[해외DS] 스마트 홈 디바이스, 아마존 통해 드러난 취약한 정보 보안

아마존 개인 정보 보호 위반, 사이버 보안 강화 논의 확산 스마트 디바이스의 급속 발전과 달리 정보 보호 및 관리는 역부족 디바이스 업체 뿐 아니라 소비자 인식도 뒷받침 되어야

pabii research

[해외DS]는 해외 유수의 데이터 사이언스 전문지들에서 전하는 업계 전문가들의 의견을 담았습니다. 저희 데이터 사이언스 경영 연구소 (MDSA R&D)에서 영어 원문 공개 조건으로 콘텐츠 제휴가 진행 중입니다.


지난 5월 아마존은 고객 개인정보 유출로 3천만 달러 이상의 벌금을 부과받았다. 이를 중심으로 스마트 디바이스 보편화에 따른 사이버 보안 및 데이터 보호 강화가 필요하다는 지적이 제기된다.

현재 스마트 디바이스에 관한 법률이 일부 시행되고 있지만 소비자와 공급업체의 우려는 커지고 있다. 온라인에 접속하는 수많은 디바이스가 여전히 업계의 병목 현상을 일으키기 때문이다.

사진=GettyImages

스마트 홈 디바이스의 부상, 데이터 관리 어려움도 증가한다

기술 연구 기관 ABI에 따르면 2022년부터 2030년까지 55억 대 이상의 스마트 홈 디바이스가 구매될 것으로 예상되며, 데이터 분석 전문 기업 스태티스타(Statista)는 전 세계 IoT(Internet of Things, 사물 인터넷) 디바이스 수가 2020년 97억 대에서 2030년 290억 대 이상으로 3배 가까이 증가하리라 전망했다.

일부 전문가들은 고객 데이터 보호와 기업 책임 강화를 위한 규제 개선이 필요하다고 지적했다. 옴디아(Omdia)의 데이터 보안 분석가 아담 스트레인지(Adam Strange)는 “스마트 디바이스의 발전과 증가한 데이터는 정보 보안에 영향을 미쳤지만, 그 자체로 법적인 문제를 일으킨 적은 없다”고 말했다. 또한 그는 “디바이스 공급업체는 대규모 데이터 관리 및 사용에 있어 법규 준수에 미숙한 경향이 있다”며 비판을 이어갔다.

이러한 법 인식 문제는 아마존에서 볼 수 있다. 아마존의 음성 비서 알렉사(Alexa)는 과거 어린이의 음성 데이터와 위치를 저장했다. 스마트 보안 장치인 링(Ring)은 집 내부 모습이 담긴 수천 개의 동영상을 보관했다. 이에 아마존은 2,500만 달러의 민사 벌금을 지불하기로 합의했다.

제안된 합의에 따라 아마존은 2018년 이전에 확보한 고객의 얼굴이 포함된 동영상과 데이터, 그리고 비활성화된 아동 계정을 삭제해야 한다.

스트레인지는 “생성되는 데이터의 양이 너무 많으며 한 곳에 묶여 있기에 이를 구분하거나 삭제하기는 매우 어려운 문제다”며 “규정을 준수하기는 매우 어렵다”고 말했다.

공급 회사의 노력만으로 문제 해결 되지 않는다

민감한 데이터를 올바르게 처리하기 위해서는 직원들에게 개인정보 보호 교육을 제공해야 한다. 사이버 보안 법규에 대한 회사 단위의 이해는 증가하는 디바이스 수에 맞춰 시장이 적응함에 따라 기업들이 여전히 고민하는 부분이다. 아마존의 경우 직원 교육이 부족했다는 지적이 잇따랐다.

“앞으로는 벌금을 피하고자 고객 데이터를 가지고 있는 모든 기업은 데이터 개인정보 보호 규정 준수와 후속 데이터 관리에 훨씬 더 많은 시간과 에너지를 투자해야 한다”고 스트레인지는 말했다. 또한 그는 “그렇지 않으면 앞으로 부과될 막대한 벌금에 대비해야 한다”고 덧붙였다.

옴디아(Omdia)의 IoT 사이버 보안 수석 분석가 홀리 헤네시(Holie Hennessy)는 사이버 보안에 대한 소비자의 이해를 높이는 것도 안전한 환경을 조성하는 데 필요하다고 말했다. 그녀는 “제조업체가 개인 정보 처리 과정을 검토하고 디바이스 보안의 단점을 소비자에게 알릴 수 있다”고 말했다. 또한 그녀는 “최근 정부와 업계는 IoT 사이버 보안 강화를 위해 협력해 왔기에 새로운 규제가 있을 수 있다”고 기대를 내비쳤다.

한편 점점 많은 공급업체가 이러한 문제를 해결하는 것에 주목한다. 아마존의 보안 위반 사례가 널리 알려지면서 사이버 보안 인식과 더불어 주주와 소비자의 관심이 더 높아질 것으로 추측된다.

헤네시는 “옴디아의 연구에 따르면 소비자들이 커넥티드 디바이스를 구매할 때 가장 중요하게 고려하는 요소는 보안 기능”이라고 밝혔다. 그는 “대부분의 소비자는 자신의 디바이스가 안전하다고 생각하지만, 항상 그런 것만은 아니다”라고 지적했다.

또한 그는 “소비자들이 보안이 탄탄한 제품을 기꺼이 구입할 의향이 있다”며 “업계와 정부 모두 사이버 보안 및 데이터 프라이버시에 대한 인식이 발전해야 한다”고 목소리를 높였다.


Amazon was recently fined more than $30 million for customer privacy breaches, demonstrating the rising need for cybersecurity and data protection at a time where smart devices are becoming increasingly common.

While there is some legislation in place accommodating smart devices, the sheer volume of devices coming online is still proving an industry bottleneck, and a point of concern for customers and vendors alike.

The rise of smart home devices

According to ABI research, more than 5.5 billion smart home devices will ship to customers between 2022 and 2030, while Statistica said the number of IoT devices worldwide will almost triple from 9.7 billion in 2020 to more than 29 billion IoT devices in 2030.

As such, regulations still need to be refined to provide more stringent guidelines on how to keep customers’ data safe, and keep companies accountable.

“The rise of these smart devices has impacted data privacy and data security simply due the volume of data these devices generate,” said Adam Strange, data security analyst at Omdia. “They do not cause any new privacy problems that are in some way outside of the existing data privacy legislation (eg GDPR) that governs other forms of data.

“The vendors offering these devices … tend to give less focus on how they manage and use these huge volumes in a way that conforms to the legislation.”

Such a problem was seen in Amazon’s handling of data The company’s Alexa voice assistant stored historical children’s voice data as well as geolocation,, while its Ring smart security device stored thousands of videos of customers in their homes.

Under the proposed settlement, Amazon is required to delete customer videos and data that include a customer’s face obtained before 2018, as well as any inactive child accounts.

“The sheer volume of data being generated means it is very difficult to distinguish old from new, current, usable data from old or inactive and then to delete old or unused data,” said Strange. “Typically, all this data gets lumped in together. This is really the problem for these organizations – too much data to then manage in a way that conforms to the regulations.

“As Amazon has found out, there are penalties out there for organizations that non-comply or ignore the mandate from the regulators.”

Company-wide change

Offering proper data privacy training to employees is crucial to ensuring sensitive data is handled correctly, with a lack of company training highlighted as one of the issues in the Amazon case.

Yet company-wide understanding of cybersecurity legislation is something businesses are still grappling with as the market adapts to meet rising device numbers.

“In order to avoid an on-going series of fines into the future, tech companies (and all companies retaining customer or private data) need to devote far more time and energy into data privacy compliance and subsequent data management,” said Strange. “Or else prepare themselves for further hefty fines to come.”

According to Hollie Hennessy, IoT cybersecurity senior analyst at Omdia, ensuring there’s a good consumer understanding of cybersecurity is also something necessary to create a safer environment.

“The Ring/Alexa issue sheds some important light on how consumer’s privacy can be handled by manufacturers and can educate the consumer on the issues with insecure consumer devices,” said Hennessy. “Consumers need to be able to tell if  the devices they’re purchasing are secure, and unfortunately this hasn’t been the case traditionally – it’s very unclear to consumers and so it can be difficult to make an informed decision.

“In recent years governments and industry have been working together to move the needle on IoT cybersecurity and we can expect legislation and regulation to enforce better cybersecurity for connected consumer devices.”

It’s increasingly in the interests of vendors to address these pain points. With Amazon’s alleged security breaches gaining widespread attention, awareness of cybersecurity issues is only expected to rise and become an even greater demand for shareholders and consumers alike.

“A recent study by Omdia, commissioned by the CSA, revealed that security features were the most important attribute when purchasing a connected device,” said Hennessy. “Most consumers, based on the study, believe that their devices are secure – and we know from examples like this that it isn’t always the case.

“Device manufacturers should be aware that consumers are willing to pay for products with better security and likewise the industry and governments should continue to raise awareness around cybersecurity and data privacy.”

Similar Posts