스페인의 한 엔지니어가 중국 업체 DJI의 로봇청소기의 보안상 허점을 발견해 전 세계에서 작동하는 7000여대의 청소기를 해킹했다고 밝혔다.
미국 IT 전문매체 더버지에 따르면 소프트웨어 엔지니어 새미 아즈두팔은 최근 인터뷰에서 새롭게 구입한 DJI 로모 청소기를 게임패드로 조종할 수 있도록 역설계하던 중 보안상 허점을 발견했다고 한다.
아즈두팔이 직접 개발한 원격 제어 애플리케이션(앱)으로 DJI 서버에 통신하자 수많은 로봇 청소기가 응답했다. 그는 “단 한 대의 청소기만 응답한 게 아니라, 24개국에서 작동하는 약 7000대의 청소기가 마치 나를 상사처럼 따르기 시작했다”고 말했다.
문제는 로봇 청소기가 원격으로 조종되는 데 그치지 않았다. 아즈두팔이 기기에서 수집한 메시지는 10만건이 넘는다. 청소기에 탑재된 카메라를 통해 실시간 영상과 소리가 담겨 일반 소비자의 사생활이 고스란히 노출됐다. 또한 인터넷 프로토콜(IP) 주소를 통해 사용자의 대략적인 위치 파악도 가능했다.
실제로 한 기자가 테스트를 위해 자택에 사용하고 있는 DJI 로봇청소기의 일련번호를 읽어주자 아즈두팔은 기자의 자택 실시간 영상, 배터리 잔량, 로봇청소기가 생성한 집의 평면도까지 알아냈다.
아즈두팔은 “기기를 고의로 해킹하려던 것이 아니다. 처음엔 재미로 시작했다”며 “내가 더버지에 연락을 취한 것은 기기의 보안상 취약점을 알리기 위해서다”고 전했다.
사건이 보도되자 DJI 측은 이 사건을 보도한 더버지와 포퓰러 사이언스에 “문제가 해결됐다”고 전했다. 그러나 아즈두팔은 이후에도 일부 취약점이 그대로 남아있어 보안 우려가 완전히 해소되지는 않았다고 말했다.
아즈두팔은 “이번 사례는 스마트 홈 기기와 로봇이 해커의 표적이 될 수 있고, 어쩌면 이미 해킹된 상태일지도 모른다는 위험성을 보여주는 경고이자 우려”라고 지적했다.
영국 서리 대학교의 앨런 우드워드 컴퓨터과학 교수는 가디언과 인터뷰에서 “이전에도 비슷한 사례가 보고됐다. 빠른 혁신이 이어지고 있지만 보안은 계속 뒷전으로 밀려나 있다”며 “제조업체는 보안의 취약점을 파악해야 하고, 소비자들 역시 스마트 기기의 잠재적 이점이 개인정보 침해 위험보다 큰지를 고려하기 바란다”고 조언했다.
서희원 기자 shw@etnews.com
