[SOH] 최근 중국 인공지능(AI) 챗봇 ‘딥시크(DeepSeek)’가 이용자 정보를 틱톡 운영사인 ‘바이트댄스’에 넘겼다는 사실이 확인되면서 중국산 애플리케이션(앱)과 스마트 기기를 통한 개인정보 유출·해킹 우려가 커지고 있다.
‘알리익스프레스, 테무 같은 쇼핑 앱부터 IP캠(인터넷 카메라), 로봇청소기까지 중국산 IT 제품·서비스에서 ‘제조 단계 백도어(Backdoor)’나 ‘취약한 암호화’ 같은 보안 문제가 발생할 수 있는 것으로 보인다.
‘백도어’는 제조사나 제3자가 기기에 몰래 접근할 수 있도록 심어둔 비밀접근통로로, 사용자 몰래 개인정보를 외부로 전송할 수 있다. 데이터 유출은 앱·기기가 이용자 동의 없이 △민감한 정보를 특정 서버로 보내거나, △키보드 입력·클립보드 내용 등을 수집하는 경우를 가리킨다.
‘취약한 암호화’는 일부 IP캠과 네트워크 장비가 암호화 없이 데이터를 주고받아, 해킹에 쉽게 노출될 수 있는 문제로 꼽힌다. 또한 IT 제품의 생산·유통 단계에서 악성코드가 삽입되는 방식도 있다.
보안 전문가들은 중국이 개인정보를 해킹하는 가장 흔한 수법은 제조 단계에서 백도어를 심어두는 것이라고 말한다. 백도어는 일반 보안 솔루션으로는 파악하기 어렵다. 네트워크 트래픽을 면밀히 관찰해야 정보 유출 여부를 알 수 있다.
실제로 국내 공공기관에 설치된 CCTV 영상이 일부 중국으로 전송한 사례가 있다. 군사시설 경비 카메라나 지자체 CCTV, 가정용 IP 카메라 등에서도 비슷한 보안 문제가 확인됐다.
중국 해커 조직이 악성코드가 설치된 제품을 유통하거나, 가짜 사이트를 운영하는 방식으로 공격을 시도하는 경우도 많다.
일례로 알리익스프레스 등 중국 직구 사이트에는 유난히 싼 USB를 구매한 뒤, 컴퓨터에 꽂는 순간 바로 악성코드가 실행되도록 설계된 사례가 있었으며, 중국발 가짜 사이트 중에는 유튜브 영상 다운로드를 빙자해 랜섬웨어를 퍼뜨리는 곳도 적지 않다.
염흥열 순천향대 정보보호학과 교수는 “사용자가 어떤 정보를 수집당하고, 어디로 전송되는지 도무지 알 수 없다는 사실이 가장 심각한 문제”라며 “해외로 개인정보가 이전된다면 당연히 동의를 받아야 하지만, 일부 중국산 서비스는 이를 고지하지 않거나 우회해 개인정보를 무단으로 수집할 가능성이 있다”고 했다.
중국 정부가 자국 기업이 수집한 정보를 들여다볼 수 있다는 점도 큰 문제다. 김승주 고려대 정보보호대학원 교수는 “중국의 데이터 보안법에 따라, 중국 기업이 수집한 정보는 자국 정부 요청 시 제공해야만 한다”며 “결국 (우리 국민들의) 개인정보가 어디로, 어떻게 쓰이는지 통제하기가 어려운 상황”이라고 했다. / 조선일보
※참고기사
디지털뉴스팀
(ⓒ SOH 희망지성 국제방송 soundofhope.kr)
