--- title: "해커가 5천 달러짜리 로봇 잔디깎이를 원격 조종해 기자를 들이받았다" published: 2026-05-09T21:14:34.000Z canonical: https://jeff.news/article/2551 --- # 해커가 5천 달러짜리 로봇 잔디깎이를 원격 조종해 기자를 들이받았다 보안 연구자 안드레아스 마크리스가 야보 로봇 잔디깎이의 심각한 취약점을 이용해 지구 반대편에서 장비를 원격 조종하는 장면을 더버지가 검증했다. 문제는 원격 조종만이 아니라 약 11,000대 기기 위치, 카메라, 이메일, 와이파이 비밀번호, 공통 루트 비밀번호, 제거 불가능한 원격 백도어까지 이어진다는 점이다. 물리 장비와 인터넷 연결이 결합될 때 보안 실패가 실제 안전 문제로 바뀌는 사례다. - 더버지가 꽤 미친 방식으로 야보 로봇 잔디깎이 보안 문제를 검증함 - 기자가 땅에 누워 있고, 보안 연구자 안드레아스 마크리스가 지구 반대편에서 로봇을 원격 조종해 기자 쪽으로 몰고 감 - 이 로봇은 200파운드짜리 장비고, 잔디깎이 날이 달려 있음 - 실험에서는 날을 돌리지 않고 후진으로 움직였지만, 핵심은 “외국의 해커가 실제 물리 장비를 움직일 수 있다”는 점이었음 - 문제의 제품은 야보의 5,000달러짜리 모듈형 정원 로봇임 - 하나의 코어 로봇에 잔디깎이, 제설기, 낙엽 송풍기, 트리머, 에저 같은 부착물을 붙여 쓰는 구조임 - 탱크 궤도로 움직이고 경사도 오를 수 있어서 단순 로봇청소기보다 물리적 위험이 훨씬 큼 - 마크리스는 전 세계 야보 로봇 약 11,000대를 추적할 수 있었다고 말함 - 미국과 유럽만 봐도 약 5,400대 위치가 지도에 표시됐다고 함 - 더버지는 그중 실제 사용자의 집을 찾아갔고, 로봇 위치와 와이파이 네트워크 정보가 맞는지 확인함 - 한 사용자는 기자가 보여준 와이파이 비밀번호가 실제 자기 것이라고 인정함 > [!WARNING] > 이 취약점은 “카메라 좀 볼 수 있음” 수준이 아님. 위치, 이메일, 와이파이 비밀번호, 실시간 카메라, 원격 이동 제어가 한 번에 묶인 사고다. - 원격 조종은 빙산의 일각임 - 해커는 로봇 카메라를 통해 집 주변을 볼 수 있고, 사람이 언제 오가는지 관찰할 수 있음 - 기사에서는 원자력 발전소 3킬로미터 안에 있는 야보 로봇 12대도 언급됨 - 그중 하나는 원자력 보안 분석가에게 등록된 것으로 보였다고 함 - 제일 어이없는 부분은 인증 설계임 - 각 야보 로봇은 같은 하드코딩 루트 비밀번호를 쓰는 것으로 설명됨 - 사용자가 직접 더 안전한 비밀번호로 바꿔도, 펌웨어 업데이트가 다시 기본 비밀번호로 되돌린다고 함 - 한 전직 야후·마이크로소프트 네트워크 아키텍트는 이 설명을 듣고 “생각보다 더 나쁘다”는 반응을 보임 - 원격 접근 백도어도 설계상 들어가 있었던 것으로 보임 - 마크리스는 이 원격 접근 기능이 모든 로봇에 자동 배포되고, 사용자가 비활성화할 수 없고, 제거해도 다시 복구된다고 썼음 - 야보 고객지원은 처음에 이를 안전하고 유용한 원격 진단 기능이라고 설명하려 했음 - 문제는 사용자 통제권이 거의 없고, 실제로 외부 연구자가 접근 가능했다는 점임 - 그래서 마크리스는 일반적인 책임 있는 공개 절차를 건너뛰고 바로 공개함 - 회사에 보안 연락처나 버그 바운티 프로그램을 찾기 어려웠고, 초기 대응도 문제를 축소하는 쪽에 가까웠다고 봤기 때문임 - 그는 공식 씨브이에 취약점 공개까지 포함해 연구 내용을 공개함 - 야보와 비슷한 회사들이 공개적 압박 없이는 배우지 않을 거라고 판단한 셈임 - 야보의 회사 신뢰도 문제도 기사에서 같이 다뤄짐 - 야보는 뉴욕에 본사가 있다고 홍보하지만, 실제 주소는 여러 소규모 업체가 함께 있는 단층 건물로 보인다고 함 - 회사는 중국 선전에 기반을 둔 한양테크의 다른 이름이기도 함 - 더버지는 과거 리뷰 요청 과정에서 부정적 리뷰를 피하려는 듯한 계약이나 요청을 여러 번 받았다고 밝힘 - 보도 이후 야보는 일부 수정 계획을 내놨음 - 앱과 백엔드 서비스 사이 통신 권한 처리 문제를 확인했고 수정 배포를 준비 중이라고 함 - 앱 내 고객 승인 메커니즘, 세션 가시성, 감사 로그, 고객용 접근 이력 기능도 계획 중이라고 밝힘 - 별도 보안 대응 센터와 버그 바운티 프로그램도 검토 중이라고 함 - 이 사례가 무서운 이유는 사물인터넷 보안 실패가 물리 안전 문제로 바로 번지기 때문임 - 로봇청소기가 이상하게 움직이는 것과 200파운드짜리 날 달린 장비가 원격 조종되는 건 완전히 다른 문제임 - 사용자는 편의를 위해 기기를 들였는데, 그 기기가 집 위치·와이파이·카메라·물리 이동 능력을 한꺼번에 외부에 노출한 셈임 --- ## 기술 맥락 - 야보 문제는 인증, 권한, 원격 접속, 펌웨어 업데이트가 전부 연결된 사고예요. 하나만 틀어져도 위험한데, 여기서는 공통 루트 비밀번호와 강제 원격 접속 통로가 같이 등장했거든요. - 엠큐티티 같은 메시징 구조에서는 토픽 권한이 정말 중요해요. 한 기기 접근 권한으로 전체 플릿 명령 토픽을 건드릴 수 있으면, 개별 사용자 계정 경계가 사실상 무너져요. - 하드코딩 비밀번호가 특히 나쁜 이유는 사용자에게 회복 수단이 없기 때문이에요. 비밀번호를 바꿔도 펌웨어가 다시 기본값으로 되돌리면, 사용자는 보안 조치를 했다고 믿지만 실제로는 같은 구멍이 다시 열려요. - 원격 진단 기능은 제품 운영에 필요할 수 있어요. 하지만 물리 장비에서는 기본값이 달라야 해요. 사용자 명시 승인, 짧은 세션, 감사 로그, 언제든 끌 수 있는 제어권이 없으면 편의 기능이 안전 리스크가 돼요. ## 핵심 포인트 - 연구자는 전 세계 약 11,000대 야보 로봇을 추적할 수 있었다고 밝힘 - 미국·유럽 지도에서 약 5,400대 위치가 확인됐고, 실제 집 주소와 와이파이 정보도 검증됨 - 모든 기기가 같은 하드코딩 루트 비밀번호를 쓰고 펌웨어 업데이트 때 기본값으로 되돌아가는 문제가 제기됨 - 원격 접근 백도어는 자동 배포되고 사용자가 비활성화할 수 없으며 제거해도 복구되는 구조로 설명됨 ## 인사이트 이건 단순한 사물인터넷 해킹 기사가 아니라 ‘소프트웨어 취약점이 물리적 위해로 연결되는 순간’을 보여주는 르포다. 로봇청소기와 다르게 날 달린 200파운드 장비라서 보안 모델이 곧 안전 모델이 된다.