A사, ”애플이 인정한 특급 보안“ 언급하며 애플·삼성 인증 공개
알고보니 호환성 인증..."외부 기업이 무슨 수로 보안을 인증하나"
유료 아이클라우드 유저만 해당되는 '홈킷 보안'이 기기 보안 근거?
중국 본사의 앱 쓰는 A사..."기기 한국서버라 해도 보안 취약점"
중국만이 문제는 아냐..."영세한 중소기업 자체 운영 서버도 우려"
[녹색경제신문 = 우연주 기자] 애플·삼성 등 대기업의 이름을 언급하며 보안을 강조해 온 한 IoT 기업의 앱이 실시간으로 중국서버와 통신하는 것으로 확인됐다. 이 회사는 별도의 개인정보처리방침조차 마련하지 않아 실질적인 개인정보관리자가 중국 본사냐는 의문도 제기된다.
중국 본사가 지분의 약 20%를 가진 A사는 우리나라에 주소를 둔 국내법인이다. A사는 2019년 합작법인의 형태로 우리나라에서 사업을 시작했다. 홈캠·도어락·센서 등 스마트 홈을 위한 IoT 제품을 판매하고 있다.
문제가 된 지점은 A사가 강조한 ‘뛰어난 보안’의 근거들이다.
A사는 다수의 상품 상세페이지에서 ”애플이 인정한 특급 보안“이라고 쓰고 삼성전자의 ’스마트싱스 호환 인증’ 및 애플의 ‘애플홈 호환 인증‘ 로고를 붙였다. 업계 관계자들은 이러한 인증이 보안과는 아무 상관이 없다고 지적한다.
IoT 업계에 종사하는 B씨는 “다른 회사의 보안을 무슨 수로 인증해주냐”고 말했다. 보안 정도를 확인하려면 내부 서버 접근권한이 있어야 하는데, 외부 기업이 이를 확인하고 인증할 수가 없는 구조라는 것이다.
다수의 IoT 업계 관계자는 입을 모아 “스마트싱스 인증과 애플홈 인증은 호환성에 관한 것이다. 인증 받은 업체의 제품이라면 스마트싱스와 애플홈 플랫폼과 호환이 잘 된다는 게 인증의 핵심”이라며 “보안과는 아무 상관이 없다”고 강조했다.
A사가 애플 홈킷 호환이 가능하다는 것을 보안성의 근거로 쓴 점도 논란이 됐다.
애플 홈킷의 보안은 유료 아이클라우드 구독자에게만 해당되는데, A사는 제품 상세페이지에서 '다양한 생태계에서 활용 가능'한 점을 강조하기 때문이다.
'홈킷 시큐리티(애플이 써드파티 개발자를 위해 배포한 문서)'의 규약을 따라 만든 제품은 외부 서버를 쓰지 않고 사용자의 아이클라우드를 활용하기 때문에 보안 강도가 높은 것이 장점이지만, 이는 유료 아이클라우드에 구독 중인 사용자에게만 해당된다.
즉, 사용자가 아이클라우드를 구독하지 않은 상태에서 A사의 홈캠을 쓴다면 A사가 자랑하는 ‘홈킷 보안’은 아무런 의미가 없다.
때문에 다른 홈캠 제조사들은 애플 홈킷 전용 제품에서만 홈킷의 보안성을 강조한다. 하단에 “애플의 아이클라우드 구독이 필수”라는 점을 강조하는 것은 물론이다.
A사의 홈캠은 아이폰에서도, 안드로이드 기기에서도 쓸 수 있다. 아이폰 사용자라 해도 아이클라우드 없이 쓸 수 있다. A사 자체 앱이 있기 때문이다.
A사의 앱도 문제가 됐다.
A사는 정식으로 한국에 주소를 둔 국내법인이지만 앱은 중국 본사의 것을 쓰도록 한다. A사가 별도로 제작한 국내 전용 앱은 존재하지 않는다.
네트워크에 정통한 관계자는 "기기가 한국 서버를 쓴다고 해도 이 기기의 영상정보를 처리하는 앱이 중국 서버를 쓴다면 이는 영상정보가 중국 서버로 넘어갈 수 있는 취약점이 있는 것으로 본다"고 말했다.
기자가 전문가들의 도움을 받아 서버로 전송되는 패킷을 확인했을 때에도 앱은 실시간으로 중국 서버와 접속하며 정보를 송수신하고 있었다.
앱이 알리바바·텐센트 서버와 송수신하는 흔적이 다수 발견된 것이다.
이 중 한 서버는 중국 상하이에 위치한 것이 확인됐다. 나머지는 싱가포르에 위치해 있다.
다만 A사의 기기를 쓰기 위해 중국 본사 앱을 반드시 써야하는 것은 아니다. 외부 플랫폼에 직결되는 기기가 많기 때문이다.
A사가 국내에서 판매하는 기기들은 모두 한국 서버를 사용하는 것도 사실이다.
국내 사용자들도 다수 이용하는 이 앱은 현재 중국 본사가 개인정보처리자로 돼 있는 점도 문제로 지적됐다.
중국 본사가 앱 사용 전반에서 수집되는 개인정보를 처리하는 주체라는 것인데, 우리나라 법은 국내 법인이 국내 사용자들의 개인정보를 처리할 경우 직접 개인정보처리자가 되도록 하고 있다.
A사 홈페이지에 공개된 개인정보처리방침이 있지만, 이는 A사의 홈페이지 가입만 다룬다.
IoT 기기를 제조하는 중소 제조사 중 개인정보처리방침 문서가 제대로 쓰이지 않은 것은 A사뿐이 아니다.
일각에서는 "중국 기업, 중국 서버만 문제라고 할 수 있겠나. 영세한 작은 기업이 자체 서버를 운영하면서 생기는 보안 취약점들도 우려스럽다"는 의견도 나온다.
다수의 우리나라 기업이 IoT 시장에 뛰어들고 있지만, 서버 관리 등 보안 및 개인정보관리에 대한 관심이 더 필요하다는 지적이 나오는 배경이다.
우연주 기자 lycaon@greened.kr
▶ 기사제보 : pol@greened.kr(기사화될 경우 소정의 원고료를 드립니다)
▶ 녹색경제신문 '홈페이지' / '페이스북 친구추가'
![[ET톡] TCL·하이센스가 해야 할 일](https://img.etnews.com/news/article/2025/01/31/news-p.v1.20250131.db721839d50941658625340deec240b2_P1.jpg)
![카피캣 피해 160건 vs IPO 철회 41건…권리보호와 질적성장 과제 [AI 프리즘*스타트업 창업자 뉴스]](https://newsimg.sedaily.com/2025/03/08/2GQ5YUF9CS_1.jpg)
![[MWC25 바르셀로나 포럼] 명제훈 KT 본부장 “AI 필터링 기술로 스팸신고 79% 줄여”](https://img.etnews.com/news/article/2025/03/07/news-p.v1.20250307.1bbb6aca46aa45b492fb481971b1d736_P1.jpg)
