'샤오미 연동앱' 같은 와이파이만 써도 '전부 해킹'… 인도 이어 美 CISA 보안 '고위험' [MOVIEW]

[디지털데일리 김문기 기자] 샤오미의 대표 스마트 디바이스 연동 앱인 ‘미 커넥트(Mi Connect)’에서 치명적인 보안 취약점이 발견, 인도 정부뿐만 아니라 미국 사이버보안청(CISA)도 보안 우려와 관련해 '고위험 등급' 분류에 나섰다. 동일한 와이파이 네트워크에 있는 공격자가 사용자 인증 없이도 미 커넥트에 접속된 기기들을 통제할 수 있어 개인 가정의 정보도 탈취될 수 있다.

최근 미국 사이버보안청(CISA)의 특정 취약점에 대한 주간 보안 공지 내용에 따르면 샤오미 미 커넥트 보안 문제와 관련해 '기기 무결성과 가용성을 위협하는 심각한 수준의 인증 우회 취약점'이라고 명시하며, 즉각적인 대응을 권고한 사실이 드러났다.

이와 관련해 실제 보안 업계 관계자들은 이 문제의 심각성을 강조하고 있다. 루이스 콤브스 미국의 보안 분석가는 SNS를 통해 이번 취약점은 단순한 정보 유출 수준이 아닌, 사용자의 거실과 주방 전체가 무방비 상태로 전락할 수 있다는 점에서 충격적이라며, 스마트홈 환경 전반에 대한 보안 점검이 시급하다고 밝혔다.

다행히 아직까지 실제 피해 사례는 보고되지 않았지만, 보안 커뮤니티에서는 관련 개념증명(PoC)이 이미 유포되고 있어, 향후 이를 이용한 공격 시도가 발생할 가능성도 배제할 수 없다는 게 업계 설명이다.

CISA는 해당 앱 사용자가 즉시 최신 버전으로 업데이트할 것을 권장하고 있다. 현재 문제가 해결된 최신 버전은 3.1.921.10이며, 사용자는 구글 플레이스토어나 샤오미 공식 스토어를 통해 안전하게 업데이트할 수 있다. 아울러 공공 와이파이 접속 자제, 앱 자동 실행 차단, 원격 연결 해제 등의 대응책도 함께 안내되고 있다.

복수의 외신들에 따르면 샤오미는 아직까지 이번 사안에 대한 공식 입장을 내놓지 않고 있다. 하지만 이번 사건은 샤오미가 수년간 안고 온 프라이버시·보안 논란이 다시 수면 위로 떠오르게 만든 계기가 될 것으로 보인다는 것. 과거 샤오미는 인도 정부로부터 사용자 데이터의 무단 수집과 전송 의혹으로 조사를 받은 바 있으며, 이번 취약점이 재차 브랜드 신뢰도를 흔드는 계기가 될 가능성도 크다.

한편, 인도 인터넷침해대응센터(CERT-In)은 취약점 위험도를 ‘크리티컬(Critical)’ 등급으로 지정한 바 있다. 미국 CISA 역시 해당 취약점을 정부기관 필수 패치 목록(KEV)에 등재할 가능성을 시사하고 있어, 향후 글로벌 보안 이슈로 확산될 전망이다.

한편, 샤오미는 지난 6월 28일 서울 여의도 IFC몰에 국내 1호 오프라인 매장을 열며 한국 시장 공략의 신호탄을 쐈다. 하지만 이 자리에서도 조니 우 샤오미코리아 사장은 국내에서 정보보호책임자 등 전담 인력이나 조직이 있는지와 관련한 질문에 대해 "유저 프라이버시 보호를 위해 최선을 다 하고 있다"는 원론적 입장만 반복했다. 구체적인 질문에 대해서는 회피하는 모습을 보이기도 했다.

결과적으로 샤오미는 민감한 사용자 신뢰의 기초가 되는 보안 이슈 앞에서는 침묵했다. 개인정보 보호는 사후적 보상이나 해명이 아닌, 사전적 설계의 문제다. 확장 속도만큼 투명성과 책임성이 따라오지 않는다면, 안전한 사용 환경이 아닌, 데이터 유출의 온상이 될 위험을 안고 있다.

- Copyright ⓒ 디지털데일리. 무단전재 및 재배포 금지 -