7천 대의 로봇청소기를 우연히 제어하게 된 남성

 (popsci.com)
2P by GN⁺ 10시간전 | ★ favorite | 댓글 1개
  • 소프트웨어 엔지니어가 DJI 로봇청소기를 게임 컨트롤러로 조종하려다, 7천 대의 기기 접근 권한을 얻게 됨
  • 자체 앱 개발 중 AI 코딩 도우미를 활용해 클라우드 통신 방식을 역공학하는 과정에서, 동일한 인증 정보가 다른 기기에도 적용되는 보안 결함을 발견
  • 이를 통해 실시간 카메라 영상, 마이크 오디오, 지도 데이터 등 민감한 정보가 24개국의 기기에서 노출될 수 있었음
  • 그는 이를 악용하지 않고 The Verge에 제보, DJI는 즉시 패치를 배포하고 문제 해결을 완료했다고 밝힘
  • 사건은 스마트홈 기기의 보안 취약성AI 도구가 초래할 수 있는 위험 증폭을 경고하는 사례로 주목됨

DJI 로봇청소기에서 발견된 대규모 보안 결함

  • 엔지니어 Sammy Azdoufal은 자신의 DJI Romo 로봇청소기를 게임 컨트롤러로 조종하기 위해 앱을 개발하던 중 문제를 발견
    • AI 코딩 어시스턴트를 사용해 로봇과 DJI 클라우드 서버 간 통신을 분석
    • 서버가 단일 기기 인증만 검증하지 않고, 다른 수천 대의 기기에도 동일 접근 권한을 부여
  • 결과적으로 그는 7천 대 이상의 로봇청소기의 카메라, 마이크, 지도, 상태 데이터에 접근 가능
    • IP 주소를 통해 기기들의 대략적 위치 정보도 확인 가능
    • 그는 이를 “해킹”이 아닌 우연히 발견된 보안 문제라고 설명

DJI의 대응과 보안 패치

  • DJI는 1월 말 내부 검토에서 DJI Home 관련 취약점을 확인하고 즉시 수정 절차를 시작했다고 발표
    • 2월 8일 1차 패치, 2월 10일 후속 업데이트를 자동 배포
    • 사용자 조치 없이 문제 해결 완료
  • DJI는 추가적인 보안 강화 조치를 계속 시행할 계획이라고 밝혔으나 구체적 내용은 공개하지 않음
  • Azdoufal은 해당 문제를 The Verge에 제보, DJI가 빠르게 대응하도록 함

스마트홈 기기 보안에 대한 우려 확산

  • 이번 사건은 인터넷 연결형 로봇과 스마트홈 기기가 해커에게 매력적인 표적이 될 수 있음을 보여줌
  • 최근 Ring 카메라 광고 논란, Google Nest 영상 복구 사례 등으로 소비자 프라이버시 불안이 커지고 있음
  • 미국 내에서는 DJI 등 중국산 기술 제품의 보안 위험성을 이유로 일부 제품이 금지된 사례도 존재

스마트홈 확산과 프라이버시의 역설

  • 2020년 기준 미국 내 5,400만 가구가 스마트홈 기기를 보유
    • 한 번 설치한 사용자는 추가 기기를 구매하려는 경향이 있음
  • Tesla, Figure, 1X 등 기업이 가정용 휴머노이드 로봇을 개발 중이며, 일부는 이미 판매 중
    • 이러한 로봇은 집 내부의 세부 정보를 수집해야 하므로 개인 정보 노출 위험이 커짐

기술 발전과 보안의 균형 과제

  • AI 기반 코딩 도구는 개발 효율을 높이지만, 동시에 비전문가도 취약점을 악용할 가능성을 높임
  • 이번 사례는 AI·IoT 융합 환경에서의 보안 관리 중요성을 상기시키는 사건으로 평가됨
  • Azdoufal은 결국 자신의 목표였던 게임 컨트롤러로 로봇 조종에는 성공했으나, 그 과정에서 스마트홈 보안의 허점을 드러냄
GN⁺ 10시간전  [-]
Hacker News 의견들

  • 그는 자신의 기기 제어용 자격 증명으로 전 세계 24개국 약 7,000대의 로봇청소기 카메라, 마이크, 지도, 상태 데이터에 접근할 수 있었음을 발견했음
    작년에 내가 Mysa 스마트 온도조절기에서 똑같은 문제를 발견해 공개했는데, 동일한 자격 증명으로 모든 기기를 제어할 수 있었음
    관련 내용은 이전 HN 스레드에 정리되어 있음

    • 이런 장치들이 사실상 완벽한 스파이 도구가 될 수 있음
      값싼 청소기가 집 안을 염탐할 수 있다는 점이 무섭게 느껴짐
    • 스마트 온도조절기 이야기가 특히 무서움
      내 집의 Haier 미니 스플릿도 GE Home 앱을 통해 WiFi로 연결되고 GE Cloud로 데이터를 보냄
      한 번 써보고 바로 WiFi 비밀번호를 바꾸고 다시는 연결하지 않았음
      나중에는 ESP32와 센서, IR 송수신기로 직접 제어할 계획임
      이런 시스템에 취약점이 있다면 공격자가 전력 수요 폭증을 일으킬 수도 있겠다는 생각이 듦
    • 혹시 제조 과정에서 각 기기에 고유 키를 설치하지 않고 비용 절감을 한 건 아닌지 의문임

  • 이제는 프라이버시 포기 상태라고 느껴짐
    사람들은 집 안의 카메라가 외부 서버에 연결되는 걸 아무렇지 않게 받아들이고 있음
    신경 쓰는 소수는 다수에게 묻혀버림
    결국 프라이버시를 걱정하는 사람만 손해 보는 구조임

  • 내 Roomba는 매일 오후 5시에 작동하도록 설정했는데, 여러 번 7시에 혼자 깨어나 침실로 들어가 5~10분 머물다 돌아감
    이유를 전혀 모르겠음

    • 청소라도 하는 건지 궁금함
      말 그대로 침대 옆에 서 있다가 다시 돌아가는 것처럼 들림

  • 잠시나마 한 사람이 인류 역사상 누구보다 더 많이 빨아들인 순간이 있었음
    (로봇청소기 사건을 유머러스하게 표현한 말임)

  • 나는 인터넷 연결이 없는 기기를 선호함
    기본 기능은 오프라인에서도 안정적으로 작동해야 하고, 인터넷은 열린 보안 프로토콜을 통해 부가 기능만 제공하는 게 이상적임
    그래야 직접 구현도 가능함

  • 10년 전 스타트업에서 401k 제공업체를 썼는데, 로그인하니 동료들의 계좌 정보가 보였던 적이 있음
    계정 격리가 완전히 망가진 수준이었음
    당황스러웠지만 사생활 노출을 막기 위해 조용히 넘어갔음
    지금 생각하면 더 적극적으로 문제 제기했어야 했음

    • 나도 평소엔 신중함을 유지하려고 함
      하지만 상대가 성의 없이 대응하면, 그때는 공개적으로 문제를 알릴 가치가 있다고 생각함

  • 기술의 발전 덕분에 이제는 스티븐 라이트의 농담처럼
    “아무 기능 없는 스위치를 켰더니 독일에서 전화가 왔다”는 일이 인터넷 규모로 현실화된 셈임

  • 원문 기사: The Verge - DJI Romo 해킹 취약점
    관련 HN 토론: 링크

  • 나는 일부러 카메라나 마이크가 없는 모델을 샀음

    • 내 Eufy는 모든 처리를 로컬에서 수행한다고 주장함
      실제로 확인해보진 않았지만, 데이터 지역성과 프라이버시를 언급한 유일한 중국 브랜드라 선택했음
      물론 펌웨어 업데이트로 언제든 바뀔 수 있다는 건 알고 있음
      그래도 가격 대비 품질이 좋아 만족 중임
    • 예전 Roomba의 무작위 이동 방식이 과소평가되었다고 생각함
      보기엔 비효율적으로 보여도 실제 청소 성능은 꽤 괜찮았음
    • 혹시 이런 카메라 없는 모델 중에서도 자동 비움 기능이 있는 게 있는지 궁금함
    • 정말 카메라나 마이크가 없는지 확인할 방법이 있는지 묻고 싶음
    • 스마트폰에도 마이크가 있는데, 그건 괜찮은지 되묻고 싶음

  • 기술적으로 조금이라도 능숙한 사람이라면 Valetudo 호환 청소기를 사서 기본 소프트웨어를 교체하는 게 좋다고 생각함
    Valetudo 공식 사이트

    • 하지만 그 사이트의 “Why Not Valetudo” 페이지를 보고 생각이 바뀌었음
      나는 기술적으로 능숙하지만, 로봇청소기를 쓰는 이유는 시간을 절약해 더 가치 있는 일을 하기 위함임
      Valetudo는 그 목적에 맞지 않음
      멋진 프로젝트지만 모든 사람에게 최선의 선택은 아님
    • 기술에 익숙하지 않은 사람을 위해 Claude가 설정을 도와줄 수 있을지 궁금함
답변달기