AI 가전 파고드는 샤오미, 정보 보호는 '나몰라라'

중국계 IT(정보기술) 기업 샤오미가 국내 오프라인 시장 공략에 속도를 내고 있지만 개인정보 보호에 대한 우려는 좀처럼 해소되지 않고 있다. 스마트홈, AIoT(인공지능 기반 사물인터넷) 플랫폼을 기반으로 한 영업 전략을 펼치면서도 정보보호 공시 대상에서는 제외돼 있어 국내 소비자 보호망이 뚫렸다는 지적도 나온다.

8일 IT 업계에 따르면 샤오미코리아는 지난달 서울 여의도 IFC몰에 국내 첫 오프라인 매장을 정식 오픈했다. 애프터서비스(A/S)를 결합한 통합형 매장을 열어 본격적으로 국내 시장 공략에 나서기 위해서다. 샤오미코리아는 브랜드 프리미엄화를 실현하기 위해 향후 서울·경기권을 포함해 전국적으로 '샤오미스토어'를 확대해 나갈 방침인 것으로 전해진다. 기존 온라인 채널 중심에서 벗어나 오프라인 체험 공간을 마련해 국내 소비자와의 접점을 넓히겠다는 의도다.


샤오미는 한국 시장 공략을 위해 공격적인 행보에 나서고 있지만 여전히 개인정보 유출 논란에서는 자유롭지 못하다. 샤오미는 자사 이용약관을 통해 "중국 본토 외 지역에서 판매된 스마트폰의 개인정보는 싱가포르나 유럽에 보관된다"고 밝히고 있다. 이에 따라 한국에서 수집된 개인정보도 싱가포르 서버에 저장될 것으로 보인다.

문제는 중국 IT 기업들이 수집한 개인정보를 제품 개발 등 다양한 목적으로 활용해왔다는 점이다. 샤오미코리아가 확보한 개인정보 역시 비슷한 방식으로 쓰일 수 있다는 우려가 제기된다. 샤오미는 개인정보 처리방침에서 "귀하의 개인 정보는 제3자 서비스 제공업체 및 비즈니스 파트너에게 전송될 수 있다"며 "데이터는 다른 국가나 지역으로도 이전될 수 있으며 해당 지역의 데이터 보호 기준은 귀하의 관할권과 다를 수 있다"고 명시하고 있다.

이어 "글로벌 시설이 위치한 관할권은 귀하의 관할권과 동일한 수준으로 개인정보를 보호하지 않을 수 있으며 서로 다른 데이터 보호법 간에는 상이한 위험이 존재한다"고 덧붙였다. 이는 사실상 이용자의 데이터가 중국 본사로 넘어갈 수 있다는 가능성을 사전에 고지한 것으로 해석된다.


이들이 판매하는 제품 대부분이 AI 기반 스마트기기이자 글로벌 서버와 연결되는 IoT 장비라는 점은 우려를 키운다. 공기청정기, 스마트TV 등 다양한 AI 가전이 샤오미의 자체 플랫폼 '미홈'(Mi Home)이나 '샤오미 클라우드'에 연결되며 실시간 데이터를 송수신하는 구조다. 이 과정에서 개인정보의 무단 수집, 국외 전송 가능성이 끊임없이 제기돼 왔다.

실제로 최근 샤오미 스마트폰에 기본 탑재되는 통합 제어 앱 '미 커넥트'(Mi Connect)에서 심각한 보안 취약점이 발견되면서 인도 정부는 전 국민을 대상으로 '긴급 보안 경고(Security Alert)'를 발령했다. 해당 앱은 스마트폰을 스마트TV, 노트북 등 다양한 기기와 연동해 제어하는 기능을 제공하는데 동일한 와이파이 네트워크 내 공격자가 사용자 인증 없이 기기를 통제할 수 있는 구조적 결함이 드러나며 보안 우려가 커졌다. 이로 인해 사용자 거주 공간 전반이 사실상 외부에 노출될 수 있다는 점에서 스마트홈 보안 전반에 대한 심각성이 제기되고 있다.

해외에서도 샤오미의 정보보호 이슈는 주목 받는다. 유럽연합(EU) 개인정보보호단체는 올해 1월, 샤오미를 포함한 중국계 IT기업 6곳을 대상으로 GDPR(일반개인정보보호규정) 위반 혐의로 각국 당국에 공식 민원을 제출한 바 있다. 이들은 샤오미가 EU에서 수집한 개인정보를 별도 고지 없이 중국으로 전송했을 가능성을 문제 삼았다.

국내 소비자 보호 체계가 제대로 작동하지 않는다는 우려도 나온다. 샤오미는 현재 방송통신위원회가 시행하는 정보보호 공시제도 대상에서 제외돼 있어 자사의 보안 시스템 수준이나 침해 대응 체계 등 핵심 정보보호 조치 현황을 외부에 공개할 의무가 없다. 국내 주요 통신사와 플랫폼 기업들이 매년 의무적으로 공시에 참여해 개인정보 보호 수준을 점검받고 관련 내용을 투명하게 공개하는 것과 대비된다.

학계에서도 우려의 목소리가 나온다. 단순 동의 절차만으로는 실질적인 개인정보 보호 장치가 작동하지 않으며 국외로 이전된 정보에 대해서는 국내법의 효력이 미치기 어려워 법제도적 공백이 발생한다는 지적이다.

최병호 고려대학교 인공지능학과 교수는 "이용약관 등에 포함된 포괄적 동의 조항을 근거로 사용자 정보를 외부로 이전하는 것은 충분한 통제 수단이 되지 못한다"며 "일부 정보가 비공식적으로 해외 본사나 타 기관에서 활용될 수 있다는 우려도 꾸준히 제기되고 있다"고 말했다. "최근에는 수집된 데이터가 외국 정부나 기업에 의해 활용되고 있다는 정황이 있다는 점에서 소비자 불안이 더욱 커질 수밖에 없다"고 덧붙였다.