영국, 스마트장난감의 범죄 악용 우려

영국, 스마트장난감의 범죄 악용 우려

- 적절한 보안장치를 갖추지 않아 전문지식 없이도 쉽게 해킹 가능 -

- 스마트장난감을 통해 개인정보 유출이 가능해짐에 따라 사생활보호에 대한 우려 상존 -

□ 스마트장난감 개요

 ㅇ 스마트장난감이란?

  - 영국은 11월 마지막 금요일인 Black Friday를 시작으로, 본격적인 크리스마스 쇼핑 시즌에 돌입한 가운데 스마트장난감이 아이들에게 인기있는 선물 목록에 오르고 있음.

  - 스마트장난감(Smart Toys)이란 블루투스 또는 와이파이(Wi-fi)를 통해 모바일 애플리케이션이나 컴퓨터에 연결될 수 있는 장난감을 말하며, 사용자와 상호작용이 가능해 오락적 기능과 교육적 기능을 갖추고 있기도 함.

  - 통계포털 사이트 Statista에 의하면, 2020년 기준 스마트장난감시장의 수익은 전 세계적으로 83억8000만 유로에 이를 수 있는 것으로 나타남.

스마트장난감 시장 전망

자료원: Statista

□ 스마트장난감을 둘러싸고 있는 잠재적 위험

 ㅇ 스마트장난감 해킹으로 범죄에 악용될 우려

  - 최근 영국 가디언지는 영국 소비자협회에서 발간하는 소비재 전문지 '위치?(Which?)'의 조사를 인용하며, 스마트장난감에 대한 해킹 위험성을 보도한 바 있음. 이에 따르면 영국에서 인기 있는 스마트장난감 7개 중 4개가 적절한 보안 장치를 갖추고 있지 않아, 누구라도 마음만 먹으면 스마트장난감을 해킹할 수 있는 것으로 나타남.

  - 전문가들은 이러한 장난감들이 블루투스 연결 시 비밀번호, 핀(pin) 번호 또는 어떤 다른 접근 권한의 확인 절차를 갖추고 있지 않고 물리적인 접촉도 요하지 않기 때문에 전문적인 지식 없이도 쉽게 장난감을 해킹해 아이들에게 메시지를 보낼 수 있다고 경고함.

  - 또한 블루투스의 연결 범위가 10미터 이내로 제한돼 있는 만큼 범죄 발생 시 범인이 이미 아이의 근처에 있을 수 있다는 위험이 있음. 또한 잠재적으로 범인이 자동차를 타고 다니며 블루투스 범위를 넓히는 시스템을 설정해 보안이 취약한 스마트장난감만을 노리는 범죄를 저지를 가능성이 있음.

해킹의 위험에 노출될 수 있는 스마트장난감으로 소개된 품목

자료원: Which?, Guardian, Hamleys, ToysRUs, Smyths

  - 기술 산업 관련 매체 테크크런치(TechCrunch)는 노르웨이 소비자보호기관(Norwegian Consumer Council)의 보고서를 인용하며, 스마트장난감과 마찬가지로 아이들을 위해 디자인된 스마트워치(Smart watch) 또한 해킹으로 인한 위험이 있다고 밝힘.

  - 특히 이 스마트워치는 '아이들의 안전을 위해' GPS 추적장치를 내장하고 있는데, 이 장치는 보안 상 위험에 노출돼 있어 잠재적으로 해커가 권한을 가로챌 수 있음. 이 경우 아이들의 과거 위치 내역, 개인 정보뿐만 아니라 실시간 위치 정보에 접근이 가능하고 아이들에게 직접 연락을 할 수도 있어 범죄로 악용될 위험이 매우 높음.

아동용 스마트워치(Smart watch)

자료원: techcrunch.com

 ㅇ 스마트장난감을 통한 사생활침해에 대한 위험

  - 또한 일부 스마트장난감의 경우 내장된 스피커를 오디오 모니터로 사용해 아이들의 주변 환경을 실시간으로 감시할 수 있기 때문에 사생활 침해에 대한 우려가 있음.

  - 미국 제조회사 Genesis Toys가 만들고 영국 유통회사 Vivid Toy가 유럽 내 판매를 담당한 스마트장난감 My Friend Cayla를 그 예로 들 수 있음. 해당 장난감은 2014년 독일 장난감무역협회(German toy trade association)에서 상위 10대 장난감으로 선정되기도 했으나 최대 15미터 밖에서도 아무런 접근권한의 확인절차 없이 블루투스를 통해 연결될 수 있다는 보안의 취약성과 인형을 통해 대화를 엿들을 수 있다는 점 때문에 사생활 침해에 대한 위험을 안고 있는 것으로 나타남.

  - 실제로 올해 2월, 독일 규제기관(Federal Network Agency)은 해당 스마트장난감을 불법 스파이 기구(illegal espionage apparatus)로 분류해 독일 내 판매를 전면 금지했으며, 영국에서도 Argos 등 주요 유통업체가 판매를 중단했음.

  - 이 밖에도 일부 베이비모니터도 인터넷으로 연결돼 위와 같은 위험에 노출될 수 있음.

  - 또한 스마트장난감을 통해 수집된 개인정보가 유출되는 문제도 발생할 수 있는데, 올해 2월 말 가디언지는 Spiral Toys사가 만든 Cloud Pets를 통해 녹음된 200만 개의 음성파일이 매우 쉬운 조합의 비밀번호로 접근이 가능함을 보도

  - 기술 산업 관련 매체 테크크런치(TechCrunch)는 스마트장난감 제조업자들이 수집된 아이들의 개인 보가 어떻게 사용되는지에 대한 정확한 정보를 제공하지 않고 있으며, 테스트된 제품 대부분이 사용자의 계정정보를 완전히 삭제하지 못하게 돼 있다고 지적함.

사생활침해 우려로 판매가 중단된 My Friend Cayla

자료원: 가디언지(Guardian)

□ 시사점

 ㅇ 상호작용이 가능한 스마트장난감(smart toys)의 시장은 전 세계적으로 확대될 것으로 예상되나, 일부 스마트장난감은 해킹의 위험에 노출돼 있고 사생활 침해 등 부작용에 대한 우려도 상존하고 있는 실정

  - 영국은 본격적인 크리스마스 쇼핑 시즌을 앞두고, 아이들을 위한 선물로 블루투스 등 연결 장치를 내재한 스마트장난감의 판매가 증가할 것으로 예측되지만, 범죄 악용 가능성 및 보안 취약성의 문제가 제기되고 있음.

  - 스마트장난감은 블루투스 등 연결 장치를 통해 모바일 또는 PC와 연결되는데, 이 연결 장치가 보안에 취약해 쉽게 해킹을 당할 수 있음. 이 경우 해커는 스마트장난감을 통해 아이들을 유인하는 범죄를 일으킬 소지가 있음.

  - 또한 내재된 스피커를 통해 스마트장난감이 아이들의 주변 환경을 감시할 수 있는 수단으로 사용될 수 있어 사생활침해에 대한 우려가 있음. 실제로 장난감이 아닌 스파이 기구로 분류돼 판매가 금지된 인형의 사례도 등장

 ㅇ 스마트장난감을 영국에 수출하고 있거나 수출을 계획 중인 우리 기업은 연결장치 등의 보안을 강화할 필요가 있음. 또한 장난감에 적용할 수 있는 관련 소프트웨어를 만드는 우리 기업은 보안을 강조한 제품으로 영국 시장진출을 노려볼 수도 있음.

  - 사이버보안 컨설팅회사 Context IS는 스마트장난감과 모바일폰의 초기 연결 셋업 시에 일반적인 블루투스 연결 절차에서 비밀 키를 필수로 교환하게 하는 방법만으로도 보완을 강화할 수 있으며, 소프트웨어상의 취약성도 함께 보완할 수 있다고 조언

  - 스마트장난감 시장 규모가 점점 커져감에 따라 보안 관련 규제가 강화될 가능성도 있으므로, 관련 품목을 취급하는 기업의 경우 이에 대한 방안을 강구할 필요가 있음.

[코트라(KOTRA) 2017년 11월 27일 내용 발췌]