샤오미 홈카메라 보안 구멍··· 다른 집 화면이 보인다?

설치해둔 보안 카메라에 접속해 자신의 아이나 반려동물이 잘 있는지 확인하려 했는데 다른 카메라의 영상으로 연결되면 어떨까. 이와 같은 일이 실제로 발생했다. 

이 문제는 1일(현지 시각) 미국의 대형 커뮤니티 ‘레딧’에 처음 문제 제기됐다. 네덜란드인으로 알려진 이용자 ‘Dio-V’는 구글의 사물인터넷(IoT) 플랫폼 ‘구글 네스트 허브’를 통해 자신의 집에 설치한 샤오미의 홈카메라 ‘미지아’에 접속했더니 다른 집의 카메라 영상에 접속됐다고 전했다. 그는 재접속할 때마다 매번 다른 카메라에 연결됐다고 전하며 자신의 구글 네스트 허브 단말기에 보인 자는 중의 아기나 노인의 모습, 비어 있는 방안의 풍경 등의 사진을 업로드했다.

이에 구글 관계자는 2일(현지 시각) “해당 문제를 인지하고 샤오미와 협력하고 있다”며 “샤오미에서 이 문제를 해결할 때까지 구글의 기기와 모든 샤오미 기기의 연결을 비활성화했다”며 문제가 해결될 때까지 샤오미 기기의 카메라 기능을 복원하지 않을 것이라고 전했다. 

샤오미는 3일(현지 시각) 입장을 밝혔다, 샤오미는 “해당 문제는 2019년 12월26일 카메라 스트리밍 품질을 개선하기 위한 캐시 업데이트로 인해 발생한 것으로 보인다”며 “해당 문제는 네트워크 상태가 좋지 않은 일부 사용자만 영향을 받을 수 있음을 확인했다. 구글과 협력해 해당 문제를 해결할 때까지 서비스를 일시 중지하겠다”고 설명했다.

보안업계 관계자는 이 문제를 “언제가 발생할 사고였다”고 평가했다. 

그는 “IoT는 기술 발전과 활용, 그 중요성에 비해 보안에 대한 인식이 부족하다. 저가의 제품이 대부분이다 보니 설계 단계에서 보안은 비인기 옵션”이라며 “제조 단계부터의 문제다 보니 해킹을 근본적으로 막기는 어렵다. ‘미라이 봇넷’ 같은 IoT 기기를 대상으로 한 사이버공격이 이어질 것”이라고 말했다.

업계가 손을 놓고 있은 것은 아니다. 한국인터넷진흥원(KISA)은 이와 같은 문제를 일찌감치 경고한 ‘IoT 공통보안 가이드’(2016년)를 제정한 바 있다. 또 2017년 12월부터 ‘IoT 보안인증 서비스’ 등을 운영하는 등 IoT 보안 강화에 힘 쏟아 왔다. 하지만 의무가 아닌 자율인 데다 IoT 기기 제조사 대부분이 중소기업이라는 점 등의 문제로 인증을 받은 기업은 소수다.