새미 아즈두팔이 DJI 로모 진공청소기를 플레이스테이션 5 게임 패드로 조종하는 모습 [더버지]

[헤럴드경제=김보영 기자] 스페인의 한 소프트웨어 엔지니어가 제조업체의 보안 결함으로 인해 의도치 않게 전 세계 로봇청소기 약 7000대의 제어권을 탈취하는 일이 벌어졌다. 그는 기기에 내장된 카메라를 통해 실시간으로 집 안을 들여다보는 것까지 가능했던 것으로 전해졌다.

24일(현지시간) 미국 IT 매체 더버지에 따르면 엔지니어 새미 아즈두팔은 최근 새로 구입한 중국 업체 DJI의 로모 진공청소기를 플레이스테이션 5 게임 패드로 조종하기 위해 역설계하던 중 이같은 일이 벌어졌다고 밝혔다.

아즈두팔은 자신이 개발한 원격 제어 앱으로 DJI 서버에 접속하자, 24개국에서 작동 중인 약 7000대의 로봇청소기가 동시에 응답했다고 밝혔다. 그는 “한 대가 아니라 수천 대의 기기가 나를 상사처럼 따르기 시작했다”고 말했다.

그는 원격으로 로봇을 제어하는 것뿐만 아니라 청소기에 내장된 카메라를 통해 이용자의 집 내부를 실시간으로 들여다볼 수 있었다. 또 로봇들이 각 방의 구조를 분석해 2D 평면도를 생성하는 모습을 확인하고 인터넷 프로토콜(IP) 주소를 통해 사용자의 대략적인 위치를 파악하는 것도 가능했다고 설명했다.

DJI 로모 진공청소기 [DJI]

실제 테스트 과정에서 더버지 기자가 동료의 DJI 로봇청소기의 일련번호 14자리를 전달하자, 아즈두팔은 해당 기기의 실시간 영상과 배터리 상태, 집 내부 평면도까지 확인해 보였다.

매체는 “우리 로봇의 위치를 ​​파악할 수 있었을 뿐만 아니라, 로봇이 거실을 청소 중이고 배터리가 80% 남았다는 사실까지 정확하게 확인할 수 있었다”며 “몇 분 만에 로봇이 각 방의 모양과 크기가 정확하게 표시된 집의 평면도를 생성하고 전송하는 모습을 지켜봤다”고 설명했다.

아즈두팔은 DJI 서버를 직접 해킹하지 않고도 이 모든 것이 가능했다고 주장했다. 그는 “어떤 규칙도 어기지 않았고, 우회하거나 크래킹, 무차별 공격도 하지 않았다”며 “처음부터 해킹이 목적은 아니었고 호기심에서 시작했다”고 말했다. 이어 “언론 제보는 제조사에 보안 취약성을 알리기 위한 목적”이라고 설명했다.

보도 이후 DJI 측은 해당 오류가 이미 수정됐으며, 향후 몇 주 안에 다른 네트워크 관련 문제도 해결할 예정이라고 밝혔다. DJI 대변인은 “해당 문제가 지난주 해결됐다”며 “데이터 개인정보 보호와 보안에 대한 강력한 기준을 유지하고 있고, 잠재적 취약점을 식별·해결하기 위한 프로세스를 구축했다”고 강조했다.

다만 아즈두팔은 아직 자신이 발견한 모든 취약점이 완전히 해결되지는 않았다며 우려를 제기했다.

전문가들은 이번 사례가 스마트 홈 기기와 로봇이 개인정보 침해 위험에 노출될 수 있음을 보여주는 경고라고 지적했다. 카메라 영상, 공간 지도 데이터, 위치 정보까지 연결되는 구조인 만큼 보안 결함은 곧 사생활 침해로 직결될 수 있다는 설명이다. 제조사의 보안 점검 강화와 함께 소비자들의 주의도 필요하다는 지적이 나온다.