소프트웨어 엔지니어, 7,000대의 DJI 로봇 청소기 제어권 우연히 획득, 심각한 보안 취약점 드러나

미국 - 이크바리 뉴스 통신사

소프트웨어 엔지니어, 7,000대의 DJI 로봇 청소기 제어권 우연히 획득, 심각한 보안 취약점 드러나

스마트 홈 기기의 확산과 관련된 사이버 보안 위험이 증가하고 있는 가운데, 충격적인 사실이 밝혀졌습니다. 한 소프트웨어 엔지니어가 우연히 약 7,000대의 DJI 로봇 청소기에 대한 제어권을 획득했으며, 실시간 카메라 피드, 마이크, 그리고 가정 내부의 지도에 접근할 수 있게 되었습니다. The Verge의 보도를 통해 알려진 이 사건은, 이 자동 청소 장치들을 정교한 감시 도구로 바꿀 수 있었던 심각한 백엔드 보안 취약점을 드러냈습니다.

사건의 중심에 있는 엔지니어 Sammy Azdoufal은 자신의 새로운 DJI 로봇 청소기를 위한 맞춤형 원격 제어 애플리케이션을 개발하려 했던 것으로 알려졌습니다. 이를 위해 그는 인공지능(AI) 코딩 도우미를 활용하여 자신의 장치와 DJI의 클라우드 서버 간의 통신 프로토콜을 역공학하여 이해하려 했습니다. 이 과정에서 Azdoufal은 자신의 청소기를 제어할 수 있게 해준 동일한 보안 자격 증명이 다른 수많은 DJI 청소기 네트워크에 대한 접근 권한도 부여한다는 사실을 발견했습니다. 이 의도치 않은 접근은 24개국 가정에서 작동하는 약 7,000대의 장치에 대한 실시간 카메라 피드, 마이크 오디오, 상세한 평면도 및 상태 데이터까지 포함했습니다.

다행히 Azdoufal은 이 충격적인 취약점을 악용하지 않기로 결정했습니다. 대신, 그는 자신의 발견을 The Verge와 공유했고, The Verge는 즉시 DJI에 통보했습니다. DJI 대변인은 Popular Science에 회사가 1월 말 내부 검토를 통해 이 취약점을 파악했으며 즉시 수정 작업에 착수했다고 확인했습니다. 이 문제는 두 차례의 소프트웨어 업데이트를 통해 해결되었습니다. 첫 번째 패치는 2월 8일에 배포되었고, 후속 업데이트는 2월 10일에 완료되었습니다. DJI는 이 수정 사항이 자동으로 배포되었으며 사용자 개입이 필요하지 않다고 밝혔습니다.

DJI는 취약점이 해결되었다고 안심시키고 있지만, 이번 사건은 인터넷에 연결된 장치의 고유한 위험에 대한 사이버 보안 전문가들의 지속적인 경고를 다시 한번 상기시켜 줍니다. 더 많은 가정이 점점 더 정교해지는 로봇 도우미를 포함한 스마트 홈 기술의 편리함을 받아들이면서, 이러한 보안 침해의 가능성도 커지고 있습니다. AI 기반 코딩 도구가 소프트웨어 결함을 발견하는 데 얼마나 쉽게 사용될 수 있는지는 이러한 우려를 더욱 증폭시키고 악의적인 행위자의 진입 장벽을 낮출 수 있습니다.

해당 로봇 청소기는 DJI Romo로, 처음에는 중국에서 출시되었으며 현재 시장을 확대하고 있는 자율 가정 청소 장치입니다. 약 2,000달러에 판매되는 Romo는 내비게이션 및 장애물 감지를 위한 고급 센서로 장착되어 있으며, 바닥 청소 및 물걸레질 작업을 수행하며 자율적으로 작동합니다. 이 장치의 기능은 가정 내의 다양한 영역을 매핑하고 이해하기 위해 주변 환경의 시각적 정보를 포함한 지속적인 데이터 수집에 의존합니다. 이 데이터의 일부는 보안 취약점이 존재했던 DJI의 원격 서버에서 처리 및 저장됩니다.

Azdoufal의 DIY 컨트롤러 프로젝트는 장치의 소유권을 인증하기 위해 DJI 서버와 상호 작용할 수 있는 방법을 필요로 했습니다. 그러나 잘못된 서버 구성으로 인해 그는 수천 개의 다른 장치의 소유자인 것처럼 접근 권한을 받았습니다. 이를 통해 그는 실시간 카메라 스트림에 액세스하고, 마이크를 활성화하며, 주택의 2D 평면도를 컴파일할 수 있었습니다. 그는 또한 IP 주소를 조사하여 이러한 청소기의 대략적인 지리적 위치를 파악할 수 있다고 언급했습니다. Azdoufal은 자신의 행동이 해킹이 아니었으며, 오히려 심각한 보안상의 부주의를 우연히 발견한 것이라고 주장합니다.

DJI의 성명에 따르면, 이 취약점은 내부적으로 발견되었으며 신속하게 패치되었습니다. 회사는 추가적인 보안 개선 사항을 구현할 것이라고 약속했지만, 구체적인 세부 사항은 제공되지 않았습니다. 이 보안 사고는 스마트 홈 기술의 개인 정보 보호 문제에 대한 광범위한 우려 속에서 발생했습니다. Ring 및 Google Nest와 같은 다른 스마트 장치 제조업체와 관련된 최근 사건들은 데이터 제어 및 무단 감시 가능성에 대한 대중의 불안감을 증폭시켰습니다.

또한, 중국 제조업체인 DJI와 관련된 이번 사건은 중국산 기술이 제기하는 보안 위험에 대한 지속적인 지정학적 논의에 주목하게 만들었습니다. 이러한 주장들을 뒷받침하는 증거는 논쟁의 여지가 있을 수 있지만, 이는 외국산 특정 기술 제품의 사용에 관한 정책 결정에 영향을 미쳤습니다. 개인 공간의 편안함과 편리함을 향상시키기 위해 설계된 장치들이 오히려 개인 정보 침해의 잠재적 경로가 된다는 것은 아이러니합니다. 가정 내 잡무를 수행할 수 있는 고급 휴머노이드 로봇을 포함한 스마트 홈 장치의 채택이 계속 증가함에 따라, 강력한 보안을 보장하고 사용자 개인 정보를 보호하는 문제는 점점 더 중요해질 것입니다.

가정 환경에 접근할 수 있는 이러한 정교한 장치들이 악의적인 행위자에 의해 악용될 잠재력은 여전히 심각한 우려 사항으로 남아 있습니다. Azdoufal의 우연한 발견은 제조업체가 설계 단계부터 보안을 우선시해야 하고 소비자가 연결된 장치에 위탁하는 데이터에 대해 경계를 늦추지 않아야 한다는 중요성을 강조하는 결정적인 경고 역할을 합니다.

이크바리 뉴스 통신사