엔지니어, 실수로 로봇 청소기 수천 대 제어권 획득하며 주요 보안 취약점 노출

글로벌 - 이크바리 뉴스 통신사

엔지니어, 실수로 로봇 청소기 수천 대 제어권 획득하며 주요 보안 취약점 노출

급성장하는 스마트 홈 생태계에 내재된 사이버 보안 위험이 급증하고 있음을 극명하게 보여주는 사건에서, 한 소프트웨어 엔지니어가 우연히 DJI 로모 로봇 청소기 수천 대에 대한 무단 접근 권한을 부여하는 심각한 보안 취약점을 발견했습니다. 자신의 장치 기능을 향상시키기 위한 개인 프로젝트로 시작된 일은 인터넷 연결 기기에서 만연한 감시 및 개인 정보 침해 가능성에 대한 중대한 폭로로 빠르게 변모했습니다.

문제가 된 엔지니어 새미 아즈두팔은 새로운 DJI 로봇 청소기를 비디오 게임 컨트롤러로 조종하려는 겉보기에는 무해한 시도를 시작했습니다. 그는 맞춤형 원격 제어 애플리케이션을 개발하는 동안 AI 코딩 도우미를 활용하여 로봇과 DJI의 원격 클라우드 서버 간의 통신 프로토콜을 역설계하는 데 도움을 받았습니다. 놀랍게도 그는 자신의 장치를 작동하는 데 사용된 자격 증명이 24개국에 분산된 약 7,000대의 다른 DJI 로모 장치에서 실시간 카메라 피드, 마이크 오디오, 상세한 평면도 및 상태 데이터에 대한 무제한 접근 권한도 제공한다는 사실을 곧 발견했습니다. 이것은 단순한 작은 결함이 아니었습니다. 이는 악의적인 행위자가 악용할 경우 소유자의 지식이나 동의 없이 강력하고 은밀한 감시 도구로 무기화될 수 있었던 인터넷 연결 로봇 전체를 효과적으로 노출시킨 백엔드 보안 결함이었습니다.

결정적으로, 아즈두팔은 악용 대신 윤리적 공개의 길을 택했습니다. 그는 자신의 충격적인 발견을 기술 뉴스 매체인 더버지(The Verge)와 즉시 공유했고, 더버지는 DJI에 연락하여 중대한 결함을 보고했습니다. DJI는 이후 파퓰러 사이언스(Popular Science)에 문제가 “해결되었다”고 밝혔지만, 이 극적인 사건은 사이버 보안 전문가들의 오랜 경고를 강력하게 뒷받침합니다. 이 전문가들은 인터넷 연결 로봇 및 기타 스마트 홈 기기의 확산이 해커들에게 점점 더 매력적이고 취약한 표적 환경을 조성한다고 지속적으로 경고해 왔습니다. 이 사건은 또한 AI 기반 코딩 도구와 같이 빠르게 발전하는 기술이 소프트웨어 취약점 악용에 대한 진입 장벽을 의도치 않게 낮추고, 디지털 환경 전반의 보안 우려를 잠재적으로 증폭시킬 수 있음을 강조합니다.

이 논란의 중심에 있는 장치는 작년에 중국에서 출시되어 전 세계 시장에서 점차적으로 입지를 넓히고 있는 자율 가정용 청소기인 DJI 로모입니다. 약 2,000달러에 판매되는 이 정교한 장치는 가정 환경에서 복잡한 탐색 및 장애물 감지를 위해 설계된 다양한 센서로 구성되어 있습니다. 이러한 현대적인 자율 청소기가 최적으로 작동하려면 지속적인 시각 데이터 수집과 주방과 침실과 같은 다양한 주거 공간을 구별하는 능력이 필요합니다. 이 민감한 센서 데이터의 상당 부분은 장치 자체에만 저장되는 것이 아니라 DJI의 클라우드 서버에 원격으로 저장됩니다. 아즈두팔의 DIY 컨트롤러 프로젝트는 그의 앱이 이러한 서버와 통신하여 자신의 소유권을 확인하는 보안 토큰을 추출해야 했습니다. 결정적인 오류는 DJI의 서버가 아즈두팔의 장치에 대한 단일하고 고유한 토큰을 검증하는 대신, 의도치 않게 그에게 마스터 접근 권한에 해당하는 권한을 부여하여 그를 사실상 전체 로봇 무리의 소유자로 취급했다는 것입니다. 이 감독 소홀로 인해 그는 실시간 카메라 피드에 접근하고, 마이크를 활성화하고, 2D 평면도를 컴파일하고, IP 주소를 통해 대략적인 지리적 위치까지 확인할 수 있게 되었습니다. 이 모든 것은 그의 관점에서 전통적인 '해킹'에 관여하지 않고, 오히려 시스템적인 보안 실패를 우연히 발견한 결과였습니다.

DJI는 “1월 말 내부 검토를 통해 DJI Home에 영향을 미치는 취약점을 확인하고 즉시 해결에 착수했다”고 확인했습니다. 회사는 이 문제가 두 차례의 업데이트를 통해 해결되었으며, 초기 패치는 2월 8일에 배포되었고 후속 업데이트는 2월 10일에 완료되었으며, 둘 다 사용자 개입 없이 자동으로 적용되었다고 밝혔습니다. DJI는 “추가 보안 강화”를 계획하고 있지만, 구체적인 내용은 공개되지 않았습니다.

DJI를 둘러싼 이러한 보안 우려는 스마트 홈 기술의 감시 기능에 대한 광범위한 불안감과 시기를 같이 합니다. 최근 링 카메라의 '수색대' 기능에 대한 논란과 구글이 삭제되었다는 이전의 지시에도 불구하고 납치 수사를 위해 네스트 도어벨 영상을 검색한 사례는 민감한 데이터에 대한 소비자 통제권에 대한 격렬한 논쟁을 다시 불러일으켰습니다. 더욱이, 미국의 양대 정당 의원들은 DJI 및 기타 중국 기술 제조업체가 독특한 국가 안보 위협을 제기한다고 지속적으로 경고해 왔으며, 이는 일부 중국산 제품에 대한 제한으로 이어졌지만, 증거는 계속해서 논쟁의 대상이 되고 있습니다.

많은 로봇 청소기 및 기타 스마트 홈 기기의 본질적인 아이러니는 우리 집의 가장 사적인 공간에서 작동함에도 불구하고 의심스러운 보안 관행의 역사를 가지고 있다는 점입니다. 예측에 따르면 일반 가정은 곧 더 많은 카메라와 마이크를 통합할 것입니다. 시장 조사 회사 Parks Associates는 2020년까지 5,400만 미국 가구가 최소 하나 이상의 스마트 홈 기기를 보유하고 있었으며, 더 많은 것을 원하는 경향이 있음을 보여줍니다. 테슬라, 피규어, 1X와 같은 회사들이 가사 노동을 위한 고급 휴머노이드 로봇을 개발하기 위해 경쟁함에 따라, 이러한 기기들은 소유자 집의 친밀한 세부 사항에 대한 전례 없는 접근을 요구할 것입니다. 스토커나 해커에게 그러한 접근은 개인 정보의 잠재적인 금광을 의미합니다. 아즈두팔이 조이스틱으로 로봇을 제어하려는 목표를 성공적으로 달성했지만, 그의 여정은 전 세계 수백만 스마트 홈 사용자에게 영향을 미치는 훨씬 더 중요하고 시급한 보안 문제를 의도치 않게 노출시켰습니다.

이크바리 뉴스 통신사