로보락, 개인정보 중국서 수집·처리
IoT 보안인증 신청 13곳 불과
“과기부 실태조사 권한 확보해야”[이데일리 권하영 기자] 중국산 로봇 청소기의 개인정보 유출 우려가 제기되는 가운데, 이를 방지하기 위한 사물인터넷(IoT) 보안 인증 제도가 유명무실하다는 지적이 제기됐다. 국내외 IoT 기기 제조업체 3000여 곳 중 올해 상반기 보안 인증을 신청한 곳은 13곳에 불과했으며, 해외 업체는 단 한 곳도 인증을 받지 않은 것으로 나타났다.
이정헌 의원(국민의힘)은 21일 국회 과학기술정보방송통신위원회 정보통신기술(ICT) 기관 국정감사에서 류제명 과학기술정보통신부(과기정통부) 제2차관과 이상준 한국인터넷진흥원(KISA) 원장을 상대로 이같이 지적했다.
이 의원은 국내에서 높은 점유율을 보이는 중국산 로봇 청소기 ‘로보락’을 사례로 들었다. 그는 “로보락은 제품에 카메라와 마이크가 설치돼 있고 블루투스가 연결돼 집 내부의 데이터를 다 수집한다”며 “해커가 마음만 먹으면 원격으로 이 카메라를 조정할 수 있고 데이터가 외부로 유출될 수 있다”고 주장했다.
이 의원이 제시한 자료에 따르면, 지난 3월 31일 로보락의 개인정보 처리 방침 최신 업데이트 내용에는 ‘당사는 귀하에게 서비스를 제공하기 위해 개인정보를 중국에서 수집하여 처리하고 있습니다’라고 명시돼 있다. 또 ‘귀하의 개인정보를 보유하는 기관 개인정보 처리 활동이 공익적 목적, 과학적, 역사적 연구 또는 통계적 목적에 기반한 경우 이를 계속 보유할 수 있다’는 내용도 담겨 있었다.
이 의원은 IoT 기기의 개인정보 유출이나 해킹 우려를 막기 위한 IoT 보안 인증 제도의 실효성을 문제 삼았다. 그가 제시한 자료에 따르면, 올해 상반기 IoT 보안 인증을 신청한 국내외 기업은 13곳에 불과했다. 지난해에도 33곳에 그쳤다.
이 의원은 “IoT 제품을 생산하는 업체가 3000여 곳에 이르고 매출액은 25조 원에 이를 정도로 시장이 커지고 있는데 13개 업체밖에 신청하지 않았다”며 “해외 업체 중 중국이나 미국 등 해외 업체가 국내로 수출하기 위해 KISA에서 실시하는 보안 인증을 받은 곳은 단 한 곳도 없다”고 실효성 있는 대책을 당부했다.
이상준 원장은 “IoT 보안 인증은 자율로 하기 때문에 (실효성이 떨어진다)”며 “IoT 제품을 생산하는 업체들이 중소기업 체제이고 이렇기 때문에 그것을 의무화하면 어려움이 있을 수 있어 못 하고 있는 걸로 안다”고 답했다.
김장겸 의원(국민의힘) 역시 “중국 데이터 보안법 제35조를 보면 정부가 국가 안보를 이유로 데이터 제공을 요구할 경우 해당 기업은 협조할 의무가 있다고 규정돼 있다”며 같은 우려를 펼쳤다. 김 의원은 “과기정통부의 실태조사 권한이 제한적이므로 법 개정을 주도할 필요가 있다”고 제안했다.
류제명 차관은 조사 권한 강화에 대해 “적극 검토할 필요가 있다”며 “지난 9월 한국소비자원과 함께 국내외 중국산과 국내 제품 로봇 청소기의 보안 실태 점검을 해서 발표한 바 있다”며 “인센티브를 강화하는 등 활성화하는 방안이 필요하다”고 말했다.
IoT 보안인증 신청 13곳 불과
“과기부 실태조사 권한 확보해야”[이데일리 권하영 기자] 중국산 로봇 청소기의 개인정보 유출 우려가 제기되는 가운데, 이를 방지하기 위한 사물인터넷(IoT) 보안 인증 제도가 유명무실하다는 지적이 제기됐다. 국내외 IoT 기기 제조업체 3000여 곳 중 올해 상반기 보안 인증을 신청한 곳은 13곳에 불과했으며, 해외 업체는 단 한 곳도 인증을 받지 않은 것으로 나타났다.
|
이 의원은 국내에서 높은 점유율을 보이는 중국산 로봇 청소기 ‘로보락’을 사례로 들었다. 그는 “로보락은 제품에 카메라와 마이크가 설치돼 있고 블루투스가 연결돼 집 내부의 데이터를 다 수집한다”며 “해커가 마음만 먹으면 원격으로 이 카메라를 조정할 수 있고 데이터가 외부로 유출될 수 있다”고 주장했다.
이 의원이 제시한 자료에 따르면, 지난 3월 31일 로보락의 개인정보 처리 방침 최신 업데이트 내용에는 ‘당사는 귀하에게 서비스를 제공하기 위해 개인정보를 중국에서 수집하여 처리하고 있습니다’라고 명시돼 있다. 또 ‘귀하의 개인정보를 보유하는 기관 개인정보 처리 활동이 공익적 목적, 과학적, 역사적 연구 또는 통계적 목적에 기반한 경우 이를 계속 보유할 수 있다’는 내용도 담겨 있었다.
이 의원은 IoT 기기의 개인정보 유출이나 해킹 우려를 막기 위한 IoT 보안 인증 제도의 실효성을 문제 삼았다. 그가 제시한 자료에 따르면, 올해 상반기 IoT 보안 인증을 신청한 국내외 기업은 13곳에 불과했다. 지난해에도 33곳에 그쳤다.
이 의원은 “IoT 제품을 생산하는 업체가 3000여 곳에 이르고 매출액은 25조 원에 이를 정도로 시장이 커지고 있는데 13개 업체밖에 신청하지 않았다”며 “해외 업체 중 중국이나 미국 등 해외 업체가 국내로 수출하기 위해 KISA에서 실시하는 보안 인증을 받은 곳은 단 한 곳도 없다”고 실효성 있는 대책을 당부했다.
이상준 원장은 “IoT 보안 인증은 자율로 하기 때문에 (실효성이 떨어진다)”며 “IoT 제품을 생산하는 업체들이 중소기업 체제이고 이렇기 때문에 그것을 의무화하면 어려움이 있을 수 있어 못 하고 있는 걸로 안다”고 답했다.
김장겸 의원(국민의힘) 역시 “중국 데이터 보안법 제35조를 보면 정부가 국가 안보를 이유로 데이터 제공을 요구할 경우 해당 기업은 협조할 의무가 있다고 규정돼 있다”며 같은 우려를 펼쳤다. 김 의원은 “과기정통부의 실태조사 권한이 제한적이므로 법 개정을 주도할 필요가 있다”고 제안했다.
류제명 차관은 조사 권한 강화에 대해 “적극 검토할 필요가 있다”며 “지난 9월 한국소비자원과 함께 국내외 중국산과 국내 제품 로봇 청소기의 보안 실태 점검을 해서 발표한 바 있다”며 “인센티브를 강화하는 등 활성화하는 방안이 필요하다”고 말했다.
댓글목록
등록된 댓글이 없습니다.