7천 대 DJI 로봇청소기를 우연히 해킹하게 된 개발자 이야기

7천 대 DJI 로봇청소기를 우연히 해킹하게 된 개발자 이야기

4분 읽기원문 보기
보안IoT스마트홈DJI보안 취약점

안녕하세요, Tom입니다.

상상해보세요. 집에 있는 로봇청소기를 게임 컨트롤러로 조종하려고 취미 프로젝트를 시작했는데, 갑자기 24개국에 있는 7천 대의 다른 사람 청소기에 접속하게 된다면?

실시간 카메라 영상, 마이크 오디오, 집 안 지도까지 전부 보이는 상황. 이건 공상과학 영화가 아니라 실제로 일어난 일입니다.

우연히 발견한 대규모 보안 결함

엔지니어 Sammy Azdoufal은 자신의 DJI Romo 로봇청소기를 게임 컨트롤러로 조종하기 위해 커스텀 앱을 개발하던 중이었습니다.

그의 계획:

  1. DJI 클라우드 서버와 통신 방식 분석
  2. AI 코딩 어시스턴트로 역공학 진행
  3. 게임 컨트롤러로 청소기 조종

실제로 일어난 일:

  • DJI 서버가 단일 기기만 검증하지 않음을 발견
  • 동일한 인증키로 다른 수천 대 기기에도 접근 가능
  • 24개국 7,000대 이상의 로봇청소기에 접속됨
  • 실시간 카메라, 마이크, 지도, IP 주소 등 모두 노출

그는 이걸 "해킹"이 아니라 우연히 발견된 보안 문제라고 설명합니다. 악의적으로 악용할 수도 있었지만, 대신 The Verge에 제보했습니다.

DJI의 빠른 대응

DJI는 보고를 받고 즉시 대응했습니다:

  • 1월 말: 내부 검토에서 DJI Home 관련 취약점 확인
  • 2월 8일: 1차 패치 배포
  • 2월 10일: 후속 업데이트 자동 배포
  • 사용자 조치 없이 문제 해결 완료

다행히 빠르게 패치가 나왔지만, 이 사건은 스마트홈 기기의 구조적 위험을 드러냈습니다.

AI 도구가 증폭시킨 보안 위험

여기서 주목할 점은 AI 코딩 어시스턴트의 역할입니다.

과거에는 클라우드 통신을 역공학하려면 상당한 전문 지식이 필요했습니다. 하지만 이제는 AI 도구를 활용하면 비전문가도 취약점을 찾을 수 있는 시대가 되었습니다.

AI가 양날의 검인 이유:

  • ✅ 개발 효율성 극대화
  • ❌ 보안 취약점 발견도 쉬워짐
  • ❌ 악의적 활용 가능성 증가

스마트홈 시대의 프라이버시 역설

현재 상황:

  • 미국 내 5,400만 가구가 스마트홈 기기 보유 (2020년 기준)
  • 한 번 설치한 사용자는 추가 기기를 계속 구매하는 경향
  • Tesla, Figure, 1X 등이 가정용 휴머노이드 로봇 개발 중

문제는, 이런 로봇들이 제대로 작동하려면 집 안의 세부 정보를 수집해야 한다는 점입니다.

최근 사례들:

  • Ring 카메라 광고 논란
  • Google Nest 영상 복구 사례
  • 미국 내 DJI 제품 금지 움직임 (중국산 기술 보안 우려)

우리가 배워야 할 점

  1. 스마트홈 기기는 잠재적 감시 장치다
    카메라, 마이크, 센서가 달린 모든 기기가 해킹 대상이 될 수 있습니다.

  2. 동일 인증키 재사용은 위험하다
    DJI 사례처럼, 하나의 취약점이 수천 대 기기로 확산될 수 있습니다.

  3. AI 시대의 보안은 더 중요해졌다
    AI 도구가 공격자의 진입 장벽을 낮추고 있습니다.

  4. 빠른 패치 시스템이 필수다
    DJI처럼 자동 업데이트 시스템이 있어야 피해를 최소화할 수 있습니다.

마무리하며

Sammy Azdoufal은 결국 자신의 원래 목표였던 게임 컨트롤러로 청소기 조종에 성공했다고 합니다. 하지만 그 과정에서 스마트홈 보안의 현주소를 드러낸 셈이죠.

편리함과 프라이버시는 언제나 트레이드오프입니다. 우리 집에 있는 스마트 기기들이 정말 안전한지, 한 번쯤 점검해볼 필요가 있을 것 같습니다.

여러분은 집에 스마트홈 기기 몇 개나 쓰고 계시나요? 보안은 어떻게 관리하고 계신가요?

이 글은 Geeknews에서 발견한 내용을 정리한 것입니다. 원본은 여기에서 확인할 수 있습니다.