네트워크에 연결된 장난감

네트워크에 연결된 장난감(영어: Connected Toys)은 와이파이, 블루투스 또는 기타 기능이 내장된 인터넷 지원 장치이다. 스마트 토이일 수도 있고 아닐 수도 있는 이 장난감들은 음성 인식 및 웹 검색 기능이 포함된 내장 소프트웨어를 통해 어린이에게보다 개인화된 경험을 제공한다.^[1] 네트워크에 연결된 장난감은 대개 사용자에 대한 정보를 자발적으로 수집하거나 비자발적으로 수집하는데,^[2] 이로 인해 사생활 침해와 같은 문제에 대한 우려의 목소리가 제기되고 있다. 연결된 장난감에 의해 수집된 데이터는 보통 데이터베이스에 저장되는데, 여기서 연결된 장난감을 생산하는 회사들은 그 데이터를 그들 자신의 목적에 사용할 수 있다.

정보수집

수집할 수 있는 정보 유형

부모와 자녀 모두의 정보를 포함하여 어린이의 연결된 장난감에 의해 다른 정보를 수집할 수 있다.

어린이에게서 수집할 수 있는 정보에는 다음이 포함된다:^[3]

• 생년월일, 이름 및 성별
• 프로필 사진
• 아이들이 보낸 음성 메시지, 채팅 메시지 및 사진
• 계정 암호
• 물리적 위치
• 채팅 기록 및 인터넷 검색 기록

부모로부터 수집할 수 있는 정보에는 다음이 포함된다.^[3]

• 전자우편 주소 및 메일 주소
• 성별
• 프로필 사진
• 부모가 보낸 음성 메시지, 채팅 메시지 및 사진
• 계정 비밀번호 및 비밀번호 검색 질문
• 신용카드 정보
• 전화 번호
• 와이파이 비밀번호 및 IP 주소

일반적인 수집 방법

네트워크에 연결된 장난감에 의한 정보 수집은 자발적으로 또는 비자발적으로 발생할 수 있다. 일반적인 정보 수집 방법에는 다음이 포함된다;^[4]

• 계정 생성 시 사용자가 작성한 정보
• 장난감과의 상호작용
• 와이파이 또는 셀룰러 네트워크 연결

개인 정보 관련 문제

과거의 데이터 침해로 인해 어린이들의 정보가 제대로 보호되지 못하는 것에 대해 많은 사람들이 우려하고 있다. 장난감 회사에서 수집한 정보는 보통 정보 프라이버시에 대한 인식의 부족함때문에 시스템에서 거의 암호화하지 않고 누구나 접근할 수 있다. 이전 데이터^[2]

손상

장난감 연결에 관한 몇 가지 데이터 유출이 발생하여 장난감 회사가 어린이 정보를 보호하기 위해 사용하는 방법에 대한 사회의 우려가 제기되고 있다.

CloudPets 데이터 유출

2017년 Spiral Toys사의 CloudPets 장난감은 데이터베이스에서 상당한 데이터 누수를 경험했다. CloudPets는 봉제완구로부터 수집된 모든 정보를 온라인 데이터베이스에 저장한다. 사이버 보안 전문가 트로이 헌트에 따르면, 820,000개 이상의 사용자 계정이 노출되었고, 심각한 CloudPets 데이터 침해 동안 자녀와 부모 모두의 220만 개 이상의 음성 메시지가 유출되었다. 데이터 유출의 원인은 Spiral Toys가 수집한 정보를 저장하기 위해 사용한 불안정한 데이터베이스 때문이었다. 그 데이터베이스는 데이터 유출이 일어나기 전에 일반 대중들이 쉽게 접근할 수 있었다.^[5]

더 이상 공개적으로 데이터베이스에 접속할 수 없지만 Spiral Toys는 데이터 유출에 대해 사용자들에게 알리지 않았으며 이는 캘리포니아 주의 보안 침해 알림 법을 위반하는 것이다.^[6]

VTech 개인정보 데이터 유출

2015년 11월, en:VTech는 해커들이 SQL주입을 사용했던 정보저장시스템에 심각한 데이터침해를 겪었는데, 이는 "공격자가 웹 응용프로그램의 데이터베이스 서버(일반적으로 RDBMS, Relational Database Management Syste, 이라고도 함)를 제어하는 악성 SQL스테이트먼트(일반적으로 악의적인 페이로드라고도 함)를 실행할 수 있는 주입 공격"때문이며, 이는 아동 및 부모의 개인 데이터에 액세스할 수 있는 데이터베이스에 대한 전체 권한을 부여한다.^[3][7]

VTech의 공개 데이터 공개에 따르면, 약 480만 개의 부모 계정과 약 640만 명의 어린이 관련 프로필이 전세계 여러 제품에서 유출되었다고 한다. 데이터 침해 중 손상된 데이터에는 이름, 이메일 주소, 암호, 비밀번호 검색에 대한 비밀 질문 및 답변, IP 주소, 메일 주소 및 다운로드 기록이 포함되었으며, 동일한 데이터베이스에 저장된 신용카드 정보나 사회 보장 번호는 없었다.^[8] 미국은 데이터 침해로 가장 큰 피해를 입었으며, 미국에서 220만 개의 부모 계좌와 290만 개의 아동 프로필이 등록되었으며, 그 다음이 프랑스, 영국, 독일이다. 버크셔 출신의 21세 남성이 해킹 혐의로 체포되었다.^[9]

데이터 공유

장난감 생산자와 다른 회사들 간의 데이터 공유는 연결된 장난감에 의해 수집된 개인 데이터의 프라이버시에 대한 우려를 불러일으켰다. 어린이와 장난감 사이의 대화와 상호작용은 보통 장난감에 의해 기록되고 장난감 제작자의 클라우드 서버로 보내진다.^[1]

en:My Friend Cayla와 i-Que Intelligent Bot, Genesis Toys를 제작한 장난감 회사는 음성 인식 기술을 개선하기 위해 장난감이 수집한 음성 데이터를 Nuance Communications와 공유한다. Nuance Communication은 군사, 정보, 법 집행기관에 생체측정 솔루션을 판매한 기록을 갖고 있는데, 이는 연결된 장난감에 관한 사생활 문제를 감안한 것이다.^[10]

마찬가지로, Mattel, Inc.에서 제작한 Hello Barbie는 캘리포니아 Toytalk가 제공하는 음성인식 기술을 사용한다. Hello Barbie가 수집한 데이터는 Mattel과 ToyTalk 간에 활발하게 공유된다.^[1]

데이터 보호

연결된 장난감이 수집한 정보의 데이터 보호도 고려해야 할 문제다. 아동 온라인 프라이버시 보호법에 따르면, "웹 사이트나 온라인 서비스의 운영자는 정보를 수집한 목적을 달성하기 위해 합리적으로 필요한 기간 동안만 어린이로부터 수집된 개인 정보를 보관해야 한다. 운영자는 삭제와 관련된 정보에 대한 무단 액세스 또는 사용을 방지하기 위한 합리적인 조치를 사용하여 해당 정보를 삭제해야 한다.^[11]

노르웨이 소비자평의회는 2016년 My Friend Cayla와 i-Que Intelligent Bot 대해 이용약관 및 개인정보 보호 정책에 대해 조사를 실시했다. 그들은 개인 정보 보호 정책이 사용자가 서비스 사용이나 계정 삭제를 중지한 후 얼마나 오랫동안 데이터를 보유할 것인지에 대해 구체적으로 언급하지 않는다는 것을 발견했다. 구체적으로 My Friend Cayla의 개인 정보 보호 정책은 "백업 및 기타 이유로 인해 일부 잔여 데이터 없이 데이터베이스에서 모든 정보를 완전히 제거하거나 삭제할 수 있는 것은 아니다.” 라고 명시되어있다.^[12]

My Friend Cayla 독일에서 금지 외었다

2017년 초 독일 연방네트워크청(Federal Network Agency, 분데스넷제르)은 Genesis Toys가 제작한 연결된 장난감의 판매 및 보유를 금지하면서 이 장난감이 안전하지 않고 허가되지 않은 정보전송장치라고 주장하고 있다. My Friend Cayla는 독일에 의해 금지되었던 최초의 네트워크에 연결된 장난감이다.^[13] 독일에서는 추가로 비디오 녹화, 음성 등의 기능을 포함하여 데이터를 전송하는 모든 장난감이 탐지 없이 금지되어 있다고 명시하고 있다. 장난감을 감시 장치로 사용할 가능성에 대해 우려의 목소리가 제기되고 있다. Bundesnetzagentur의 사장 Jochen Homann 은 "카메라나 마이크를 숨기고 신호를 전송할 수 있어 탐지 없이 데이터를 전송할 수 있어 사람들의 사생활을 침해한다"고 말했다. 이것은 특히 어린이 장난감에 적용된다. Cayla 인형은 독일에서 금지되었다. 이는 우리 사회에서 가장 취약한 사람들을 보호하기 위한 것"이라고 말했다.^[14]

그 기관은 다른 연결된 장난감에 대해 추가 조사를 하고 있다.^[14] 장난감을 가지고 있는 가족들에게 아무런 조치도 취해지지 않았다. 연방 네트워크국은 부모들에게 개인 데이터 개인 정보 보호로 구성되는 잠재적 위험을 피하기 위해 장난감을 즉시 파괴할 것을 권고했다.^[13]

연결된 장난감과 관련된 법률

아동 온라인 프라이버시 보호법(COPPA) 및 연방거래위원회법 제5조를 포함하여 일반적으로 연결된 장난감과 관련된 연방법. 두 가지 법률은 연방무역위원회에 의해 어린이들의 개인정보 수집에 관한 법률이 시행된다.^[3]

아동 온라인 개인정보보호법

다양한 방법으로 인터넷에 접속할 수 있는 장난감은 어린이 온라인 개인정보보호법(COPPA)의 법률규정을 받는다. COPPA는 부모들에게 온라인에서 자녀들로부터 수집되는 정보를 통제하게 해준다. 웹사이트는 13세 이하의 어린이들로부터 온라인상의 어떠한 개인 정보도 받기 전에 부모들로부터 검증 가능한 허가를 요청해야 한다.^[15] 자료를 제3자에게 이관하는 경우에는 제3자가 동일한 절차를 밟아 데이터를 보호하도록 요구하는 사항이다.^[16] COPPA에 대한 위반은 사건당 최대 40,654달러의 민사 처벌을 받는다.^[15]

소매점에서 구매하는 장난감은 COPPA의 법률 보호 대상이 아니기 때문에 연결된 장난감에 대한 COPPA 보호에 대한 우려가 제기되었다.

COPPA에 관한 연결된 완구 회사의 준수와 관련된 다른 우려 사항도 있다. 전자 프라이버시 정보 센터, 상업용 무료 아동 보호 캠페인, 디지털 민주주의 센터, 소비자 연합은 Genesis Toys가 생산한 My Friend Cayla와 와 i-Que Intelligent Bot가 COPPA의 법을 어긴 경위에 대한 불만 사항을 연방 무역위원회에 제출했다. 이 불만사항에는 Genesis Toys와 Nuance Communication의 데이터 공유가 언급되어 있다. 또한, Nuance Communication이 COPPA 준수를 직접적으로 언급하지 않는 방법에 대해 우려한다.^[10]

연방거래위원회법 제5조

"상업에서의 불공정하거나 기만적인 행위나 관행"은 연방거래위원회법 제5조에 의해 불법이라고 선언된다.^[17] 연방거래위원회는 소비자의 사생활과 개인정보를 보호하기 위해 제5조를 사용해 왔다. 연결된 장난감의 회사들은 장난감이 수집한 데이터와 정보를 부적절하게 수집, 보호, 오용함으로써 공정위법을 위반할 가능성이 있다.^[3]

같이 보기

• 스마트 토이
• en:My Friend Cayla
• en:Chatbot
• en:Toys-to-life

각주

1. Forbrukerrådet. “Consumer and Privacy Issues in Internet-Connected Toys.” (영어). (https://fil.forbrukerradet.no/wp-content/uploads/2016/12/toyfail-report-desember2016.pdf). 2017년 4월 13일에 확인함
2. O’Shea, Joe. 2016년. “’Toys can be directed to take pictures, video, audio, and you will have no idea it is happening'- Irish cyber security expert warns parents” Independent.ie, 11월 3일. 2017년 3월 24일에 확인함. (영어). (http://www.independent.ie/life/family/parenting/toys- can-be-directed-to-take-pictures-video-audio-and- you-will-have-no-idea-it-is-happening-irish-cyber-security-expert-warns-parents-35183365.html)
3. Nelson, Bill 1942-. 2016년. “Children's Connected Toys: Data Security and Privacy Concerns.” Homeland Security Digital Library. (영어). (https://www.hsdl.org/?abstract&did=797394). 2017년 4월 13일에 확인함
4. Gibbs, Samuel. 2015년. “Privacy fears over 'smart' Barbie that can listen to your kids” The Guardian, 4월 13일. (영어). (https://www.theguardian.com/technology/2015/mar/13/smart-barbie-that-can-listen-to-your-kids-privacy-fears-mattel). 2017년 3월 26일에 확인함
5. Hunt, Troy. 2017. “Data from Connected CloudPets Teddy Bears Leaked and Ransomed, Exposing Kids' Voice Messages.” Troy Hunt. (영어). (https://www.troyhunt.com/data-from-connected-cloudpets-teddy-bears-leaked-and-ransomed-exposing-kids-voice-messages/). 2017년 4월 11일에 확인함
6. Larson, Selena. 2017년. “Stuffed toys leak millions of voice recordings from kids and parents” CNN Tech, 2월 27일. (영어). (http://money.cnn.com/2017/02/27/technology/cloudpets-data-leak-voices-photos/). 2017년 3월 24일에 확인함
7. “What Is SQL Injection (SQLi) and How to Fix It.” Acunetix. (영어). (https://www.acunetix.com/websitesecurity/sql-injection/). 2017년 4월 12일에 확인함
8. VTech Holdings Limited. “Data Breach On VTech Learning Lodge and Resumption of Trading.” (영어). (http://www.hkexnews.hk/listedco/listconews/sehk/2015/1130/LTN20151130247.pdf). 2017년 4월 13일에 확인함
9. “FAQ about Cyber Attack on VTech Learning Lodge (Last Updated: 11:30, December 16, 2016, HKT).” VTech. (영어). (https://www.vtech.com/en/press_release/2016/faq-about-cyber-attack-on-vtech-learning-lodge/#10). 2017년 4월 12일에 확인함
10. “FEDERAL TRADE COMMISSION Washington, DC 20580 In the Matter of Genesis Toys and Nuance Communications.” (PDF). 《Electronic Privacy Information Center》. 2016년 12월 6일. 
11. 16 C.F.R 312.10
12. “Privacy Policy.” My Friend Cayla. (영어). (https://www.myfriendcayla.com/privacy-policy). 2017년 5월 4일에 확인함
13. Huggler, Justin. 2017년. “Germany Bans Internet-Connected Dolls over Fears Hackers Could Target Children.” The Telegraph. (영어). (http://www.telegraph.co.uk/news/2017/02/17/germany-bans-internet-connected-dolls-fears-hackers-could-target/). 2017년 4월 27일에 확인함
14. 2017년. “Bundesnetzagentur Removes Children's Doll ‘Cayla’ from the Market.”Bundesnetzagentur Press. (https://www.bundesnetzagentur.de/SharedDocs/Pressemitteilungen/EN/2017/17022017_cayla.html). 2017년 4월 27일에 확인함
15. “Complying with COPPA: Frequently Asked Questions.” Complying with COPPA: Frequently Asked Questions | Federal Trade Commission. (https://www.ftc.gov/tips-advice/business-center/guidance/complying-coppa-frequently-asked-questions#General Questions). 2017년 4월 20일에 확인함
16. 16 C.F.R. § 312.8
17. “Federal Trade Commission Act.” Federal Trade Commission Act | Federal Trade Commission. (https://www.ftc.gov/enforcement/statutes/federal-trade-commission-act). 2017년 4월 20일에 확인함