셀폰에 설치된 앱이나 웹사이트를
통해 문 밖의 상황을 살필 수 있게끔
고안된 인터넷 기반 보안용 카메라가 오히려 사용자를 감시하는 웹캠으로 전락했다는 지적이 줄을 잇고 있다.
가정집이나 아파트 출입문의 초인종(doorbell)에 장착하는 보안용 비디오
기구를 제작해 판매하는 링(Ring)은
아마존 계열사로 캘리포니아 샌타모니카에 본사를 두고 있다. 이 회사가
처음으로 구설수에 오른 것은 4년 전,
자사 직원이 보안카메라를 이용해
고객의 사생활을 엿본 사실이 드러나면서 부터였다. 이를 시작으로 링은
현재까지 총 네 명의 직원을
같은 이유로 파면했다.
또한 지난달 보안전문 연구원들은
링의 앱에서 고객정보를 다른 마케팅사와 공유하도록 허용하는 비밀코드를 찾아냈다. 이어 지난 12월에는 해커들이 링 카메라가 연결된 폰 앱과 웹
사이트에 침투한 후 초인종 카메라의
스피커를 통해 다수의 고객들에게
욕설을 퍼부어 댄 사건까지 터졌다.
강력한 비번·2단계 인증
치안당국의 접근요청 거부
녹음기능 마이크로폰 끄고
셀폰에 추적차단기능 설치
고객들의 불만이 커지자 링은 이번 주 초인종 카메라의 보안을 강화하기 위해 고안한 새로운 프로토콜(protocol)을 발표했다. 강화된 보안조치에 따르면 자신의 계정에 로그인하려는 사용자는 먼저 회사가 셀폰을 통해 제공하는 그날의 임시코드부터 누른 후 패스워드를 입력하는 두 단계의 인증절차를 거쳐야 한다.
하지만 보안 전문가들은 링이 소비자들이 제기한 문제에 늑장 대응을 했을 뿐 아니라 새로 제공한 솔류션 역시 허술하다고 지적했다.
디지털 권리 지킴이를 자처하는 비영리단체 ‘일렉트로닉 프론티어 파운데이션’의 기술담당책임자 윌리엄 버딩턴은 “링이 그들의 장비로 인해 촉발된 광범위한 프라이버시 이슈에 제대로 대응하지 못했다”고 꼬집었고, 뉴욕타임스의 소비자 테크놀로지 수석기자 브라이언 X. 첸은 “개인적으로 링 카메라의 구입을 권하지 않는다”는 입장을 밝혔다.
그럼에도 불구하고 대당 가격이 100~500달러인 초인종 보안카메라는 아마존의 휘황한 제품 리뷰에 힘입어 불티나게 팔리고 있다.
링 카메라는 다양한 형태를 갖고 있지만 가장 인기 있는 제품은 도어벨 형이다. 이 제품은 카메라와 상대의 동작을 감지하는 센서 외에 소형 마이크와 스피커가 달려 있어 집 안에 있는 사람이 문을 열기 전에 방문객의 얼굴을 보며 대화를 나눌 수 있다.
링의 핍홀(peep hole) 카메라를 직접 구입해 시험한 첸에 따르면, 이 기기를 설치한 고객은 이메일 주소와 비밀번호를 이용해 자신의 온라인 계정을 만들어야 한다. 일단 새 계정을 만들면 보안용 카메라가 사용자를 감시하는 카메라로 돌변하는 것을 막기 위한 지침이 뜬다. 다음은 첸이 추천하는 보안지침이다.
■강력한 패스워드를 사용하라
외부인이 풀 수 없는 까다로운 패스워드를 만드는 것이 중요하다. 1Password나 LastPass와 같은 패스워드 매니저를 이용하면 외부인이 파악하기 어려운 비번을 만들 수 있다. 이들은 매스터 패스워드로는 열리지 않는 금고(vault)에 이용자의 모든 비밀번호를 저장하는 앱으로 사용자들을 위해 복잡한 패스워드를 만들어 제공한다.
■2단계 인증(two-factor verification) 절차를 활용하라
링은 고객의 셀폰을 통해 그날의 임시코드를 제공한다. 자신의 계정에 들어가려면 본인이 설정한 비밀번호를 입력하기 전에 임시코드부터 집어넣어야 한다.
링 앱의 메뉴(menu)를 열고 컨트롤 센터(Control Center)를 선택한 후 본인의 셀폰 번호를 입력하면 문자메시지를 통해 곧바로 그 날의 임시코드를 받을 수 있다. 하지만 고객의 셀폰번호를 알아낸 해커가 이를 이용, 피해자의 다른 온라인 계정에 접근해 중요한 개인정보를 빼낼 수도 있다. 뿐만 아니라 해커들은 피해자의 통신사에 접근해 그들이 알아낸 셀폰 번호를 새로운 SIM 카드로 옮기는 이른바 “SIM 스와핑”을 시도하기도 한다.
이에 대비해 링과 공유하는 고객 개인 번호를 숨기려면 구글 보이스(Google Voice)와 같은 인터넷 콜링 앱(internet-calling app)을 설치한 것이 좋다. 구글 보이스는 소비자의 정상적인 전화번호로 문자 메시지를 자동 전송하는 두 번째 임시 번호, 즉 버너 넘버(burner number)를 만들어낸다. 고객들은 이를 링의 2단계 인증에 필요한 번호로 활용할 수 있다.
■치안당국의 데이터 접근요청을 거부하라
링 앱은 치안당국이 수사목적으로 특정 고객의 비디오 자료를 요구할 경우 해당 고객에게 이 같은 사실을 통지한다. 언뜻 보면 고객을 위한 기능 같지만 문제가 발생할 소지가 다분하다. 일렉트로닉 프런티어 파운데이션은 중요한 일을 처리 중이던 고객들이 엉겁결에 동의 버튼을 누를 수 있다며 “아마존은 급속히 확대되고 있는 치안당국과의 공조를 끝내라”고 촉구했다. 다른 전문가들도 아마존이 경찰에 개인영상자료에 대한 “직접 접근권”을 허용할 경우 지역 경찰의 주민 사찰이 거의 항시적으로 이루어질 수 있다고 지적한다.
연방하원 감독개혁위원회는 아마존에 공식 서한을 보내 링과 치안당국 사이의 관계에 관한 정보와 그동안 경찰이 수집한 정보가 무엇인지 밝힐 것을 요구했다. 만일 링과 치안당국의 공조확대에 따른 프라이버시 침해가 우려된다면 링의 컨트롤 센터 메뉴로 들어가 “비디오 리퀘스트”(Video Requests)에 탭한 후 스위치를 “off” 포지션으로 밀어놓으면 된다.
■마이크로폰을 꺼라
보안 카메라가 굳이 소리(sound)를 녹음해야 할 필요가 있을까? 도둑이란 원래 말이 없는 타입이다. 게다가 마이크로폰을 켜 놓으면 해커나 부패한 제조관리사 직원들이 집안에서 오가는 가족들의 대화내용을 엿들을 수 있다.
첸은 링 마이크로폰의 기능을 무력화할 것을 권한다. 그러려면 먼저 앱을 열어 카메라를 선택한 다음 디바이스 세팅(Device Settings), 비디오 세팅(Video Settings), 프라이버시 세팅(Privacy Settings)을 차례로 탭한 다음 “디스에이블 오디오”(Disable Audio) 스위치를 “off“ 위치로 밀어놓는다.
■셀폰에 추적차단(tracker blocker) 기능을 설치한다
다행히도 앱과 웹사이트에 숨어있는 트래커들이 고객정보를 제 3의 마케팅업체들에게 빼돌리는 것을 차단하기 위해 고안된 여러 개의 솔류션 앱이 나와 있다.
첸은 그들 중 안드로이드 기기들과 아이폰을 위해 만들어진 무료 앱 “파이드”(Fyde)를 선호한다. 파이드를 앱 스토어(App Store)나 구글 플레이(Google Play)에서 다운로드 받은 다음 스크린에 나오는 지시대로 설치한다. 파이드를 활성화(activation) 시킨 다음 링 앱을 연 다음 다시 파이드로 돌아가 액티비티 탭(Activity Tap)을 눌러 어떤 트래커들이 차단되고 있는지 확인한다.
■중요한 교훈
한낱 보안 카메라를 사용하기 위해 너무 많은 노력을 기울이는 게 아니냐는 생각이 드는 것은 너무도 당연한 일이다. 링 제품의 보안 허점이 워낙 큰 탓이다.
시중에는 구글의 네스트 헬로 비디오 도어벨(Nest Hello Video Doorbell)처럼 링 카메라보다 우수한 고객정보 보호기능을 갖춘 보안용 제품이 나와 있다. 모질라(Mozilla)는 네스트 헬로에 5점의 보안등급 평점을 주었다. 네스트 헬로가 인크립션(encryption: 암호화기법)을 사용하고 고객들에게 강력한 패스워드를 요구하는 캠페인을 꾸준히 펼쳐온 점 등을 감안한 평가였다.
모질라의 연구원으로 활동하는 베카 릭스는 “보안기구들을 안전하게 만드는 책임을 소비자 개인의 몫으로 돌려선 안 된다”며 “고객 자료를 안전하게 지키는 궁극적 책임은 회사들이 담당해야 한다”고 강조했다.
<By Brian X. Chen>
