맨위로가기

네트워크에 연결된 장난감

"오늘의AI위키"는 AI 기술로 일관성 있고 체계적인 최신 지식을 제공하는 혁신 플랫폼입니다.
"오늘의AI위키"의 AI를 통해 더욱 풍부하고 폭넓은 지식 경험을 누리세요.
목차

1. 개요

네트워크에 연결된 장난감은 어린이와 부모의 다양한 정보를 수집할 수 있으며, 이는 개인 정보 보호 문제를 야기한다. 이러한 장난감은 음성 메시지, 위치 정보 등 민감한 데이터를 수집하며, 데이터 유출 사례를 통해 보안의 취약성이 드러났다. 특히, CloudPets와 VTech의 데이터 유출 사건은 어린이 정보 보호의 중요성을 강조한다. 미국에서는 아동 온라인 사생활 보호법(COPPA)과 연방거래위원회법 제5조가 관련 법률로 적용되며, 한국에서는 개인정보 보호법과 정보통신망 이용촉진 및 정보보호 등에 관한 법률이 개인 정보 보호를 규정한다.

2. 정보수집

연결된 장난감은 사용자가 계정을 만들 때 입력하는 정보, 장난감과의 상호 작용(음성 명령, 터치 등), 와이파이 또는 셀룰러 네트워크 연결 등 다양한 방식을 통해 정보를 수집한다.[21]

2. 1. 수집할 수 있는 정보 유형

연결된 장난감은 어린이와 부모 모두로부터 다양한 정보를 수집할 수 있다.[20]

정보 유형
이름, 생년월일, 성별
프로필 사진
음성 메시지, 채팅 메시지, 사진
계정 비밀번호
물리적 위치
채팅 기록, 인터넷 검색 기록



정보 유형
전자우편 주소, 우편 주소
성별
프로필 사진
음성 메시지, 채팅 메시지, 사진
계정 비밀번호, 비밀번호 검색 질문
신용카드 정보
전화번호
Wi-Fi 비밀번호, IP 주소


2. 2. 일반적인 수집 방법

네트워크에 연결된 장난감에 의한 정보 수집은 사용자가 원하든 원하지 않든 발생할 수 있다. 일반적인 정보 수집 방법은 다음과 같다.[21]

  • 계정을 만들 때 사용자가 입력하는 정보
  • 장난감과의 상호 작용 (음성 명령, 터치 등)
  • 와이파이 또는 셀룰러 네트워크 연결

3. 개인 정보 관련 문제

어린이의 정보 보안이 이전의 데이터 유출로 인해 제대로 보호되지 않는다는 우려가 있다. 장난감 회사가 수집한 정보는 일반적으로 정보 프라이버시에 대한 인식 부족으로 인해 시스템에 암호화가 거의 이루어지지 않아 일반 대중이 접근할 수 있다.[19][2]

3. 1. 데이터 유출 사례

과거 데이터 유출 사건들은 네트워크에 연결된 장난감의 보안 취약성을 보여준다. 이러한 장난감 회사들은 정보 프라이버시에 대한 인식이 부족하여 수집한 정보를 암호화하지 않고 시스템에 저장하는 경우가 많아 일반 대중이 쉽게 접근할 수 있었다.[2]

몇몇 주목할 만한 데이터 유출 사례는 다음과 같다.

  • 2015년 11월, VTech는 SQL 주입 공격으로 인해 전 세계적으로 약 480만 개의 부모 계정과 약 640만 개의 어린이 관련 프로필이 유출되었다. 유출된 정보에는 이름, 이메일 주소, 비밀번호 등이 포함되었으며, 미국이 가장 큰 피해를 입었다.[8][9] (자세한 내용은 VTech 개인정보 데이터 유출 참고)
  • 2017년 Spiral Toys사의 CloudPets 장난감은 보안되지 않은 데이터베이스로 인해 82만 개 이상의 사용자 계정과 220만 개 이상의 음성 메시지가 유출되었다. Spiral Toys는 데이터 유출 사실을 사용자에게 알리지 않아 캘리포니아의 보안 침해 통지법을 위반했다.[5][6] (자세한 내용은 CloudPets 데이터 유출 참고)

3. 1. 1. CloudPets 데이터 유출

2017년, Spiral Toys사의 CloudPets 장난감은 데이터베이스에서 심각한 데이터 유출을 경험했다. CloudPets는 봉제 장난감에서 수집한 모든 정보를 온라인 데이터베이스에 저장한다. 사이버 보안 전문가 트로이 헌트(Troy Hunt)에 따르면, 82만 개 이상의 사용자 계정이 노출되었고, CloudPets 데이터 유출 사고로 인해 어린이와 부모의 음성 메시지 220만 개 이상이 유출되었다. 데이터 유출의 원인은 Spiral Toys가 수집된 정보를 저장하기 위해 사용한 보안되지 않은 데이터베이스 때문이었다. 데이터 유출이 발생하기 전에는 데이터베이스가 일반 대중에게 쉽게 접근 가능했다.[5]

데이터베이스는 더 이상 공개적으로 접근할 수 없지만, Spiral Toys는 데이터 유출에 대해 사용자에게 알리지 않았으며, 이는 캘리포니아의 보안 침해 통지법 위반이다.[6]

3. 1. 2. VTech 개인정보 데이터 유출

2015년 11월, VTech는 정보 저장 시스템에 심각한 데이터 유출 사고를 겪었다. 해커는 SQL 주입 공격을 통해 아이와 부모의 개인 정보에 접근할 수 있었다.[3][7] SQL 주입은 공격자가 웹 애플리케이션의 데이터베이스 서버를 제어하는 악성 SQL 문을 실행하여 데이터베이스에 대한 전체 권한을 얻는 공격 방식이다.[3][7]

VTech의 공개 데이터 발표에 따르면, 전 세계적으로 약 480만 개의 부모 계정과 약 640만 개의 어린이 관련 프로필이 여러 제품에서 유출되었다. 유출된 데이터에는 이름, 이메일 주소, 비밀번호, 비밀번호 복구 질문 및 답변, IP 주소, 우편 주소 및 다운로드 기록이 포함되었다. 신용 카드 정보나 사회 보장 번호는 같은 데이터베이스에 저장되지 않았다.[8] 미국은 220만 개의 부모 계정과 290만 개의 어린이 프로필이 등록되어 데이터 유출로 가장 큰 피해를 입었으며, 그 뒤를 프랑스, 영국, 독일이 따랐다. 버크셔 출신의 21세 남성이 해킹 혐의로 체포되었다.[9]

3. 2. 데이터 공유

장난감 제조사와 다른 회사 간의 데이터 공유는 연결된 장난감으로 수집된 개인 정보의 프라이버시에 대한 우려를 불러일으킨다. 어린이와 장난감 사이의 대화와 상호작용은 보통 장난감에 의해 기록되고 장난감 제작자의 클라우드 서버로 보내진다.[18]

마이 프렌드 케일라와 i-Que Intelligent Bot을 제조한 제네시스 토이즈는 음성 인식 기술을 개선하기 위해 장난감이 수집한 음성 데이터를 뉘앙스 커뮤니케이션즈와 공유한다. 뉘앙스 커뮤니케이션즈는 군사, 정보, 법 집행기관에 생체 인식 솔루션을 판매한 기록을 갖고 있어, 연결된 장난감에 관한 사생활 문제가 제기된다.[27]

마찬가지로, 매텔이 제작한 헬로 바비는 캘리포니아 토이토크가 제공하는 음성인식 기술을 사용한다. 헬로 바비가 수집한 데이터는 매텔과 토이토크 간에 공유된다.[1]

3. 3. 데이터 보존 및 삭제

어린이 온라인 사생활 보호법에 따르면, "웹 사이트나 온라인 서비스 운영자는 정보를 수집한 목적을 달성하기 위해 합리적으로 필요한 기간 동안만 어린이로부터 수집된 개인 정보를 보관해야 한다. 운영자는 삭제와 관련된 정보에 대한 무단 액세스 또는 사용을 방지하기 위한 합리적인 조치를 사용하여 해당 정보를 삭제해야 한다.[28]

2016년 노르웨이 소비자평의회는 My Friend Cayla와 i-Que Intelligent Bot의 이용약관 및 개인정보 보호 정책에 대해 조사를 실시했다. 그 결과, 개인 정보 보호 정책이 사용자가 서비스 사용이나 계정 삭제를 중지한 후 얼마나 오랫동안 데이터를 보유할 것인지 구체적으로 언급하지 않았다는 점을 발견했다. 특히 My Friend Cayla의 개인 정보 보호 정책에는 "백업 및 기타 이유로 인해 일부 잔여 데이터 없이 데이터베이스에서 모든 정보를 완전히 제거하거나 삭제하는 것은 불가능하다"라고 명시되어 있다.[29]

3. 4. My Friend Cayla 독일 판매 금지

2017년 초, 독일의 연방 네트워크 기관(Bundesnetzagentur)은 제네시스 토이즈(Genesis Toys)가 생산한 네트워크 장난감인 마이 프렌드 케일라(My Friend Cayla)의 판매와 소지를 금지했다. 이 장난감이 안전하지 않고 승인되지 않은 정보 전송 장치라고 주장했기 때문이다. 마이 프렌드 케일라(My Friend Cayla)는 독일에서 금지된 최초의 네트워크 장난감이다.[30] 기관은 또한 비디오 및 음성 녹음과 같은 기능을 포함하여 감지 없이 데이터를 전송하는 모든 장난감을 독일에서 금지한다고 밝혔다. 이는 장난감이 감시 장치로 사용될 가능성에 대해 우려하고 있기 때문이다. 연방 네트워크 기관(Bundesnetzagentur)의 요헨 호만(Jochen Homann) 대표는 "카메라나 마이크를 숨기고 신호를 전송할 수 있으며, 따라서 감지 없이 데이터를 전송할 수 있는 품목은 사람들의 프라이버시를 침해한다. 이는 특히 어린이 장난감에 적용된다. Cayla 인형은 독일에서 금지되었다. 이는 또한 우리 사회의 가장 취약한 사람들을 보호하기 위한 것이다."라고 말했다.[31]

기관은 다른 네트워크 장난감에 대한 추가 조사를 진행하고 있다.[31] 해당 장난감을 소지한 가족에 대해서는 어떠한 조치도 취해지지 않았다. 연방 네트워크 기관(Bundesnetzagentur)은 부모들에게 개인 데이터 프라이버시 침해의 잠재적 위험을 피하기 위해 장난감을 즉시 파괴할 것을 권고했다.[30]

4. 연결된 장난감 관련 법률

연결된 장난감은 아동 온라인 사생활 보호법(COPPA) 및 연방거래위원회법(Federal Trade Commission Act) 제5조를 포함한 개인 정보 보호 관련 법률의 적용을 받는다. 이 두 법률은 연방거래위원회에서 어린이들의 개인정보 데이터 수집에 관한 내용을 시행한다.[20]

4. 1. 미국

어린이의 정보 보안이 이전의 데이터 유출로 인해 제대로 보호되지 않는다는 우려가 있다. 장난감 회사가 수집한 정보는 정보 프라이버시에 대한 인식 부족으로 인해 시스템에 암호화가 거의 이루어지지 않아 일반 대중이 접근할 수 있다.[2]

네트워크에 연결된 장난감과 관련된 미국의 연방법으로는 아동 온라인 사생활 보호법(COPPA)과 연방거래위원회법(Federal Trade Commission Act) 제5조가 있다. 이 두 법은 어린이의 개인 정보 데이터 수집과 관련하여 연방거래위원회에서 시행한다.[3]

4. 1. 1. 아동 온라인 개인정보보호법 (COPPA)

미국 아동 온라인 사생활 보호법(COPPA)은 부모에게 자녀의 온라인 정보 수집에 대한 통제권을 부여한다. 웹사이트는 13세 미만 아동의 개인 정보를 수집하기 전에 부모의 확인 가능한 동의를 받아야 한다.[32] 제3자에게 데이터를 전송하는 경우에도 동일한 수준의 보호 조치를 요구한다.[33] COPPA 위반 시 건당 최대 40654USD의 민사 처벌을 받을 수 있다.[32]

일반 소매점에서 구매하는 장난감은 COPPA의 직접적인 보호 대상이 아니므로, 네트워크에 연결된 장난감에 대한 COPPA 보호에 대한 우려가 제기된다.

전자 프라이버시 정보 센터, 상업적이지 않은 어린 시절을 위한 캠페인, [https://www.democraticmedia.org/ 디지털 민주주의 센터], 소비자 연맹은 제네시스 토이스의 마이 프렌드 케일라와 아이큐 인텔리전트 봇이 COPPA를 위반했다며 미국 연방거래위원회에 불만을 제기했다. 이들은 제네시스 토이스와 뉘앙스 커뮤니케이션즈의 데이터 공유, 뉘앙스 커뮤니케이션즈의 COPPA 준수 미흡을 지적했다.[27]

4. 1. 2. 연방거래위원회법 제5조

연방거래위원회법 제5조는 "상업에서의 불공정하거나 기만적인 행위나 관행"을 불법으로 규정한다.[34] 연방거래위원회(FTC)는 소비자의 사생활과 개인정보를 보호하기 위해 제5조를 사용해 왔다. 네트워크에 연결된 장난감 회사들은 장난감이 수집한 데이터와 정보를 부적절하게 수집, 보호, 오용함으로써 연방거래위원회법을 위반할 가능성이 있다.[20]

어린이의 정보 보안은 이전의 데이터 유출로 인해 제대로 보호되지 않는다는 우려가 있다. 장난감 회사가 수집한 정보는 일반적으로 정보 프라이버시에 대한 인식 부족으로 인해 시스템에 암호화가 거의 이루어지지 않아 일반 대중이 접근할 수 있다.[2]

4. 2. 대한민국

어린이의 정보 보안이 이전의 데이터 유출로 인해 제대로 보호되지 않는다는 우려가 있다. 장난감 회사가 수집한 정보는 정보 프라이버시에 대한 인식 부족으로 인해 시스템에 암호화가 거의 이루어지지 않아 일반 대중이 접근할 수 있다.[2]

4. 2. 1. 개인정보 보호법

일반적으로 네트워크에 연결된 장난감과 관련된 연방법으로는 아동 온라인 사생활 보호법(COPPA)과 연방거래위원회법(Federal Trade Commission Act) 제5조가 있다. 이 두 법은 어린이의 개인 정보 데이터 수집과 관련하여 연방거래위원회에서 시행한다.[3]

4. 2. 2. 정보통신망 이용촉진 및 정보보호 등에 관한 법률

네트워크에 연결된 장난감과 관련하여 아동 온라인 사생활 보호법(COPPA)과 연방거래위원회법(Federal Trade Commission Act) 제5조가 일반적으로 적용되는 연방법이다. 이 법들은 어린이의 개인 정보 데이터 수집과 관련하여 연방거래위원회에서 시행한다.[3]

5. 한국의 특수한 상황

한국은 세계적으로 높은 수준의 인터넷 보급률과 스마트 기기 사용률을 보이며, 이는 연결된 장난감 확산과 더불어 개인 정보 유출 및 보안 문제의 심각성을 높인다.[2] 특히 어린이의 정보 보안은 이전 데이터 유출 사례에서 볼 수 있듯이 제대로 보호되지 않는다는 우려가 있다.[2] 장난감 회사가 수집하는 정보는 정보 프라이버시에 대한 인식 부족으로 시스템에 암호화가 거의 되어 있지 않아 일반 대중이 접근 가능하기 때문이다.[2]

한국 어린이들의 스마트폰, 태블릿 PC 등 스마트 기기 사용 연령이 낮아지고 사용 시간은 증가하는 추세이며, 이에 따라 연결된 장난감을 통한 개인 정보 수집 및 유출 위험에 더 많이 노출될 수 있다. 한국은 사이버 공격, 해킹 등 사이버 보안 위협이 높은 국가 중 하나이므로, 연결된 장난감의 보안 취약점을 악용한 해킹은 개인 정보 유출뿐만 아니라 심각한 사회 문제로 이어질 수 있다.

따라서 한국 사회는 개인 정보 보호 인식이 상대적으로 낮고 개인 정보 유출에 대한 경각심이 부족한 편이므로, 연결된 장난감 사용 시 개인 정보 보호 중요성에 대한 교육 및 홍보가 필요하다.

참조

[1] 간행물 Consumer and Privacy Issues in Internet-Connected Toys https://fil.forbruke[...] Anon 2017-04-13
[2] 뉴스 'Toys can be directed to take pictures, video, audio, and you will have no idea it is happening- Irish cyber security expert warns parents' http://www.independe[...] Independent.ie 2016-11-03
[3] 웹사이트 Children's Connected Toys: Data Security and Privacy Concerns https://www.hsdl.org[...] 2023-08-09
[4] 뉴스 Privacy fears over 'smart' Barbie that can listen to your kids https://www.theguard[...] 2023-08-09
[5] 웹사이트 Data from connected CloudPets teddy bears leaked and ransomed, exposing kids' voice messages https://www.troyhunt[...] 2023-08-09
[6] 뉴스 Stuffed toys leak millions of voice recordings from kids and parents http://money.cnn.com[...] CNN Tech 2017-02-27
[7] 웹사이트 What is SQL Injection (SQLi) and How to Prevent Attacks https://www.acunetix[...] 2023-08-09
[8] 간행물 Data Breach On VTech Learning Lodge and Resumption of Trading http://www.hkexnews.[...] Anon 2017-04-13
[9] 웹사이트 FAQ about Cyber Attack on VTech Learning Lodge (last updated: 19:30, January 9, 2018, HKT) https://www.vtech.co[...] 2023-08-09
[10] 문서 16 C.F.R 312.10
[11] 웹사이트 Privacy Policy https://www.myfriend[...] 2017-05-04
[12] 뉴스 Germany bans internet-connected dolls over fears hackers could target children https://www.telegrap[...] 2023-08-09
[13] 웹사이트 Bundesnetzagentur - Press - Bundesnetzagentur removes children's doll "Cayla" from the market https://www.bundesne[...] 2023-08-09
[14] 웹사이트 Complying with COPPA: Frequently Asked Questions https://www.ftc.gov/[...] 2023-08-09
[15] 문서 16 C.F.R. § 312.8
[16] 문서 FEDERAL TRADE COMMISSION Washington, DC 20580 In the Matter of Genesis Toys and Nuance Communications
[17] 웹사이트 Federal Trade Commission Act https://www.ftc.gov/[...] 2019-11-08
[18] 간행물 Consumer and Privacy Issues in Internet-Connected Toys https://fil.forbruke[...] Forbrukerrådet 2017-04-13
[19] 뉴스 'Toys can be directed to take pictures, video, audio, and you will have no idea it is happening- Irish cyber security expert warns parents' http://www.independe[...] Independent.ie 2016-11-03
[20] 간행물 Children's Connected Toys: Data Security and Privacy Concerns https://www.hsdl.org[...] Homeland Security Digital Library 2016
[21] 뉴스 Privacy fears over 'smart' Barbie that can listen to your kids https://www.theguard[...] The Guardian 2015-04-13
[22] 웹사이트 Data from Connected CloudPets Teddy Bears Leaked and Ransomed, Exposing Kids' Voice Messages https://www.troyhunt[...] Troy Hunt 2017
[23] 뉴스 Stuffed toys leak millions of voice recordings from kids and parents http://money.cnn.com[...] CNN Tech 2017-02-27
[24] 웹사이트 What Is SQL Injection (SQLi) and How to Fix It https://www.acunetix[...] Acunetix
[25] 간행물 Data Breach On VTech Learning Lodge and Resumption of Trading http://www.hkexnews.[...] VTech Holdings Limited
[26] 웹사이트 FAQ about Cyber Attack on VTech Learning Lodge (Last Updated: 11:30, December 16, 2016, HKT) https://www.vtech.co[...] VTech
[27] 웹인용 FEDERAL TRADE COMMISSION Washington, DC 20580 In the Matter of Genesis Toys and Nuance Communications. https://epic.org/pri[...] 2016-12-06
[28] 문서 16 C.F.R 312.10
[29] 웹사이트 Privacy Policy https://www.myfriend[...] 2017-05-04
[30] 뉴스 Germany Bans Internet-Connected Dolls over Fears Hackers Could Target Children http://www.telegraph[...] The Telegraph 2017
[31] 웹사이트 Bundesnetzagentur Removes Children's Doll ‘Cayla’ from the Market https://www.bundesne[...] Bundesnetzagentur Press 2017
[32] 웹사이트 Complying with COPPA: Frequently Asked Questions https://www.ftc.gov/[...]
[33] 문서 16 C.F.R. § 312.8
[34] 웹사이트 Federal Trade Commission Act https://www.ftc.gov/[...] Federal Trade Commission


본 사이트는 AI가 위키백과와 뉴스 기사,정부 간행물,학술 논문등을 바탕으로 정보를 가공하여 제공하는 백과사전형 서비스입니다.
모든 문서는 AI에 의해 자동 생성되며, CC BY-SA 4.0 라이선스에 따라 이용할 수 있습니다.
하지만, 위키백과나 뉴스 기사 자체에 오류, 부정확한 정보, 또는 가짜 뉴스가 포함될 수 있으며, AI는 이러한 내용을 완벽하게 걸러내지 못할 수 있습니다.
따라서 제공되는 정보에 일부 오류나 편향이 있을 수 있으므로, 중요한 정보는 반드시 다른 출처를 통해 교차 검증하시기 바랍니다.

문의하기 : help@durumis.com