 발표했다.

KT가 무단 소액결제 사태와 관련해 이용자 5561명의 개인 정보인 ‘가입자식별번호’(IMSI)가 유출된 정황을 확인해 이를 개인정보보호위원회에 신고했다. 전날까지 개인정보 유출은 없었다는 입장이었지만, 하루 만에 상황이 바뀌면서 김영섭 KT 사장을 비롯한 임직원이 나서 대국민 사과를 했다. 김 사장은 11일 서울 종로구 KT 광화문빌딩에서 “최근 특정 지역 일대에서 발생한 소액결제 피해 사건으로 크나큰 불안과 심려를 끼쳐드린 점에 대해 사과의 말씀을 드린다”며 “피해 고객들께는 100% 보상책을 강구하고 조치하는 한편, 재발 방지책 또한 만전을 기해 준비하겠다”고 고개를 숙였다. KT는 이번 사건과 관련해 추가 분석한 결과 2대의 불법 펨토셀에서 신호를 받은 1만 9000여명의 이용자 중 5561명의 IMSI가 유출된 정황을 발견했다고 밝혔다. 이 가운데 실제 소액결제가 발생한 고객은 전날 기준 278명(1억 7000만원)으로 피해자 숫자는 수십명가량 더 늘어날 전망이다. KT는 신호를 수신한 고객 1만 9000명 전체에 대해 유심 보호 서비스와 유심 교체 서비스를 제공할 방침이며, 추후 위약금 면제 등에 대해선 검토 중이라고 했다. 전국에 17만개 이상의 팸토셀에 대해 전수 조사한 결과 현재까지 추가적인 불법 팸토셀의 존재는 발견되지 않았다고 했다. 문제는 팸토셀을 통해 유출된 IMSI 정보만으로는 ARS 소액결제가 이뤄질 수 없기 때문에 여전히 정확한 범행 수법은 파악되지 않았다는 점이다. 구재형 KT 네트워크기술본부장은 “IMSI만으로 소액결제가 이뤄지지 않는 건 확실하다”면서 “최소한 이름과 생년월일은 있어야 한다”고 했다. 내부 소행 가능성도 제기됐지만 현재로선 알 수 없다는 입장이다. 이날 KT 광화문지사를 직접 방문해 이번 사고에 관한 조치 현황을 점검한 배경훈 과기부 장관은 국회 과학기술정보방송통신위원회 전체회의에서 해커가 무단 소액결제에 성공한 점을 감안했을 때 IMSI 외에 성명, 전화번호, 생년월일 등이 유출됐을 가능성을 묻자 “범인이 가지고 있을 것으로 추정된다”고 했다. 배 장관은 “민관 합동조사단을 꾸려 대응하고 있지만 초동 대응이 늦었다는 점에 대해 반성한다”면서 “(김 사장을) 직접 만나 피해 금액뿐 아니라 위약금 면제에 대해서도 적극적으로 대응하겠다고 약속받았다”고 말했다. SK텔레콤에 이어 KT까지 보안 문제가 불거진 가운데 개보위는 같은 날 중장기적으로 유출 사고가 반복되는 기업에 징벌적 성격의 과징금을 주는 방안 등이 담긴 ‘개인정보 안전관리 체계 강화 방안’을 발표했다.

KT 가입자들에게 발생한 소액결제 해킹 피해와 관련해 가입자 5000여명의 국제이동가입자식별정보(IMSI) 유출 정황이 확인됐다고 KT가 11일 밝혔다. KT는 이날 서울 종로구 KT 광화문 웨스트사옥에서 기자간담회를 열고 “자체 조사 결과 불법 초소형 기지국을 통한 일부 고객의 IMSI 유출 정황이 확인됐다”면서 이날 오후 개인정보보호위원회에 신고했다고 밝혔다. 김영섭 KT 대표는 “최근 소액결제 피해 사고로 크나큰 불안과 심려를 끼쳐드린 점을 사과드린다”면서 “국민과 고객, 유관기관 여러분께 염려를 끼쳐 죄송하고 피해 고객에게 머리 숙여 죄송하다는 말씀을 드린다”고 말했다. IMSI는 가입자들에게 부여되는 고유의 번호로 유심(USIM)에 저장되는 개인정보다. KT에 따르면 무단 소액결제 사태의 원인으로 지목된 불법 초소형 기지국의 신호 수신 이력이 있는 가입자 중 5561명이 IMSI 유출 가능성이 있는 것으로 파악됐다. KT는 이날 해당 가입자들에게 이같은 사실과 함께 피해 사실 여부를 조회하는 방법과 유심 교체 신청 방법 등을 담은 문자메시지를 전송했다. KT는 불법 초소형 기지국의 신호 수신 이력이 있는 가입자 전원에게 유심 무료 교체와 유심 보호 서비스를 제공할 방침이다. 현재 충분한 유심 물량이 확보됐으며, 24시간 전담 고객센터(080-722-0100)를 통해 응대하겠다고 덧붙였다. 김 대표는 “관계 당국과 사고 원인을 파악 중이며 모든 역량을 투입해 추가 피해가 일어나지 않도록 기술적 조치를 취할 것”이라며 “피해 고객에게 100% 보상책을 강구하겠다”라고 밝혔다. 또한 소액결제 피해가 확인된 가입자들에게 개별 안내해 소액결제 청구를 면제하며, 추가 피해를 막기 위해 비정상 결제의 자동 차단 및 본인인증 수단을 강화하고 지속적인 모니터링을 하고 있다고 덧붙였다.

KT 무단 소액결제 피해 사례에 대한 과학기술정보통신부 민관 합동 조사단의 조사가 진행 중인 가운데 개인정보보호위원회가 KT와 LG유플러스의 이용자 정보 유출 의혹 조사에 착수했다. 무단 소액결제가 개인정보 유출에 따른 것인지 확인하기 위해서인데, 과기정통부는 두 사건의 연관성에 대해선 아직 말하기 어렵다는 입장이다. 과기정통부는 10일 정부서울청사에서 현안 브리핑을 열어 KT 무단 소액결제 피해 건수가 이날 기준 278건, 피해 금액은 1억 7000여만원에 이르는 것으로 KT의 자체 집계 결과 파악됐다고 밝혔다. 피해 건수 모두 자동응답시스템(ARS) 인증을 통해 결제가 이뤄진 것으로 파악됐다. KT는 아직 피해 사실을 인지하지 못한 이용자들에게 개별 연락을 취하고 있으며 무단 소액결제로 인한 모든 피해액에 대해선 이용자에게 청구하지 않기로 했다. 민관 합동 조사단의 조사 과정에서 KT 시스템에 등록되지 않은 불법 초소형 기지국(펨토셀)이 KT 통신망에 접속한 사실이 확인됐다. 인증되지 않은 불법 기지국이 어떻게 코어망에 접속하고 인증 절차를 거쳐 소액결제를 진행했는지가 조사의 쟁점이 될 것으로 보인다. SK텔레콤과 LG유플러스에 불법 기지국 접속 여부와 접속 차단 확인을 요구한 결과 두 회사에서는 불법 기지국이 발견되지 않았다. 류제명 과기정통부 2차관은 “만일의 사태에 대비해 통신 3사 모두 신규 초소형 기지국의 통신망 접속을 전면 제한하고 있다”며 “KT가 파악한 불법 기지국에서의 이상 트래픽 정보를 다른 통신사들과 점검용으로 공유할 것”이라고 밝혔다. 개보위는 같은 날 KT와 LG유플러스에 대한 조사에 들어가면서 “KT 이용자를 대상으로 한 무단 소액결제 사건이 다수 발생해 개인정보 유출 의혹이 제기되고 있다”며 조사 착수 배경을 설명했다. 앞서 미국의 보안전문지 프랙(Phrack)은 최근 북한 정찰총국 소속으로 추정되는 해커 조직 ‘김수키’가 KT와 LG유플러스를 해킹했다는 의혹을 제기한 바 있다. 다만 과기정통부는 이번 무단 소액결제 사건과 김수키 해킹의 연관성에 대해 현 단계에서는 말하기 어렵다는 입장이다. 무단 소액결제 피해가 경기와 서울 일부 지역을 중심으로 급속히 확산하면서 시민들의 불안도 커지고 있다. 현재까지 피해가 확인된 지역은 경기 광명시와 부천시, 서울 금천구 등이며 인천 부평구, 경기 과천시, 서울 영등포구에서도 유사한 피해 신고가 접수되고 있다. KT는 “지난 5일 이후 피해 사례가 추가로 나오지 않고 있다”며 시스템적으로 차단해 현재는 안전하다는 입장이다. 소액결제 차단을 희망하는 이용자는 앱이나 홈페이지에서 이용을 중단하거나 고객센터로 직접 연락하면 된다.

국민건강보험공단이 수급자 182명의 개인정보를 외부로 유출하는 사고를 낸 것에 대해 “재발 방지를 위한 개선 대책을 마련하겠다”며 고개 숙였다. 공단은 9일 보도설명자료를 내고 “개인정보 노출로 심려를 끼쳐드린 점을 사과드린다”며 이같이 밝혔다. 이날 김선민 조국혁신당 의원실이 공단에서 제출받은 자료에 따르면 지난 1일 A 장기요양기관 수급자와 종사자 등 182명의 개인정보가 노출됐다. 노출된 개인정보는 성명, 생년월일, 전화번호 등이다. 공단은 서버 과부하로 개인정보 노출 사건이 발생한 것으로 보고 있다. 지난 1일 청구 업무가 일시에 몰려 1개 서버가 과부하 하면서 다른 서버로 전환해주는 시스템(솔루션)이 비정상적으로 동작하면서 잘못된 접속 정보가 수신됐다는 것이다. 공단은 “개인정보가 노출된 대상자에게는 개인정보 사고 경위 등을 개별 통지했다”며 “유사한 사례가 발생하지 않도록 전산 시스템상 개인정보보호 관리 실태를 엄격히 점검하겠다”고 했다. 공단의 개인정보 유출 사고는 이번이 처음이 아니다. 2023년 12월에는 우편물을 잘못 발송해 9명의 성명, 주민등록번호, 검진 결과 등이 유출됐다. 지난해 3월에는 일부 직원이 가입자의 재산 등 가족 정보를 누설한 경우도 있었다. 같은 해 8월에는 SMS를 잘못 발송해 16명의 핸드폰 번호가 노출됐다. 공단은 사건 인지 직후 법무지원실, 정보관리실 등 6개 부서로 된 개인정보 사고 대응팀을 구성해 운영하고 있다. 피해 구제 상담 등을 위해 민원 상담 전용팀(TF)도 운영 중이다. 솔루션 제조업체 등에 대한 법적조치도 검토하고 있다. 다만 지난 1일 개인정보 유출을 확인한 지 일주일이 지난 8일이 돼서야 내부 감사에 착수해 늑장 대응이라는 비판도 나온다. 김 의원은 “3년 만에 최대 개인정보 유출 사고가 발생했는데도 일주일이 지난 이제야 감사에 들어간 공단의 안일한 태도는 상당히 문제가 있다”며 “면밀한 감사를 통해 재발 방지대책을 시급히 마련해야 할 것”이라고 말했다.

경기도의회 여성가족평생교육위원회 장민수 의원(더불어민주당, 비례)은 9월 8일(월) 열린 제386회 임시회 제2차 본회의 대집행부질문에서 경기도교육청을 상대로 ‘하이러닝 서·논술 평가시스템’ 도입에 대한 철저한 검증을 촉구했다. 장민수 의원은 “하이러닝 서·논술 평가 시스템 도입은 단순한 기술을 넘어 학교 교육의 평가 방식을 바꾸는 중대한 결정”이라며 “이처럼 구조적 변화를 수반하는 사안은 도민들이 반드시 알아야 할 중요한 문제”라고 강조했다. 이어 “AI가 진단한 학생에 대한 평가가 학업 성취도와 진학으로 연결되는 만큼, 단 1년의 실증연구로는 충분히 검증되었다고 보기 어렵다”라며 “시스템의 기술적 신뢰도와 전문성이 더욱 철저히 확보돼야 한다”라고 주문했다. 특히 “필기 OCR 기술, 한국어 판독 능력, 수학 기호 처리 등 구체적 기술의 신뢰도가 충분한지 점검해야 한다”라며 “현재 95% 수준의 상관관계가 있다고 하지만, 세부적인 학업 성취도나 진급·선발 기준으로 활용될 경우 오차 발생 우려가 있다”라고 지적했다. 또한 비용 구조와 관련해 “올해 약 4억 원 규모의 예산으로 사업이 시작됐지만, 향후 환경 변화에 따른 추가 비용과 장기적인 재정 리스크에 대비한 대안 마련이 필요하다”라고 강조했다. 이에 대해 임태희 교육감은 “데이터 축적과 고도화 과정에서 비용 상승은 불가피하나, 교육적 투자 가치가 있다”라고 답변했다. 이어 장 의원은 “경기도는 전국에서 학생 수가 가장 많은 지역으로, 방대한 답안 데이터가 축적될 수밖에 없다”라며 “이 데이터가 상업적으로 활용되거나 유출되지 않도록 철저한 안전장치가 필요하다”라고 지적했다. 이에 대해 임태희 교육감은 “데이터는 경기도교육청이 직접 보관·관리하도록 준비하고 있다”라고 밝혔다. 학생들의 개인정보와 관련해서도 장 의원은 “개인정보 관리는 예측 불가능한 정보 유출과 오용의 위험을 내포하고 있는 만큼, 철저한 사전 예방 조치가 필요하다”라고 거듭 강조했다. 끝으로 장민수 의원은 “교육은 백년지대계”라며 “단순히 경기도교육청의 치적을 위한 사업이 아니라, 경기도의 미래를 위한 준비된 혁신으로 추진되길 바란다”라고 당부했다.

“이제 작은 턱뿐만 아니라 2층, 3층짜리 집 청소도 로봇청소기에게 맡길 수 있습니다.” 6일(현지시간) 독일 베를린에서 열린 유럽 최대의 정보기술(IT)·가전 박람회 ‘IFA 2025’의 중국 기업 ‘드리미’ 부스에는 드리미가 올해 IFA에서 첫 공개한 로봇청소기 ‘사이버X’가 5층짜리 계단을 오르내렸다. 한번에 최대 25cm 높이의 계단을 오르내릴 수 있는 ‘쿼드트랙’ 기술을 탑재한 사이버X는 무한궤도 형태의 4개의 타원형 바퀴를 굴리거나 다리처럼 세워 막힘 없이 계단을 올랐다. 그 옆에는 진공 청소기가 달린 로봇팔을 뻗어 좁은 공간과 각진 구석까지 먼지를 흡입하는 로봇청소기 ‘사이버10’이 시연됐다. 드리미 부스를 찾은 관람객들은 청소 단계별로 버튼을 누르며 물걸레가 돌아가는 과정을 직접 확인했다. 전 독일 축구대표팀 주장이었던 바스티안 슈바인슈타이거도 드리미 부스를 찾아 로봇청소기와 가전제품을 둘러보며 감탄을 내뱉었다. 올해 IFA에서 가장 눈에 자주 띄었던 품목은 중국 기업들이 대거 진출한 로봇청소기였다. 삼성전자와 LG전자 등 국내 기업들이 로봇청소기에 소홀했던 틈을 타 글로벌 로봇청소기 점유율 1위를 기록한 로보락과 드리미, 모바, 에코백스 등은 계단 오르기부터 수중 청소, 창문 청소 등 로봇청소기를 적용할 수 있는 분야를 넓혀가며 기술력을 확장해왔다. 이날 모바의 전시장에서는 물 속으로 들어가 벽면을 닦는 수조 청소용 로봇청소기 ‘로버 X10’이 공기 방울을 내뿜으며 시연되고 있었다. 수조 내부 벽에 달라붙어 위·아래, 좌우를 오가며 청소를 하던 로버 X10은 돌기처럼 생긴 형태의 바닥면으로 수조 내 이끼 등 불순물을 밀어 없애는 역할을 했다. 모바 관계자는 “미국에선 가정마다 야외 수영장이 있는 단독주택이 많아 주기적으로 내부 청소를 해줘야 한다”며 “북미 시장 등에서 수요가 클 것으로 기대한다”고 말했다. 로봇청소기 글로벌 점유율 1위인 로보락은 야외에서 잔디를 깎는 로봇청소기 신제품 ‘락모우C1’과 ‘락모우S1’, ‘락네오1’을 선보였다. 인공지능(AI)으로 장애물을 인식해 회피할 수 있고 도난 방지 시스템도 탑재돼 야외에서의 사용 편의성을 대폭 강화했다. 반면 국내 기업들은 이목을 잡아끄는 신기술보단 실제 로봇청소기를 사용할 때의 안정성과 보안성에 초점을 둔 모습이었다. 삼성전자는 RGB(빨강·초록·파랑) 카메라를 탑재해 무색 투명의 액체를 인식하는 로봇청소기 ‘비스포크 AI 스팀’을 선보였다. 섭씨 100도씨의 고온 스팀으로 세균과 악취를 없애는 ‘스팀 청정스테이션’이 적용된 모델이다. 특히 블록체인 기반 보안 기술로 연결된 기기들이 보안상태를 상호 점검하는 ‘녹스 매트릭스’와 민감한 개인정보는 하드웨어 보안 칩에 별도 저장하는 ‘녹스 볼트’ 기능을 통해 개인정보를 철저히 보호한다고 강조했다. LG전자 역시 올해 출시 예정인 빌트인형 ‘히든 스테이션’과 ‘오브제 스테이션’ 로봇청소기 2종을 전시했다. 통합 보안 시스템인 ‘LG쉴드’를 탑재해 사생활 유출을 막고 개인정보를 보호한다. 양사가 로봇청소기의 보안성을 강조한 것은 최근 한국인터넷진흥원(KISA)이 한국소비자원과 함께 시중에 유통 중인 중국 로봇청소기의 보안성을 조사해 발표하는 등 중국 제품들의 보안 문제가 지속적으로 화두가 돼왔기 때문이다. KISA에 따르면 나르왈, 드리미, 에코백스 등 3개 제품은 모바일앱 인증 절차가 미흡하거나 접근 제한이 충분하지 않아 촬영한 사진이 외부로 노출되는 등 사생활 노출이 우려됐다.

시사매거진-쎈TV의 새로운 시사토크 프로그램 ‘다크 스파이더언더커버’가 경제·산업계에 숨겨진 의혹을 심층 분석하며 시청자들과 만난다. 프로그램은 자본시장의 흐름을 짚고, 일반 투자자의 고통과 아픔을 해소하며 ‘진짜 투자’의 방향을 제시하는 것을 목표로 한다. 이 프로그램의 진행은 안시연 앵커가 맡는다. 그는 “본 프로그램을 통해 자본시장의 흐름을 전달하고, 개인 투자자들에게 실질적인 도움이 되는 콘텐츠를 선보이겠다”고 포부를 밝혔다. 이번 9월 전반부 녹화에서는 ▲‘NHN 주가의 끝없는 추락 이유’ ▲‘전고체 배터리 기업 솔리드파워 전망’ ▲‘주식 시장의 작동 원리’ 등 주요 이슈를 다뤘다. 9월 후반부 녹화에서는 SK텔레콤 개인정보 유출 사태를 중심으로 정부의 과징금 수준 타당성, SK텔레콤 소명 및 고객 보상안의 적절성 등을 심층 분석할 예정이라고 한다. 아울러 글로벌 바이오 업계에서 주목받는 유전자 치료 기업 크리스퍼 제약과 중추신경계 치료제 전문기업 슈퍼너스 제약을 집중 조명한다. 제작진은 해당 녹화분을 9월 둘째 주부터 순차적으로 업로드하며 시청자들에게 공개할 예정이다.

롯데카드가 최근 발생한 해킹 사고와 관련 24시간 전용 상담센터를 운영한다고 3일 밝혔다. 롯데카드는 전날부터 고객센터에 개인정보 유출 가능성 관련 전용 자동응답시스템(ARS) 메뉴를 신설해 24시간 운영하고 있다. 지난 1일부터는 비밀번호 변경, 재발급, 탈회 관련 문의에 응대하기 위한 고객센터 운영시간을 오후 10시까지로 늘렸다. 또 롯데카드 앱과 홈페이지에서는 비밀번호 변경, 해외 거래 차단, 카드 재발급을 위한 간편 링크를 마련했다. 다만, 탈회는 미결제 잔액, 잔여 포인트 안내 및 사용 방안에 대한 설명이 필요해 고객센터 상담원과의 통화가 필요하다. 이와 함께 롯데카드는 이번 사고로 부정사용이 발생하면 선보상도 하기로 했다.

서울시의회 교육위원회 소속 이효원 의원(국민의힘, 비례)이 지난 1일 제332회 임시회 정책국 질의에서 교사의 생성형 인공지능(AI) 활용과 관련한 교육청 차원의 실태 조사 추진을 당부하고, 교육청만의 중장기적 가이드라인 등 구체적인 지침을 마련해주길 촉구했다. 지난달 교육부는 각 시도 교육청에 교사들이 학교생활기록부 작성 시 챗GPT 등 생성형 AI를 활용하는 것을 허용하는 공문을 발송했다. 교육부가 교사의 AI 활용과 관련해 기준을 제시한 것은 이번이 처음이다. 다만 ‘학생부 기재 내용에 대한 최종 책임은 교사에게 있다’고 명시함으로써 향후 AI 활용에 대한 과제를 남겼다. 이 의원은 “AI 활용이 거스를 수 없는 세계적 흐름이 됐음에도 아직 교육청은 교육 현장의 AI 활용 실태에 대해 정확히 파악하지 못하고 있다”며 “교사들이 교육 활동 시 AI를 얼마나 자주 사용하고 어떤 유형으로 어떻게 사용하고 있는지, 하다못해 설문조사를 통해서라도 종합적인 활용 실상을 파악해야 한다”고 지적했다. 또한 이 의원은 “AI 활용도가 높은 학교와 그렇지 않은 학교, AI 활용 능력이 뛰어난 교사와 그렇지 않은 교사에 따라 학생부에 기재되는 내용 격차가 클 수 있다”며 “이러한 기록 격차 등 실제적인 부분에 대해서도 조속한 실태 파악 이후 구체적인 지침을 마련하여 선제적으로 대응해주길 바란다”고 당부했다. 이어 이 의원은 “최근 경북교육청에서 학생부 작성용 AI 프로그램을 제작해 배포했다가 표절 탐지 서비스에 걸려 다시 폐지 수순을 밟는 사건이 있었다”며 “앞으로도 시도 곳곳에서 유사 사례가 발생할 수 있으니 교육청이 중장기적으로 해당 사안을 들여다보고 표절 탐지 서비스와 같은 과정을 도입하는 것도 검토해 보면 좋을 것 같다”고 전했다. 이상수 교육정책국장은 “입시와 연결된 부분에 있어서는 공식적으로 인정하지 않는다는 방침인데 아직 학교나 교사측에 정확하게 전달이 안 된 점이 있었다”며 “실태 조사를 해보고 초·중등과에서 구체적으로 지침을 마련해보도록 하겠다”고 답했다. 한편, 이 의원은 지난 2월 임시회 때도 정책국 업무 보고에서 교사 행정 업무에 AI 활용이 급속도로 확산되고 있는 현상을 검토하고 가이드라인을 마련해서 개인정보 유출과 같은 부작용에 철저하게 대비해 줄 것을 당부한 적 있다.

토스가 단말기를 바라보는 순간 1초 만에 결제가 완료되는 얼굴 인식 결제 서비스 ‘페이스페이’를 정식 출시했다. 오규인 토스 부사장(토스페이 사업 총괄)은 2일 서울 강남구에서 페이스페이 정식 출시 기자간담회를 열고 “지난 3월 시범 운영을 시작해 두 달 만에 서울 2만개 매장으로 퍼졌고, 가입자는 40만명을 넘어섰다”면서 “올해 말까지 30만개, 내년까지 100만개 매장으로 페이스페이를 확대하겠다”고 밝혔다. 페이스페이는 얼굴과 결제 수단을 토스 앱에 등록하면 사용할 수 있는 페이 서비스로 쌍둥이나 성형 수술도 식별할 수 있다는 설명이다. 개인정보보호위원회의 사전적정성 검토를 받은 유일한 얼굴 인식 결제 기술로 보안 우려가 없다고 강조했다. 결제 1초 동안 여러 보안 기술이 동시에 작동하는데 얼굴 데이터는 망분리 환경에서 암호화해 관리하고 원본 얼굴 정보는 저장하지 않기 때문에 정보가 유출돼도 복원할 수 없어 보안 우려가 없다는 것이다. 부정 결제가 발생하면 토스가 선제적으로 보상한다는 방침이다. 이마트24, GS25, CU, 세븐일레븐 등 편의점·카페·외식·영화관·패션·뷰티·가전 매장까지 전방위적인 브랜드와의 협업도 예고했다. 오 부사장은 “생활 반경 내 어디서든 얼굴만으로 결제할 수 있는 환경을 구축하겠다”고 말했다. 올해 10주년을 맞은 토스는 간편송금, 신용조회, 대출 비교, 투자, 은행, 증권 서비스까지 모바일 플랫폼 내에서 금융 서비스 전반을 영위할 수 있도록 영역을 확장해왔으며, 페이스페이 서비스를 기점으로 오프라인 결제 환경까지 지평을 넓혔다고 자평했다.

나르왈·드리미·에코백스 취약 확인사진 탈취·실시간 영상 조회 위험 커삼성·LG전자는 ‘상대적 우수’ 평가 한국인터넷진흥원(KISA)과 한국소비자원이 국내 유통 중인 로봇청소기 6종을 대상으로 ‘보안 실태’를 점검한 결과 중국산 일부 제품에서 사생활 침해와 개인정보 유출 위험이 드러났다고 2일 밝혔다. 두 기관은 사업자에 즉각 조치를 요구했고, 현재는 개선이 완료된 것으로 알려졌다. KISA와 한국소비자원에 따르면 조사 대상은 나르왈 프레오 Z 울트라, 드리미 X50 Ultra, 에코백스 디봇 X8 프로 옴니, 로보락 S9 MaxV Ultra(이하 중국산), 삼성전자 비스포크(BESPOKE) AI 스팀, LG전자 코드제로 로보킹 AI 올인원 등 6개 제품이다. 점검은 모바일 앱 보안, 정책 관리, 기기 보안 등 3개 분야, 총 40개 항목을 대상으로 약 5개월간 진행됐다. 모바일앱 보안 부문에서는 나르왈·드리미·에코백스 3개 제품이 취약한 것으로 확인됐다. 나르왈과 에코백스는 사용자 인증 절차가 미비해 클라우드 서버에 저장된 집 내부 사진이나 영상을 별도 인증 없이 조회·탈취할 수 있는 위험이 드러났다. 에코백스의 경우 악성 파일을 사용자의 사진첩에 전송할 수 있는 문제도 있었다. 드리미 제품은 사용자가 일부 권한을 제3자에게 공유했을 때, 그 사람이 카메라 기능을 마음대로 켜서 실시간 영상과 사진을 볼 수 있는 취약점이 발견됐다. 또 정책 관리 점검 결과 드리미 제품에서는 사용자가 해당 브랜드 글로벌 웹사이트 게시판에 글을 작성하면 해커가 사용자 ID를 통해 별도 인증 없이 개인정보를 조회할 수 있었다. 기기 보안 점검에서는 드리미와 에코백스 로봇청소기의 외부 포트가 노출돼 누구나 쉽게 접근할 수 있었고, 인터페이스 차단이 미흡해 물리적 침투 위험이 존재했다. 반면 삼성전자와 LG전자 제품은 전반적으로 접근 권한 관리, 안전한 패스워드 정책, 업데이트 정책이 상대적으로 우수하다는 평가를 받았다. 과학기술정보통신부는 “로봇청소기 보안에 대한 소비자의 우려가 확대되는 상황”이라면서 소비자에게 구매 전 사물인터넷(IoT) 보안 인증 마크 확인, 안전한 비밀번호 설정, 주기적인 보안 업데이트 등을 당부했다.

카메라와 센서로 공간을 인식해 청소하는 로봇청소기가 최근 인기 가전으로 떠오르는 가운데, 사생활이 침해될 수 있는 보안 취약점이 확인돼 주의가 필요하다는 지적이 나왔다. 한국소비자원과 한국인터넷진흥원(KISA) 시중에 판매되는 로봇청소기 6개 제품을 대상으로 보안 실태를 점검한 결과, 일부 제품에 사생활 침해와 개인정보 유출 가능성이 있어 즉시 조처했다고 2일 밝혔다. 조사 대상 국내 제품은 삼성 ‘비스포크 AI 스팀’과 LG ‘코드제로 로보킹 AI 올인원’ 등 2개였다. 나머지 4개는 중국산으로 로보락 ‘S9 맥스V 울트라’, 드리미 ‘X50 울트라’, 에코백스 ‘디봇 X8 프로 옴니’, 나르왈 ‘프레오 Z 울트라’였다. 소비자원은 로봇청소기를 제어 설정하는 ‘모바일 앱 보안’, 제조사의 보안 업데이트 정책·개인정보 보호정책 등 운영을 포함한 ‘정책 관리’, 하드웨어·네트워크·펌웨어 등 ‘기기 보안’ 분야로 나누어 총 40개 항목을 점검했다. 6개 중 문제가 된 제품은 중국산 제품인 드리미와 에코백스, 나르왈 등 3개 제품이었다. 삼성·LG를 비롯해 국내 및 세계 시장 점유율 1위인 로보락 제품보다 30~40만원가량 저렴한 80만~90만원대인데, 성능이 나쁘지 않다는 평가가 많아 ‘가성비 제품’으로 꼽힌다. 그러나 모바일 앱 보안 점검 결과 이 3개 제품은 사용자 인증 절차가 없거나 부실해 청소기와 연결된 휴대전화 등을 통한 불법적인 접근이나 조작이 가능한 것으로 나타났다. 소비자원 관계자는 “집 내부를 촬영한 사진이 외부로 유출되거나 카메라 기능이 강제로 활성화되는 등 사생활이 노출될 수 있는 취약점이 확인됐다”고 설명했다. 정책 관리 점검에서는 드리미 제품이 개인정보 관리가 미흡해 이름, 연락처 등 사용자의 개인정보 유출 우려가 있는 취약점이 발견됐다. 기기 보안 점검에서는 드리미, 에코백스 2개 제품의 하드웨어 보안 수준이 상대적으로 낮은 것으로 나타났다. 조사 대상 제품들이 전반적으로 펌웨어 보안 설정이 충분하지 않아 기기의 내부 보안 구조가 외부에 노출될 가능성이 있다는 사실이 드러났다. 점검 결과 삼성전자, LG전자 2개 제품은 접근 권한 설정과 불법 조작을 방지하는 기능, 안전한 패스워드 정책, 업데이트 정책 등이 비교적 잘 마련돼 종합 평가에서 상대적으로 우수했다. KISA와 한국소비자원은 이들 제품의 보안 취약점 확인 후 조치에 나섰다. 6개 사업자에 모바일 앱 인증 절차와 하드웨어 보호, 펌웨어 보안 개선 등 취약점을 개선할 것을 권고했다. 소비자원은 “로봇청소기 사용 시 안전한 비밀번호를 설정하고 주기적으로 보안 업데이트를 하는 등 보안에 주의해야 한다”고 말했다.

서울시의회 박석 의원(국민의힘, 도봉3)이 발의한 ‘서울시 개인정보 보호에 관한 조례 일부개정조례안’이 지난 1일 소관 상임위에서 통과됐다. 박 의원은 “이번 개정안은 ‘개인정보보호법’ 및 시행령 개정 사항을 반영하여 개인정보 보호 관리체계를 강화하고 정책의 실효성을 담보하기 위해 발의했다”고 밝혔다. 개정안은 서울시 본청과 직속기관 및 사업소의 각 부서장을 ‘분임 개인정보 보호책임자’로 지정하고, 개인정보 안전성 확보조치 등 담당 업무를 규정했다. 박 의원은 “현재 서울시는 디지털 도시국장 1명이 ‘개인정보 보호책임자’ 로서 398개의 개인정보 파일, 약 7억 건에 달하는 방대한 정보를 총괄하고 있다”고 지적하며 “사실상 책임자 혼자 모든 관리 책임을 지는 데 한계가 뚜렷했던 만큼, 분임책임자 신설을 통해 부서 단위의 관리 책임이 크게 강화될 것으로 기대된다”고 설명했다. 박 의원은 “최근 5년간 서울시에서 발생한 12건의 개인정보 유출로 3371명의 시민 정보가 노출되었고, 이 중 5건은 담당자 부주의가 원인이었다”면서 “이번 조례 개정이 부서별 책임 소재를 명확히 하고 현장 중심의 상시 감독 체계를 만드는 첫걸음이 될 것”이라고 강조했다. 이어 “시민의 소중한 개인정보를 보호하는 데 한 치의 빈틈도 없도록 철저한 교육과 관리는 물론, 제도적 기반을 더욱 튼튼히 다져나가겠다”고 밝혔다.