최근 샤오미를 비롯한 외산 스마트기기 보안 문제에서 가장 두드러진 쟁점은 KC 인증 이후 운용되는 보안 관리 체계의 부재입니다. KC 인증은 전자파 적합성 및 무선통신 적합성에 관한 출하 전 검증을 주로 다루는 체계인 반면, 제품 출시 후 운영체제나 클라우드 서비스 변경사항에 대해 재인증 등 사후관리 의무가 없습니다. 이는 인증 마크가 부착된 제품이 시간이 지날수록 보안 취약점을 내포할 위험이 크다는 것을 의미합니다. 업계 전문가들은 운영체제나 암호화 구조가 변경될 경우 반드시 정부에 변경 사항을 신고하고, 표본을 통한 재검증 과정을 도입하는 제도적 보완이 필요하다고 주장합니다. 이는 제조사의 불성실한 보안패치 정책이나 사용자에 대한 사전 고지 없이 업데이트가 중단되는 상황에서 소비자 보호라는 법률적 책무가 어떻게 적용되어야 하는지에 대한 중요한 논점이기도 합니다.
샤오미의 개인정보 처리 방식에서 나타난 또 다른 중대 문제는 개인정보가 국외 서버로 이전됨에도 불구하고 그 구체적 관리 현황이 공개되지 않는 점입니다. 개인정보보호법에 따르면 개인정보의 국외 이전 시 정보주체에 고지하고 동의를 구하며 적절한 보호조치를 취할 의무가 있으나, 해외 본사의 데이터 통제권한이 클 경우 국내 감독기관이 실질적인 관리나 제재를 하기에는 한계가 명확합니다. 이는 사용자 동의 절차가 실질적 통제력을 확보하지 못하는 한계를 보여주며, 감독기관의 국외 이전 신고 및 심사 제도 도입이 시급함을 시사합니다.
일부 외산 제조사의 중저가 스마트기기에 대해 보안패치 지원 기간이 1~2년으로 제한되는 현실은 소비자 피해로 직결됩니다. 보안 취약점이 발견되어도 패치가 중단된 상태에서는 악성코드 감염이나 개인정보 유출 위험이 증가할 수밖에 없습니다. EU의 사이버회복력법은 디지털 제품에 최소 5년간 보안패치 지원을 의무화하였으나 한국은 아직 권고 수준에 그치고 있습니다. 이로 인해 내년 예정된 ‘디지털 제품 보안관리제’ 입법 과정에서는 산업계 부담과 소비자 권리 보호의 균형을 맞추는 법적 기준 마련이 중요한 과제로 부상하고 있습니다.
오는 13일 실시되는 국정감사에서는 외산 스마트기기의 보안 문제와 개인정보 국외 이전 관련 사후관리 제도의 미비점이 집중 조명될 전망입니다. 이미 과학기술정보방송통신위원회에서는 비공개 개인정보 유출 사고를 계기로 보안점검 TF를 구성하여 관리체계를 전반적으로 점검하고 있으며 관련 법률 개정안도 다수 발의되어 있습니다. 특히 침해사고 대응 및 이용자 알림 의무 강화 내용을 담은 정보통신망법 및 이동통신보안법 개정안 논의 시 샤오미 사례가 구체적 근거로 활용될 가능성이 큽니다.
이 사안은 단지 특정 기업의 문제를 넘어, 스마트기기 제조·유통 과정에서 인증 후 사후관리가 어떻게 법률적으로 정립되어야 하는지에 대한 구조적 질문을 제기합니다. 개인정보 보호의 실효성을 높이기 위한 국외 이전 관리 강화 그리고 보안패치 의무화는 스마트 기기 사용자 보호와 더불어 국내 산업 신뢰 확보를 위한 필수적 법제도 개선 방안으로 평가받고 있습니다. 따라서 관련 이해당사자들과 입법기관은 구체적인 적용 기준과 감독 체계 구축에 심도 있게 나서야 할 것입니다.
