서프샤크(Surfshark)는 최근 발표한 새로운 연구를 통해 많은 사용자가 인식하지 못하는 스마트 보안 카메라의 AI 기능이 개인정보 보호에 추가적인 위협이 될 수 있다고 경고했다. 단순한 영상 캡처와 알림 기능을 넘어, 다수의 유명 스마트 카메라 기기들이 이제 얼굴 인식과 차량 감지와 같은 고도화된 AI 기능을 탑재하고 있으며, 이로 인해 카메라 소유자뿐 아니라 이웃과 방문자 생체 인식 정보 및 메타데이터가 노출될 가능성이 커지고 있다는 분석이다.
연구에 따르면 보안 강화를 명분으로 내세우고 있음에도 대부분 스마트 카메라 동반 애플리케이션은 핵심 카메라 기능과 직접적인 관련이 없는 추가적인 사용자 데이터를 광범위하게 수집하고 있는 것으로 나타났다. 서프샤크의 사이버보안 전문가 미구엘 포르네즈(Miguel Fornes)는 이러한 불투명한 데이터 수집 관행이 안전 도구를 오히려 잠재적인 개인정보 보호 위험으로 전환시킬 수 있다고 지적했다.
포르네즈는 “집은 개인적이고 사적인 삶의 가장 핵심적인 공간인데, 그 공간의 정보가 모르는 제삼자에게 노출될 수 있다고 상상해 보라”며 “문제는 단순히 영상이 캡처된다는 점이 아니라, 사용자들이 자신의 생체 인식 데이터가 어디에 저장되는지, 어떤 추가 데이터가 수집되는지 그리고 그것이 누구와 공유되는지에 대한 충분한 정보를 제공받지 못한다는 데 있다”고 말했다. 그는 특히 이웃 얼굴이나 차량 번호판을 명시적 동의 없이 스캔하는 행위는 개인정보 보호 규제를 위반할 소지가 크며, 그렇지 않더라도 심각한 개인정보 침해 우려로 다뤄져야 한다고 강조했다.
실제로 아마존 링(Amazon Ring)은 최근 '익숙한 얼굴들(Familiar Faces)' 기능과 관련해 개인정보 보호 감시 단체들로부터 비판을 받았다. 해당 기능은 카메라에 포착된 인물을 식별할 수 있다고 주장하며, 이 과정에서 생체 인식 데이터의 수집 및 처리 방식 그리고 동의 절차 적절성에 대한 논란을 불러일으켰다.
이처럼 얼굴 인식을 포함한 AI 기반 기능이 확산되면서, 스마트 카메라 제조업체들은 국가별로 상이하고 복잡한 글로벌 개인정보 보호 규제를 준수해야 하는 상황에 놓여 있다. 한국의 경우, 안면 이미지를 포함한 생체 인식 정보는 개인정보보호법(PIPA)에 따라 민감 정보로 분류되며, 민간 기업이 이를 수집·이용하기 위해서는 일반적으로 정보 주체의 명시적 동의와 사전 고지 그리고 엄격한 보호 조치가 요구된다.
포르네즈는 법적으로 허용되는 경우라 하더라도 사용자들이 종종 간과하는 점이 있다고 지적했다. 그는 “이러한 스마트 기능을 활성화하기 위해 AI 카메라는 지속적으로 제조업체 서버에 데이터를 전송해야 하는 경우가 많다”며 “이는 단순한 녹화 영상이나 스냅샷에 그치지 않는다”고 설명했다. 실제로 카메라 동반 앱들은 위치 정보, 기기 식별자, 연락처 정보, 사용 패턴은 물론 생체 인식 데이터까지 포함한 다양한 추가 데이터 포인트를 수집할 수 있으며, 이는 보안 침해 발생 시 피해 규모를 키우는 또 하나의 감시 흐름을 만들어낸다는 것이다.
그는 또한 스마트 카메라에 알려진 취약점이 존재할 경우, 고도의 기술이 없어도 악의적인 공격자가 이를 악용할 수 있다고 경고했다. 포르네즈는 “이미 침해된 웹캠 목록을 제공하는 공개 플랫폼들이 존재하며, 이를 통해 공격자들은 카메라를 실시간 감시 도구로 바꿔 사용자와 이웃을 몰래 감시할 수 있다”고 말했다.
서프샤크가 분석한 8개 주요 스마트 카메라 브랜드 가운데 6개는 AI 기반 얼굴 인식 기능을 제공하고 있었으며, 7개는 차량 감지 기능을, 8개 전부는 사람 감지 및 지능형 알림 기능을 지원하는 것으로 나타났다. 그러나 이러한 안전 기능 대부분은 설치, 알림 설정, 클라우드 저장을 위해 전용 동반 앱 사용을 요구했고, 이 앱들이 카메라의 핵심 기능과 무관한 추가 데이터를 수집하는 경우가 많았다.
연구 결과, 아마존 링의 동반 앱은 사용자와 연결된 15개의 서로 다른 데이터 유형을 수집해 가장 많은 데이터를 수집하는 것으로 나타났다. 그 뒤를 구글 네스트(Google Nest)가 14개로 이었으며, 알로(Arlo), 심플리세이프(SimpliSafe), 비빈트(Vivint)는 각각 11개, 프론트포인트(Frontpoint)는 10개, ADT는 9개의 데이터 유형을 수집하고 있었다.
아마존 링 생태계는 위치 정보, 기기 또는 사용자 식별자, 이메일 주소, 이름, 휴대전화 번호, 사진 및 영상, 실제 주소, 제품 상호작용 기록, 구매 및 사용 이력 등 생체 인식 정보를 넘어서는 광범위한 데이터를 수집하는 것으로 분석됐다. 특히 아마존 카메라 앱은 10개 데이터 유형을 '기타 목적'이라는 모호한 범주로 분류해, 해당 데이터 수집의 구체적인 이유를 불투명하게 만든다는 점이 지적됐다.
광고 관련 데이터 수집 관행은 앱마다 큰 차이를 보였다. 알로는 제3자 광고를 목적으로 기기 식별자를 수집·공유한다는 점을 명시했으며, 개발자 광고를 위해 5개 데이터 유형을 수집해 경쟁사들보다 높은 수준의 데이터 활용을 보였다. 비빈트와 구글 네스트는 각각 4개 데이터 유형을, 심플리세이프는 3개를, 아마존 링과 ADT는 각각 1개 데이터 유형을 광고 목적으로 수집하고 있었다.
서프샤크 분석에서 비교적 개인정보 보호 친화적인 브랜드로 평가된 TP-Link는 제3자 서비스와 연동 옵션을 제공하고 있다. 이 기능은 기본적으로 비활성화돼 있지만, 활성화할 경우 기기 보안 수준이 낮아지고 보안 위험이 증가할 수 있다. 이에 따라 대부분 카메라 제조업체는 자사 생태계 내에서 사용을 권장하며, 제3자 서비스 연동은 잠재적 위험을 충분히 이해한 경우가 아니라면 피할 것을 조언하고 있다.
김현민 기자 minkim@etnews.com
