본문으로 건너뛰기
J
피드

해커가 5천 달러짜리 로봇 잔디깎이를 원격 조종해 기자를 들이받았다

security 약 6분
tags
#iot#mqtt#robotics#firmware#credentials
vote
0
댓글
북마크
원문 보기

보안 연구자 안드레아스 마크리스가 야보 로봇 잔디깎이의 심각한 취약점을 이용해 지구 반대편에서 장비를 원격 조종하는 장면을 더버지가 검증했다. 문제는 원격 조종만이 아니라 약 11,000대 기기 위치, 카메라, 이메일, 와이파이 비밀번호, 공통 루트 비밀번호, 제거 불가능한 원격 백도어까지 이어진다는 점이다. 물리 장비와 인터넷 연결이 결합될 때 보안 실패가 실제 안전 문제로 바뀌는 사례다.

  • 1

    연구자는 전 세계 약 11,000대 야보 로봇을 추적할 수 있었다고 밝힘

  • 2

    미국·유럽 지도에서 약 5,400대 위치가 확인됐고, 실제 집 주소와 와이파이 정보도 검증됨

  • 3

    모든 기기가 같은 하드코딩 루트 비밀번호를 쓰고 펌웨어 업데이트 때 기본값으로 되돌아가는 문제가 제기됨

  • 4

    원격 접근 백도어는 자동 배포되고 사용자가 비활성화할 수 없으며 제거해도 복구되는 구조로 설명됨

  • 더버지가 꽤 미친 방식으로 야보 로봇 잔디깎이 보안 문제를 검증함

    • 기자가 땅에 누워 있고, 보안 연구자 안드레아스 마크리스가 지구 반대편에서 로봇을 원격 조종해 기자 쪽으로 몰고 감
    • 이 로봇은 200파운드짜리 장비고, 잔디깎이 날이 달려 있음
    • 실험에서는 날을 돌리지 않고 후진으로 움직였지만, 핵심은 “외국의 해커가 실제 물리 장비를 움직일 수 있다”는 점이었음

  • 문제의 제품은 야보의 5,000달러짜리 모듈형 정원 로봇임

    • 하나의 코어 로봇에 잔디깎이, 제설기, 낙엽 송풍기, 트리머, 에저 같은 부착물을 붙여 쓰는 구조임
    • 탱크 궤도로 움직이고 경사도 오를 수 있어서 단순 로봇청소기보다 물리적 위험이 훨씬 큼

  • 마크리스는 전 세계 야보 로봇 약 11,000대를 추적할 수 있었다고 말함

    • 미국과 유럽만 봐도 약 5,400대 위치가 지도에 표시됐다고 함
    • 더버지는 그중 실제 사용자의 집을 찾아갔고, 로봇 위치와 와이파이 네트워크 정보가 맞는지 확인함
    • 한 사용자는 기자가 보여준 와이파이 비밀번호가 실제 자기 것이라고 인정함

⚠️주의

> 이 취약점은 “카메라 좀 볼 수 있음” 수준이 아님. 위치, 이메일, 와이파이 비밀번호, 실시간 카메라, 원격 이동 제어가 한 번에 묶인 사고다.

  • 원격 조종은 빙산의 일각임

    • 해커는 로봇 카메라를 통해 집 주변을 볼 수 있고, 사람이 언제 오가는지 관찰할 수 있음
    • 기사에서는 원자력 발전소 3킬로미터 안에 있는 야보 로봇 12대도 언급됨
    • 그중 하나는 원자력 보안 분석가에게 등록된 것으로 보였다고 함

  • 제일 어이없는 부분은 인증 설계임

    • 각 야보 로봇은 같은 하드코딩 루트 비밀번호를 쓰는 것으로 설명됨
    • 사용자가 직접 더 안전한 비밀번호로 바꿔도, 펌웨어 업데이트가 다시 기본 비밀번호로 되돌린다고 함
    • 한 전직 야후·마이크로소프트 네트워크 아키텍트는 이 설명을 듣고 “생각보다 더 나쁘다”는 반응을 보임

  • 원격 접근 백도어도 설계상 들어가 있었던 것으로 보임

    • 마크리스는 이 원격 접근 기능이 모든 로봇에 자동 배포되고, 사용자가 비활성화할 수 없고, 제거해도 다시 복구된다고 썼음
    • 야보 고객지원은 처음에 이를 안전하고 유용한 원격 진단 기능이라고 설명하려 했음
    • 문제는 사용자 통제권이 거의 없고, 실제로 외부 연구자가 접근 가능했다는 점임

  • 그래서 마크리스는 일반적인 책임 있는 공개 절차를 건너뛰고 바로 공개함

    • 회사에 보안 연락처나 버그 바운티 프로그램을 찾기 어려웠고, 초기 대응도 문제를 축소하는 쪽에 가까웠다고 봤기 때문임
    • 그는 공식 씨브이에 취약점 공개까지 포함해 연구 내용을 공개함
    • 야보와 비슷한 회사들이 공개적 압박 없이는 배우지 않을 거라고 판단한 셈임

  • 야보의 회사 신뢰도 문제도 기사에서 같이 다뤄짐

    • 야보는 뉴욕에 본사가 있다고 홍보하지만, 실제 주소는 여러 소규모 업체가 함께 있는 단층 건물로 보인다고 함
    • 회사는 중국 선전에 기반을 둔 한양테크의 다른 이름이기도 함
    • 더버지는 과거 리뷰 요청 과정에서 부정적 리뷰를 피하려는 듯한 계약이나 요청을 여러 번 받았다고 밝힘

  • 보도 이후 야보는 일부 수정 계획을 내놨음

    • 앱과 백엔드 서비스 사이 통신 권한 처리 문제를 확인했고 수정 배포를 준비 중이라고 함
    • 앱 내 고객 승인 메커니즘, 세션 가시성, 감사 로그, 고객용 접근 이력 기능도 계획 중이라고 밝힘
    • 별도 보안 대응 센터와 버그 바운티 프로그램도 검토 중이라고 함

  • 이 사례가 무서운 이유는 사물인터넷 보안 실패가 물리 안전 문제로 바로 번지기 때문임

    • 로봇청소기가 이상하게 움직이는 것과 200파운드짜리 날 달린 장비가 원격 조종되는 건 완전히 다른 문제임
    • 사용자는 편의를 위해 기기를 들였는데, 그 기기가 집 위치·와이파이·카메라·물리 이동 능력을 한꺼번에 외부에 노출한 셈임

기술 맥락

  • 야보 문제는 인증, 권한, 원격 접속, 펌웨어 업데이트가 전부 연결된 사고예요. 하나만 틀어져도 위험한데, 여기서는 공통 루트 비밀번호와 강제 원격 접속 통로가 같이 등장했거든요.

  • 엠큐티티 같은 메시징 구조에서는 토픽 권한이 정말 중요해요. 한 기기 접근 권한으로 전체 플릿 명령 토픽을 건드릴 수 있으면, 개별 사용자 계정 경계가 사실상 무너져요.

  • 하드코딩 비밀번호가 특히 나쁜 이유는 사용자에게 회복 수단이 없기 때문이에요. 비밀번호를 바꿔도 펌웨어가 다시 기본값으로 되돌리면, 사용자는 보안 조치를 했다고 믿지만 실제로는 같은 구멍이 다시 열려요.

  • 원격 진단 기능은 제품 운영에 필요할 수 있어요. 하지만 물리 장비에서는 기본값이 달라야 해요. 사용자 명시 승인, 짧은 세션, 감사 로그, 언제든 끌 수 있는 제어권이 없으면 편의 기능이 안전 리스크가 돼요.

이건 단순한 사물인터넷 해킹 기사가 아니라 ‘소프트웨어 취약점이 물리적 위해로 연결되는 순간’을 보여주는 르포다. 로봇청소기와 다르게 날 달린 200파운드 장비라서 보안 모델이 곧 안전 모델이 된다.

prev

이전 기사 (P)

next

다음 기사 (N)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

윈도우 11 BitLocker 우회 취약점 ‘YellowKey’ 공개, WinRE 경로가 문제로 지목됨

YellowKey라는 BitLocker 우회 취약점 공개 글이 올라왔고, 작성자는 Windows Recovery Environment에만 있는 특정 구성요소가 보호된 볼륨 접근을 허용한다고 주장한다. 공개 내용은 Windows 11과 Windows Server 2022/2025가 영향권이고 Windows 10은 제외된다고 설명하며, Microsoft 보안 조직과의 공개 조율도 언급한다.

security

해고 직후 정부 DB 96개 삭제 혐의, 내부자 접근권 회수의 무서운 사례

미국 정부 고객을 상대하던 IT 업체에서 해고된 쌍둥이 형제가 몇 분 뒤 정부 정보가 담긴 데이터베이스 96개를 삭제한 혐의를 받고 있다. 기사에는 이들이 이전에도 컴퓨터 범죄 전력이 있었고, 회사 네트워크에서 5,400개 계정 정보를 모아 Python 스크립트로 외부 서비스 로그인을 시도했다는 정황도 나온다.

security

EFF, 국경 전자기기 수색에도 영장이 필요하다고 제4순회항소법원에 주장

EFF와 ACLU 등은 미국 제4순회항소법원에 국경에서 휴대폰·노트북 같은 전자기기를 수색하려면 영장이 필요하다는 의견서를 냄. 사건은 Dulles 공항에서 미국 시민의 휴대폰이 영장 없이 수색된 뒤 형사 사건으로 이어진 사례이며, EFF는 수동 수색과 포렌식 수색 모두 같은 높은 기준을 적용해야 한다고 주장함.

security

안드로이드 17, 내 폰 OS가 진짜인지 직접 보여준다

구글이 안드로이드 17에 OS 검증 기능을 넣는다. 사용자는 기기가 공식 안드로이드 빌드를 돌리고 있는지, 부트로더 상태와 빌드 정보까지 확인할 수 있고, 구글 앱과 API의 정식 배포 여부를 검증하는 공개 원장도 제공된다.

security

마이크로소프트 취약점 공개전이 또 터짐, 이번엔 2건

익명의 공개자가 마이크로소프트 관련 취약점 2건을 추가로 공개했다고 주장했어. 구체적인 기술 분석은 본문에 거의 없지만, 패치 튜즈데이를 앞두고 더 큰 공개를 예고해 윈도우 보안 운영팀 입장에선 신경 써야 할 신호야.