"가정용 CCTV영상이 中클라우드로 전송된다고?"
기사내용 요약
신분증 인식기·가정용 CCTV 판매 상위 제품서 보안 취약점 다수 발견
개인정보위, 개인정보 보호 중심 설계(PbD)' 인증제 시범 실시
개인정보보호위원회는 일상생활 속에서 활용되는 다양한 개인정보 수집 기기의 안전성을 강화하기 위해 '개인정보 보호 중심 설계(PbD)' 인증제를 시범 실시한다.
일상생활 속에서 흔히 마주하는 신분증 인식기, 안면인식 도어락, 가정용 폐쇄회로카메라(CCTV) 등에서 보안 취약점이 무더기로 발견되고 있다.
해당 기기들은 안전한 비밀번호 생성규칙이 적용돼 있지 않아 해킹에 취약하거나, 주요 부품이나 관리 소프트웨어 기능이 대부분 유사해 동일한 보안 사고에 노출될 우려가 있다. 해외 제품인 경우, 국외 데이터센터로 가정 내 영상이 전송되지만 이용자들에게 이같은 사실을 명확한 고지를 하지 않았다.
이런 문제를 해결하기 위해 개인정보보호위원회는 제품의 설계·제조 단계부터 개인정보 보호에 대한 안전성을 강화하기 위해 올해 4월부터 '개인정보 보호 중심 설계(PbD)' 인증제를 시범 운영키로 했다.
소비자 89% 영상 기기 통한 개인정보 유출 우려
29일 개인정보보호위원회에 따르면 소비자시민모임, 한국소비자연맹이 합동으로 실시한 개인정보 수집 기기 실태 조사 결과, 응답자 88.7%가 일상생활 속에서 활용되는 개인정보 수집 디지털 기기에 의한 개인정보 유출을 우려하고 있는 것으로 나타났다.
해당 조사는 지난해 6월 21일부터 30일까지 10일 간 온라인 설문으로 20대 이상 남녀 소비자 1000명(지역별, 연령별, 성별 인구비례 할당)을 대상으로 진행했다.
이들이 개인정보 유출 우려가 있다고 생각하는 기기는 ▲신분증 인식기(27.0%) ▲건물 CCTV(17.7%) ▲가정용 CCTV(13.4%) ▲영상기능이 탑재된 스마트 가전(7.6%) ▲월패드 등 아파트 세대 단말기(7.3%) 순으로 조사됐다.
개인정보 수집 디지털 기기 사용 확산에 따라 필요한 정책으로는 '개인정보 유출 등 피해발생 시 소비자 피해에 대한 법제도 보완(33.7%)'을 꼽았다. 아울러 ▲디지털 기기의 개인정보보호 제품 인증제 도입으로 안전한 기기 보급(30.0%) ▲국민의 개인정보 보호에 대한 인식 강화(15.6%) ▲디지털 기기 설치 사업장(시설)의 개인정보 관리에 대한 모니터링(12.6%)▲사업장의 개인정보 관리 보완체계 강화를 위한 사업자 대상 교육 지원(8.1%) 등이 뒤를 이었다.
안면인식 도어락·가정용 CCTV서 보안서 헛점 무더기
소비자들의 우려는 현실로 나타나고 있다. 개인정보 침해 우려가 높은 기기로 꼽힌 신분증 인식기·안면인식 도어락·가정용 CCTV 판매율 상위 제품을 보안전문가들이 점검한 결과, 다수의 취약점이 발견됐다.
신분증에서 추출한 생년월일, 매장 방문시간 등 개인정보를 수집하는 신분증 인식기(국산, 2개사 2개 제품)에서는 데이터베이스(DB) 암호화 프로그램이 적용되지 않았거나 비밀번호 취약점이 발견됐다. 아울러 반복된 인증 시도 가능, 안전한 비밀번호 생성규칙 미적용, 해킹 보안취약점 노출 등 보안상 허점도 있는 것으로 드러났다.
안면인식 도어락(국산, 4개사 4개 제품)점검에선 보안 전문가들은 단순한 초기 비밀번호가 설정돼 있어 사용자가 이를 바꾸지 않고 사용할 경우 비인가자의 침입 가능성이 상존한다고 판단했다. 또 각 제품의 내부 주요부품과 관리소프트웨어 기능이 모두 유사해 취약점 발견시 모두 동일한 보안사고에 노출 우려가 있다고 분석했다.
가정용 CCTV(중국산, 2개사 4개 제품)는 클라우드 사용 시 중국 등 해외 데이터센터로 가정 내 영상이 전송되지만 전송 국가명 등에 대한 명확한 고지가 없었다. 또한 저가 수입 제품의 경우 국내 연락처가 기재돼 있지 않아 소비자 문의 및 분쟁해결이 곤란했다.
개인정보 유출 우려가 높은 기기 순위
개인정보위 '개인정보 보호 중심 설계(PbD)인증제' 시범 실시
이 같은 문제점에 따라 개인정보보호위원회는 일상생활 속에서 활용되는 다양한 개인정보 수집 기기의 안전성을 강화하기 위해 '개인정보 보호 중심 설계(PbD)' 인증제를 시범 실시한다.
개인정보 보호 중심 설계(PbD)는 제품 또는 서비스의 기획, 제조, 폐기 등 전 과정에서 개인정보 보호 요소를 충분히 고려함으로써 개인정보 침해를 사전에 예방하는 설계 개념이다.
이번 시범 운영은 최근 인터넷(IP)카메라에 의한 영상 유출 우려 등을 고려해 현재 상용화 또는 개발 단계에 있는 개인정보 수집 기기 중에서 국민이 일상생활 속에서 쉽게 접할 수 있는 기기를 우선적으로 선정할 계획이다.
시범인증 참여를 희망하는 업체는 한국인터넷진흥원을 통해 인증신청에 필요한 안내와 전문가 자문 등을 제공받을 수 있다. 신청은 유선 문의 후 전자우편을 통해 접수하고, 별도의 보완사항이 발견되지 않을 경우에는 인증시험 착수 후 시범인증서 발급까지 약 6~7주 정도의 기간이 소요될 것으로 예상된다.
개인정보위는 인증제 시범운영을 통해 개인정보 보호를 중시하는 제품이 시장에서 경쟁력을 인정받고 소비자 신뢰를 확보할 수 있도록 세부적인 인증절차 및 기준 등을 보완하는 한편, 향후 인증제 본격 운영을 위한 법적 근거도 마련할 계획이다.
개인정보정책국은 "최근 인터넷(IP)카메라, 월패드 등 개인정보 수집 디지털 기기에 의한 개인정보 침해 우려가 증가하고 있는 상황에서, 개인정보 보호 중심 설계 인증을 통해 개인정보가 일상생활 속에서 보다 안전하게 보호될 수 있도록 개선해 나가겠다"고 말했다.