로봇 청소기 7천 대, 해킹 위험에 노출!

DJI 로봇 청소기의 서버 인증 방식에 취약점(Vulnerability)이 존재하여, 한 사용자가 자신의 기기를 제어하기 위해 사용한 인증 정보로 다른 7,000대의 기기에도 접근할 수 있었다. 이는 잘못된 접근 제어(Improper Access Control)로 인해 발생한 문제로, 서버 측에서 각 기기의 인증을 개별적으로 처리하지 않고, 동일한 자격 증명을 모든 기기에 적용했기 때문이다. 이로 인해 사용자는 로봇 청소기의 실시간 영상(Real-time Video), 음성 데이터, 지도 정보에 접근할 수 있었다.

사건의 발단은 한 소프트웨어 엔지니어가 AI 코딩 어시스턴트(AI Coding Assistant)를 사용하여 로봇 청소기의 통신 방식을 리버스 엔지니어링(Reverse Engineering)하는 과정에서 시작되었다. AI 도구는 코드 분석을 용이하게 했지만, 동시에 보안 취약점을 발견하는 데 기여했다. 이는 AI가 보안 취약점(Security Vulnerability)을 찾는 데 유용할 수 있지만, 악의적인 목적으로 사용될 경우 그 위험성을 증폭시킬 수 있음을 시사한다. 특히, 기술적 지식이 부족한 사용자도 AI를 통해 취약점을 악용할 수 있다는 점이 우려된다.

이번 사건은 스마트 홈 기기의 보안(Security) 취약성에 대한 경각심을 높이는 계기가 되었다. 로봇 청소기와 같은 기기는 사용자의 사적인 공간에서 작동하며, 카메라와 마이크를 통해 수집된 데이터는 개인 정보(Personal Information) 유출의 위험을 내포한다. 데이터 미저장 정책(Zero-Retention Policy)과 같은 보안 조치가 중요하며, 사용자는 기기 선택 시 보안 기능을 꼼꼼히 확인해야 한다. 또한, 관련 법규 및 규제 준수(Compliance)의 중요성이 강조된다.

커뮤니티에서는 DJI의 대응(Response) 속도와 문제 해결 여부에 대한 논의가 이루어졌다. DJI는 즉각적인 패치를 배포했다고 밝혔지만, 근본적인 문제 해결을 위해서는 데이터 격리 아키텍처(Data Isolation Architecture)와 같은 보안 강화가 필요하다는 지적이 제기되었다. 또한, 유사한 보안 사고의 재발 방지를 위해, 기업은 취약점 공개(Vulnerability Disclosure) 정책을 마련하고, 사용자에게 보안 관련 정보를 투명하게 제공해야 한다는 의견이 제시되었다.