야보, 해킹 가능한 로봇 잔디깎이 보안 문제 인정하고 원격 백도어 손본다

• 야보가 결국 로봇 잔디깎이 보안 사고를 인정함

  • 더버지가 보도한 내용은 꽤 심각했음. 해커가 야보 로봇을 원격 조종할 수 있었고, 사용자 위치·와이파이 비밀번호·이메일 같은 민감 정보도 노출됐다는 얘기였음
  • 회사는 보안 연구자 안드레아스 마크리스의 핵심 기술 지적이 맞다고 확인했고, 초기 대응이 문제의 심각성을 제대로 반영하지 못했다고 사과함

• 가장 큰 문제 중 하나는 “한 대가 뚫리면 전체가 위험한” 구조였음

  • 야보 로봇들의 루트 비밀번호가 기기마다 달라야 하는데, 모든 로봇에서 같은 값이 쓰였고 해커가 찾기 쉬운 위치에 남아 있었음
  • 야보는 앞으로 각 기기가 독립 자격 증명을 쓰게 해서 한 대의 침해가 전체 플릿으로 번지는 걸 막겠다고 함

• 회사가 이미 한 조치도 있음

  • 문제의 원격 진단 터널을 임시로 비활성화함
  • 기기 루트 비밀번호를 초기화해 공통 비밀번호 리스크가 더 퍼지는 걸 막겠다고 함
  • 인증 없이 상태 조회나 리포팅이 가능했던 일부 엔드포인트를 닫거나 제한함
  • 레거시 접근 경로와 백엔드 권한도 줄이기 시작했다고 밝힘

• 앞으로의 핵심 변경은 원격 접속을 “사용자 승인 + 허용 목록 + 감사 로그” 기반으로 바꾸는 것임

  • 첫 단계는 1주 안에 완료될 예정이라고 함
  • 원격 진단은 회사 내부 승인 인력만 가능하고, 사용자 승인을 받은 뒤에만 쓰이며, 점진적으로 감사 로그에 기록된다고 설명함
  • 다만 보도 당시에는 원격 백도어를 아예 제거하거나 선택 설치로 바꾸겠다고는 하지 않아서 논란이 컸음

• 이후 업데이트에서 야보는 원격 백도어를 선택형으로 바꾸겠다고 방향을 바꿈

  • 원래는 모든 로봇에 미리 깔려 있고 사용자가 끌 수 없는 구조였다는 점이 신뢰를 박살낸 포인트였음
  • 사용자가 원격 진단 기능을 켤지 말지 선택할 수 있게 만드는 건 늦었지만 필요한 방향임

• 보안 업데이트는 오버디에이로 배포됨

  • 야보는 모든 기기에 보안 펌웨어 업데이트를 푸시한다고 안내함
  • 사용자는 업데이트를 받기 위해 로봇을 인터넷에 연결해야 하고, 업데이트 후에는 다시 원하는 네트워크 설정으로 돌려도 된다고 함
  • 오프라인으로 두고 싶은 사용자는 보증이나 서비스 커버리지에 영향 없이 그렇게 해도 된다고 덧붙임

• 야보는 이번 일을 단일 버그 수정이 아니라 보안 아키텍처 재정비 계기로 삼겠다고 함

  • 장치 비밀번호를 펌웨어, 스크립트, 데이터베이스에 하드코딩하지 않는 자격 증명 관리 서비스를 만들겠다고 밝힘
  • 운영자가 접근할 때 방문자, 접근 이유, 작업 주문, 타임스탬프를 기록하는 방식도 언급함
  • 불필요한 리포팅 스크립트, 레거시 클라우드 의존성, 서드파티 에이전트, 필수 아닌 디엔에스 폴백 설정도 정리 대상에 올림

---

기술 맥락

• 이번 이슈의 핵심은 로봇이 “리눅스 컴퓨터 + 물리적 구동 장치”라는 점이에요. 일반 웹 서비스 침해는 데이터 유출에서 끝나는 경우가 많지만, 여기서는 원격 명령이 실제 바퀴와 날 달린 장비로 이어지거든요.

• 야보가 장치별 자격 증명으로 바꾸려는 이유는 플릿 전체 리스크를 끊기 위해서예요. 같은 루트 비밀번호를 쓰면 공격자는 한 번 얻은 비밀번호로 모든 기기를 시도할 수 있어요. 반대로 기기마다 인증 정보가 다르면 침해 범위가 훨씬 좁아져요.

• 원격 진단 터널은 고객 지원팀 입장에선 편한 도구예요. 문제는 사용자가 모르는 상태로 항상 열려 있고, 제거해도 복구되고, 감사 로그도 부족하면 지원 도구가 아니라 백도어처럼 보인다는 거예요.

• 오버디에이 업데이트는 이미 판매된 기기를 고치는 현실적인 방법이에요. 다만 보안 사고 뒤에는 “사용자가 업데이트를 받기 위해 다시 인터넷에 연결해야 한다”는 역설이 생겨요. 그래서 이런 제품은 처음부터 최소 권한, 사용자 승인, 감사 로그를 기본값으로 깔아야 해요.