국내 인기 중국산 열화상 체온측정기 분석… 시민 개인정보 중국·미국 IP로 보내져안드로이드 운영체제에 통신기능 탑재… 잡음 제거하면 반경 30m 대화 내용도 '생생'국내 기술로 풀기 힘든 암호 걸려… CCTV처럼 활용해 정부·대기업 출입자도 파악돼
  • 국내 한 행사장에서 열화상 카메라로 출입객들의 체온을 측정하는 모습. 이 같은 열화상카메라가 외부로 통신하는 기능이 있다는 조사결과가 나와 파장이 일 전망이다. ⓒ뉴시스
    ▲ 국내 한 행사장에서 열화상 카메라로 출입객들의 체온을 측정하는 모습. 이 같은 열화상카메라가 외부로 통신하는 기능이 있다는 조사결과가 나와 파장이 일 전망이다. ⓒ뉴시스
    우한코로나(코로나19) 확산 방지를 위해 국내 곳곳에 설치된 열화상 체온측정기에 외부 통신기능이 탑재됐다는 주장이 나왔다. 열화상 체온측정기를 CCTV처럼 사용해 시민들의 얼굴과 음성 등 개인정보를 수집, 중국과 미국의 인터넷주소(IP)로 전송했을 가능성이 있다는 것이다. 

    이 같은 주장은 경기도 부천 소재 한 IT업체 기술연구소의 조사 결과에 근거를 둔 것이다. 이 연구소는 국내에서 인기가 높은 열화상 카메라 체온측정기를 분석해 시연까지 마쳤다. 이 제품은 중국산이었고, 국산 체온측정기 중 다수는 중국에서 들여와 외부디자인과 상표만 바꿔 출시돼 파장이 클 전망이다.

    "열화상 체온측정기가 음성·영상 수집… 외부로 통신 가능"

    13일 한겨레는 환경감시국민운동본부의 '열화상 체온측정기의 통신 여부 조사자료'를 인용해, 국내에서 시판 중인 체온측정기 일부 제품에서 외부와 통신을 하는 기능이 발견됐다고 보도했다. 

    한겨레는 "체온측정기 제품에서 측정 대상자의 얼굴·음성정보를 수집하고 해당 정보를 암호화한 형태로 외부와 데이터통신을 하는 기능이 발견됐다"며 "측정기에 설정된 데이터통신 종착지는 중국·미국 소재의 인터넷주소(IP) 시스템(컴퓨터)이었다. 하루평균 400MB까지 송출이 가능했다"고 전했다.

    이 주장이 사실이라면 체온측정기를 폐쇄회로텔레비전(CCTV)처럼 활용할 수 있었다는 말이 된다. 당사자의 동의 없이 얼굴·음성정보의 수집·제공·활용을 금지한 현행 개인정보보호법을 위반했을 소지가 있을 뿐 아니라, 기업·정부기관의 보안에도 구멍이 뚫렸다는 우려가 나온다. 문제의 통신기능이 비활성화됐는지 여부는 확인되지 않았다. 

    조사수행업체 "체온측정기에 왜 정보 수집 기능이 있을까 의문"

    이 조사를 수행한 업체 대표는 한겨레에 "'열화상 카메라 체온측정기는 안면 체온을 측정해 승인 여부를 결정하기만 하면 되는데 왜 얼굴·음성정보 수집과 통신기능을 갖고 있을까?'란 의문을 갖고 기술연구소를 통해 분석했다"고 말했다. 

    이 업체 대표는 "개인정보보호위원회와 한국정보보호진흥원 등이 요청하면 분석자료를 제공하고 시연해줄 뜻도 있다"고 덧붙였다.

    조사 대상 제품은 국내에서 인기리에 판매되는 ㅌ사(수입사)의 ㅇ제품(제조지 : 중국)으로 진행됐다. 온라인쇼핑몰에서 100만원대 중반 가격에 구입 가능한 제품이다. 운영체제(OS)는 '안드로이드 7.1.2', 안면 체온 측정 프로그램은 '와이비페이스'(YBFace)다. 

    방화벽 시스템(파이어월-드래프트)을 이용한 트래픽 추적 결과, 중국·미국 내 인터넷주소를 가진 서버(컴퓨터)와 연결돼 데이터를 주고받는 것으로 나타났다고 한겨레는 전했다.

    이 업체 기술연구소 이사는 "서울의 한 건물에서 사용 중인 제품을 구해 한 달 반가량 운용하며 분석했다. 잡음 제거 프로그램을 더했더니 반경 30m 내 대화 내용을 선명하게 들을 수 있었다"며 "보안 및 개인정보·사생활 보호 차원에서는 절대 사용하면 안 되는 기기로 보인다"고 덧붙였다.

    "일부 국산 제품, 중국산 들여와 디자인과 상표만 바꿔 출시"

    이 업체 대표는 "중국에 위치한 것으로 보이는 서버로 하루 400MB 분량의 데이터가 송출되는데, 국내 기술로는 풀기 어려운 암호가 걸려 있다"고 언급했다. 

    이 업체 대표는 그러면서 "체온측정기의 아이피 주소를 분석하면 해당 기기가 어디에 설치돼 사용되는지도 확인할 수 있다. 악용하면 대기업과 정부기관 등 중요 시설에 설치된 체온측정기 위치를 파악한 뒤 해킹을 통해 원격조종 프로그램을 심어 CCTV처럼 활용해, 누가 출입했는지 파악하는 것이 가능해 보인다"고 덧붙였다.

    또 다른 문제는 조사 대상 중국산 제품 이외에 국내산 제품도 마찬가지 문제가 있을 수 있다는 점이다. 

    한겨레는 의료기기용 체온계를 생산하는 한 업체 대표의 말을 인용해 "중국산 제품을 사다 사용법을 한글화하고 외부 디자인과 거치대만 바꾼 뒤 새로운 상표를 붙여 국산으로 둔갑시키는 경우도 많다"고 보도했다.