정책/윤리

“대화 5만 건 다 털렸다” AI 장난감의 소름 돋는 배신

댓글 0 · 저장 0 · 편집: 이도윤 기자 발행: 2026.01.31 03:32

기사 3줄 요약

1 AI 장난감 본두 대화 5만 건 유출
2 구글 로그인만으로 개인정보 접근
3 아동 유괴 악용 우려에 보안 비상

“내 아이가 오늘 춤을 췄고 간식으로 젤리를 먹었다.” 이 사소한 정보가 범죄자의 손에 들어간다면 어떻게 될지 상상만 해도 끔찍한 일입니다. 최근 인기 있는 AI 장난감이 아이들의 모든 사생활을 생중계하듯 노출해 전 세계 부모들에게 큰 충격을 안겼습니다. 해킹 기술도 필요 없었습니다. 그저 ‘구글 아이디’ 하나면 충분했습니다.

구글 로그인 한 번에 무너진 보안

미국의 IT 매체 아즈 테크니카(Ars Technica)에 따르면, AI 장난감 ‘본두(Bondu)’의 보안 시스템에서 치명적인 허점이 발견됐습니다. 보안 연구원 조셉 태커와 조엘 마골리스는 우연히 본두의 웹 포털을 조사하다가 경악을 금치 못했습니다. 특별한 해킹 도구조차 필요 없었습니다. 그저 임의의 지메일(Gmail) 계정으로 로그인만 하면 모든 사용자의 데이터에 접근할 수 있었기 때문입니다. 연구원들은 로그인을 하자마자 아이들이 장난감과 나눈 지극히 사적인 대화 내용을 전부 볼 수 있었습니다. 아이가 장난감에게 지어준 애칭, 좋아하는 간식, 오늘 있었던 일과, 심지어 부모가 설정해 둔 교육 목표까지 적나라하게 드러났습니다. 본두 측은 보안 취약점을 인정하며 약 5만 건 이상의 대화 기록이 노출되었다고 밝혔습니다. 이는 단순한 실수라기엔 너무나 위험한 ‘대문 열어두기’식 보안 관리였습니다.

유괴범에게 ‘최고의 선물’이 된 장난감

이번 유출 사태가 더욱 심각한 이유는 노출된 데이터의 성격 때문입니다. 아이들의 이름과 생년월일은 물론이고 가족 구성원의 정보까지 포함되어 있었습니다. 연구원 마골리스는 이를 두고 “납치범의 꿈이나 다름없다”고 강하게 경고했습니다. 범죄자가 아이에게 접근해 “네가 어제 그 인형이랑 무슨 이야기 했는지 아저씨는 다 알아”라고 말하며 환심을 살 수 있기 때문입니다.

유출된 핵심 정보	위험성
아동 이름 및 생일	개인 신원 특정 가능
대화 요약 및 전문	아이의 심리 상태 파악 용이
가족 관계 정보	유괴 및 범죄 악용 가능성

전문가들은 이번 사건이 단순한 기술적 오류를 넘어 AI 장난감 업계 전반의 안일한 보안 의식을 보여준다고 지적합니다. 본두는 구글의 ‘제미나이’와 오픈AI의 모델을 활용해 답변을 생성하는데, 이 과정에서 아동 데이터가 외부 기업으로 전송된다는 점도 우려를 낳고 있습니다. 편리함 뒤에 숨겨진 개인정보 유출의 공포가 현실이 된 셈입니다.

AI 코딩의 그림자, 안전지대는 없다

흥미로운 점은 이번 보안 허점이 AI를 이용한 코딩, 즉 ‘바이브 코딩(vibe-coding)’의 부작용일 수 있다는 분석입니다. 연구원들은 본두의 웹 콘솔이 생성형 AI 도구로 급하게 제작되면서 기본적인 보안 검증을 놓쳤을 가능성을 제기했습니다. AI가 만든 코드가 또 다른 AI 서비스의 보안 구멍을 만든 아이러니한 상황입니다. 본두 측은 문제를 인지한 뒤 즉시 포털을 폐쇄하고 보안 조치를 강화했다고 발표했습니다. 하지만 이미 바닥에 떨어진 신뢰를 회복하기는 쉽지 않아 보입니다. 연구원 태커는 “원래 내 아이에게도 사주려 했지만, 직접 눈으로 보고 나니 집안에 들이기 싫어졌다”고 말했습니다. 기술의 발전이 우리 아이들의 안전을 위협하는 칼날이 되지 않도록 강력한 규제와 감시가 필요한 시점입니다.