‘인공지능(AI)’이 빠르게 발전하면서 AI스피커도 우리 생활 속에 다수 자리잡기 시작했다. 하지만 이로 인해 개인정보 유출 등 정보보안 문제가 발생할 수 있다는 우려도 커지고 있다./ 사진=Gettyimagesbank, 그래픽=박설민 기자

시사위크=박설민 기자  최근 IT업계의 가장 중요한 사업 트렌드는 ‘인공지능(AI)’이다. 그중에서도 사람들에게 가장 밀접하고 발전한 서비스를 하나 꼽으라면 ‘AI스피커’라고 볼 수 있다. AI스피커를 통해 친구가 돼 주기도 하고 업무 일정 및 건강 체크 등의 임무를 수행해주는 훌륭한 비서가 돼 주기 때문이다.

실제로 AI스피커 시장의 성장 추세는 매우 빠른 편이다. 글로벌 시장조사업체 카운터포인트리서치는 AI스마트 스피커의 글로벌 출하량은 오는 2025년까지 연평균 21%의 성장률을 보일 것으로 내다봤다. 글로벌 시장조사업체 리서치앤마켓도 지난 2017년 25억달러 규모였던 AI스피커 기반의 AI개인비서(IVA) 시장이 오는 2023년 252억달러에 이를 것으로 전망했다.

◇ 급성장하는 AI스피커 시장, 정보보안 문제도 ‘급증’

하지만 AI스피커 시장이 이처럼 빠르게 성장하면서 ‘개인정보보호’ 문제에 대한 우려도 커지고 있다. 

AI스피커가 개인정보 유출에 취약한 이유는 AI스피커의 존재 이유나 다름없는 ‘음성을 인식하는 기능’이 원인이라고 볼 수 있다. AI가 음성을 인식한다는 것은 즉, 주변의 모든 소리를 듣고 이에 대한 정보를 파악할 수 있다는 것을 의미하기 때문이다.

AI스피커의 경우 사용자의 음성을 전파로 전환하고 이를 분석해 명령을 이행한다. 이때 사용자의 음성을 제대로 AI가 이해하지 못하거나 악성코드 및 해킹 등 외부 공격을 받게 되면 개인정보를 유출하거나 제대로 된 명령을 이행할 수 없게 된다.

실제로 지난 2017년에는 글로벌 IT플랫폼 아마존의 AI스피커 ‘에코’는 TV 광고 소리를 착각해 장난감을 대량으로 주문하는 사태를 일으키기도 했다. 단순한 해프닝으로 아마존 측에서는 해당 주문을 취소하는 등의 조치를 취해 사건은 일단락 됐다.

이뿐만이 아니다. 장난감 해프닝이 발생했던 아마존 AI스피커 에코는 대량의 정보 유출 사건을 일으키기도 했다. 미국 IT매체 더버지의 2018년 보도에 따르면 AI스피커 에코는 자신의 녹음데이터를 들려달라는 독일의 한 사용자는 요청을 듣고 다른 사람들의 녹음데이터 1,700여건을 제공했다. AI스피커를 기업 등에서 사용할 시 정보 유출 등의 큰 사건으로 번질 가능성은 충분히 있는 사건이다. 

IT분야 전문가들은 이런 AI스피커의 정보 유출이 지속될 경우, 상당히 심각한 문제가 발생할 수 있다고 우려한다. 

대한무역투자진흥공사(KOTRA) 이지현 미국 실리콘밸리무역관은 9월 발표한 ‘미국 스마트 스피커 시장동향’ 보고서에서 “스마트 스피커의 ‘음성을 인식하는 기능은 다시 말해 해당 기기가 ‘주변의 모든 소리를 들을 수 있다’는 것을 의미한다”고 설명했다.

그러면서 “때문에 스마트 스피커는 비디오, 사진, 개인 정보와 같은 민감한 개인정보에 접근해서 조작할 수 있다”며 “연락처 세부 정보, 은행 세부 정보, 로그인 비밀번호 등이 유출돼 보안 문제를 일으킬 가능성이 존재한다”고 지적했다.

대표적인 AI스피커인 아마존의 에코는 지난 2017년 TV목소리를 잘못 알아듣고 미국 전역에서 장난감이 대량으로 구매된 사건이 있었다. 또한 독일에서는 약 1,700여건의 개인녹음내역이 유출돼 논란이 일었다./ 사진=아마존 홈페이지 캡처

◇ 국내 AI스피커도 보안 취약… 보안인증 받은 곳 ‘0’

문제는 이런 AI스피커의 정보보안에 대한 우려가 커지고 있음에도 불구하고 AI스피커의 정보보안 발전 속도는 시장 발전 속도에 미치지 못하고 있다는 지적도 나온다. 특히 우리나라 AI스피커 업체들의 경우 정보보안과 관련해 검증을 받은 곳은 단 한 곳도 없는 것으로 알려져 논란이 되고 있다.

국회 과학정보통신기술방송통신위원회 소속 변재일 더불어민주당 의원실이 8일 공개한 자료에 따르면 국내 AI스피커 가입자 수가 1,610만명에 달한다. 하지만 국내 주요기업의 AI스피커 중 보안인증을 받은 회사는 전무했다.

변재일 의원 측이 과학기술정보통신부(이하 과기정통부)로부터 제출받은 사업자별 인공지능 스피커 가입자수 현황에 따르면 한국인터넷진흥원이 보안내재화를 촉진하기위해 2017년 12월 도입한 ‘IoT보안인증’을 획득한 업체는 단 한 곳도 없었다. 네이버, 카카오, SK텔레콤, KT, 삼성전자 등 국내 주요 기업을 포함해서도 마찬가지다.

AI스피커 이용 시 ‘옵트아웃(Opt-out)’ 방식의 적용 이행률도 부족했다. 옵트아웃은 당사자가 자신의 데이터 수집을 허용하지 않는다고 명시할 때 정보수집이 금지되는 제도를 말한다. AI스피커 이용자가 자신의 음성이 녹음돼 저장되는 것을 거부할 수 있는 권리라고 볼 수 있다.

과기정통부가 변재일 의원실에 제출한 자료에 따르면 AI스피커의 옵트아웃 기능을 적용한 국내 기업은 삼성전자가 이행률 49%로 그나마 높았다. 하지만 국내 AI스피커 시장을 선도한다고 평가받는 이동통신사 SK텔레콤과 KT는 각각 0.2%, 0.11%로 옵트아웃 이행률이 매우 저조했다. 카카오 역시 이행률이 0.14%에 불과했다.

변재일 의원은 “AI스피커 등 국민의 이용빈도가 높고 생활과 밀접한 스마트홈 IoT 서비스 등과 관련해서는 IoT보안인증제도 의무화를 도입해야 한다”며 “이를 통해 국민들이 보다 보안성이 높은 제품을 선택할 수 있도록 돕고, 기업에게는 높은 보안성을 유지할 의무를 부여할 필요가 있다”고 지적했다.

전문가들은 AI스피커의 정보 보안 및 프라이버시 문제의 해결이 AI스피커 시장이 향후 더욱 성장하기 위한 필수 조건으로 꼽힌다./ 사진=Gettyimagesbank, 편집=박설민 기자

◇ AI스피커 시장 성장 위해선 보안 필수… 전문가들, “공개 키 도입 등 대책 필요”

전문가들은 AI스피커 기술 개발 및 시장 성장을 위해선 정보 보안 및 프라이버시 문제의 해결이 가장 중요한 문제라고 꼬집는다.

삼정KPMG경제연구원도 ‘음성 AI 시장의 동향과 비즈니스 기회’ 보고서에서 “음성 AI 시장은 스마트폰의 뒤를 잇는 차세대 단말과 서비스 시장으로 각광받고 있지만, 스마트폰과 같은 거대 시장이 형성되기 위해서는 해결돼야 할 선결 과제가 많다”며 “가장 시급한 것은 보안과 프라이버시에 대한 대책이다”이라고 밝혔다.

이어 “가정의 거실과 방 곳곳에 위치한 스마트 스피커는 항시 실행을 대기하면서 사용자의 모든 음성 대화를 수집할 수 있다는 문제를 안고 있다”며 “업계에서는 사용자의 음성 데이터 수집과 활용 시 개인 정보와 프라이버시를 엄격하게 보호할 수 있는 방안을 마련하는 것이 중요하다”고 덧붙였다.

그렇다면 AI스피커의 보안성을 높이기 위한 방법은 무엇이 있을까. IT분야 전문가들은 AI스피커에 ‘공개 키(public-key)’나 ‘인증서 투명성(Certificate Transparency)’을 적용하는 것이 한가지 대응책이 될 수 있을 것으로 보고 있다.

여기서 공개 키란 컴퓨터 보안 암호 방식의 한 종류로 사전에 비밀 키를 나눠가지지 않은 사용자들이 안전하게 통신할 수 있도록 하는 방법을 말한다. 공개 키 암호 방식에서는 공개 키와 비밀 키가 존재하는데, 공개 키는 누구나 알 수 있지만 비밀 키는 키의 소유자만이 알 수 있다. 인증서 투명성은 디지털 인증서를 모니터링하고 감사하기 위한 인터넷 보안 표준 및 오픈 소스 프레임 워크를 말한다.

고려대학교 정보보호대학원 연구원들은 ‘AI스피커의 보안성 평가 및 대응방안 연구’ 논문에서 “실제 AI스피커 제품들의 보안성 평가를 수행한 결과, 사용자의 개인 정보, 무선 업데이트 중인 펌웨어, 음성 파일 등이 노출되는 문제가 존재했다”며 “또한 대부분의 기기가 MITM(중간자 공격:  네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 방법)에 노출돼 있다는 결과가 도출됐다”고 지적했다.

그러면서 “AI스피커는 각 제조사별로 지원하는 기능이 다르지만 음성 인식 및 일정, 알람, 메모 등 사용자의 개인정보와 관련된 공통된 기능이 포함돼 있다”며 “따라서 AI스피커에 SSL 암호화 통신이 기본적으로 적용돼 있다는 전제 하에 인증서 및 공개 키 혹은 인증서 투명성을 적용한다면 ‘MITM(중간자 공격: 네트워크 통신을 조작하여 통신 내용을 도청하거나 조작하는 공격 방법)’으로 인한 개인정보 유출 피해를 완화할 수 있을 것으로 기대된다”고 밝혔다.
 

저작권자 © 시사위크 무단전재 및 재배포 금지
이 기사를 공유합니다