간혹 자녀 관리, 안전 등의 목적으로 아동용 스마트워치를 구매하는 부모가 있다. 혹시 자녀에게 이미 스마트워치를 사주었거나 아동용 스마트워치 구매를 고려한다면, 다시 생각해보기를 바란다.
사이버 보안 전문 매체 블리핑컴퓨터는 러시아 소프트웨어 기업 닥터웹(Dr.Web)이 인기 아동용 스마트워치 제품 4종을 연구한 뒤, 사전 설치된 다운로더와 취약한 패스워드 보안, 암호화 해제된 데이터 전송 문제를 발견한 사실을 전했다.
이번 연구에 사용한 기기는 엘라리 키드폰 4G(Elari Kidphone 4G)와 워카 로카 Q50(Wokka Lokka Q50), 엘라리 픽시타임 라이트(Elari FixiTime Lite), 스마트베이비 워치 Q19(Smart Baby Watch Q19)이다. 네 가지 제품 모두 러시아에서 최고 인기를 누리는 안드로이드 기반 아동용 스마트워치이며, 가격대는 다양하다.
연구팀은 대다수 기기가 민감 데이터를 임의로 수집하고는 주기적으로 원격 서버에 전송한다는 사실을 확인했다. 더 심각한 점은 데이터 수집과 전송 모두 사용자가 인지하지 못한 사이에 이루어진다는 사실이다.
특히, 연구팀은 엘라리 키드폰 4G는 숨겨진 모듈 3개를 두고 중앙 위치와 원격 기기 명령에 데이터를 전송한다는 점을 주목했다. 데이터 전송 기능이 기기에 기본적으로 활성화되었으며, 8시간 간격으로 임의의 민감 데이터를 전송한다.
기기가 외부로 전송하는 민감 데이터 중에는 SIM 카드 정보와 지리적 위치 데이터, 기기 정보, 연락처, 설치 앱 목록, SMS 수, 통화 이력 등이 포함됐다.
연구팀은 해커 세력이 전송된 데이터를 악용해, 사용자가 인지하지 못한 사이에 악성 앱 설치와 다운로드, 임의 실행, 특정 앱 제거, 광고 게재 등과 같은 행위로 이어질 수 있다고 우려했다.
저렴한 가격으로 러시아 소비자를 사로잡은 워카 로카 Q50은 패스워드 보안이 취약한 것으로 확인됐다. 연구팀은 기본 값으로 설정된 패스워드(123456) 보인 수준이 매우 취약하며, 러시아 기반 서버로 전송되는 기기 데이터 모두 암호화되지 않는다는 사실을 발견했다.
이 때문에 중간에서 해커가 정보를 가로 채고는 SMS로 GPS 위치 데이터에 접근하고, 사용자의 주변 소리를 원격으로 도청하거나 C&C 서버 주소를 변경해, 기기를 완전히 제어할 수 있다.
엘라리 픽시타임 라이트는 GPS 정보와 보이스메일, 암호화되지 않은 데이터 전송 프로토콜을 이용한 사진 데이터 전송 행위가 이루어지는 것으로 드러났다. 암호화되지 않은 프로토콜 탓에 해커가 외부로 전송되는 데이터를 중간에 가로채 도청할 위험성이 있다.
스마트베이비 워치 Q19는 워카 로카 Q50과 마찬가지로 기본 패스워드를 123456으로 설정하는 등 패스워드 보안 문제를 지닌 것으로 확인됐다.
한편, 블리핑컴퓨터는 엘라리와 워카 로카 등에 스마트워치 보안 문제 관련 사항을 문의했으나 어떠한 답변도 받지 못했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
![[윤창원 칼럼] 종교 인도적 지원, 어디로 가야 하나](/news/data/2025/11/20/p1065576646891237_449_h.png)
![[구혜영 칼럼] 카르텔의 서늘한 풍경](/news/data/2025/11/03/p1065592872193525_800_h.png)
