남자가 우연히 7천 대의 로봇 청소기를 제어하게 된다
Source: Hacker News
Popular Science Daily 뉴스레터 💡
혁신, 발견, 그리고 DIY 팁 – 주 6일 발송.
DJI 로봇 청소기 해킹으로 수천 가정이 노출
소프트웨어 엔지니어가 새 DJI 로봇 청소기를 비디오 게임 컨트롤러로 조종하려는 시도가, 의도치 않게 수천 명의 다른 사람들의 집을 들여다볼 수 있게 만들었습니다.
자신만의 원격 제어 앱을 만들면서 Sammy Azdoufal은 AI 코딩 어시스턴트를 이용해 로봇이 DJI의 원격 클라우드 서버와 통신하는 방식을 역공학했습니다. 그는 곧 자신의 기기를 보고 제어할 수 있게 해주는 동일한 인증 정보가 다음에도 접근할 수 있게 해준다는 것을 발견했습니다:
- 실시간 카메라 피드
- 마이크 오디오
- 지도 및 상태 데이터
…전 세계 24개국에 걸친 7,000대가 넘는 다른 청소기에서도 마찬가지였습니다. 백엔드 보안 버그는 인터넷에 연결된 로봇 군대를 사실상 노출시켰으며, 악의적인 손에 넘어가면 소유자도 모르는 사이에 감시 도구가 될 수 있었습니다.
DJI Romo. 이미지: DJI
다행히도 Azdoufal은 취약점을 악용하지 않았습니다. 그는 자신의 발견을 The Verge에 공유했고, 그 매체는 즉시 DJI에 취약점을 보고했습니다. DJI는 Popular Science에 문제를 해결했으며, 이번 사건은 사이버 보안 전문가들이 인터넷에 연결된 로봇 및 기타 스마트 홈 장치가 해커들의 매력적인 표적이라는 경고를 다시 한 번 강조합니다.
“인터넷에 연결된 로봇은 해커들에게 매력적인 표적입니다.” – Popular Science (출처: arXiv pre‑print)
가정에서 로봇을 채택하는 가구가 늘어나면서—더 새롭고 인터랙티브한 인간형 모델들까지 포함해(예시 보기)—유사한 취약점은 탐지하기가 더욱 어려워질 수 있습니다. AI 기반 코딩 도구는 기술적 지식이 부족한 사용자도 소프트웨어 결함을 악용할 수 있는 장벽을 낮추어 이러한 위험을 증폭시킬 가능성이 있습니다.
커뮤니티 반응
저는 @DJIGlobal이 마침내 서버에 있던 거대한 취약점을 수정했다는 것을 확인했습니다.
이 취약점은 매우 능숙한 @n0tsa에 의해 발견되었으며, 그는 DJI에 보고했습니다.
이는 10,000대가 넘는 로봇을 원격으로 제어(이동, 마이크, 카메라)할 수 있게 했습니다…
— Gonzague 👨🏼💻
2026년 2월 11일
거대한 보안 구멍에 걸려들다
문제의 로봇은 DJI Romo이며, 작년 중국에서 처음 출시된 자율형 가정용 청소기입니다. 현재는 다른 국가로도 확대되고 있습니다. 가격은 약 $2,000 정도이며, 베이스 스테이션에 도킹했을 때 큰 테리어 개나 작은 냉장고 정도의 크기입니다. 다른 로봇 청소기와 마찬가지로 주변을 탐색하고 장애물을 감지할 수 있는 다양한 센서가 장착되어 있습니다. 사용자는 앱을 통해 청소 일정을 잡고 제어할 수 있지만, 대부분의 시간은 스스로 청소와 물걸레질을 수행하도록 설계되었습니다.
장치 작동 방식
- Romo(및 모든 최신 자율 청소기)는 작동하는 건물에서 시각 데이터를 지속적으로 수집합니다.
- 각 방(예: 주방 vs. 침실)의 구체적인 정보를 이해해야 올바르게 이동할 수 있습니다.
- 일부 센서 데이터는 장치 자체가 아니라 DJI 서버에 원격으로 저장됩니다.
Azdoufal의 DIY‑컨트롤러 아이디어가 작동하려면, 그의 앱이 DJI 서버와 통신하고 로봇 소유자를 증명하는 보안 토큰을 추출할 수 있는 방법이 필요했습니다.
취약점
단일 토큰을 검증하는 대신, 서버는 다수의 로봇에 대한 접근을 허용했으며, 마치 그가 각 로봇의 소유자인 것처럼 처리했습니다. 이 실수 덕분에 Azdoufal은 다음을 할 수 있었습니다:
- 실시간 카메라 피드에 접속
- 로봇의 마이크 활성화
- 로봇이 작동 중인 가정의 2‑D 평면도 작성
- 로봇의 IP 주소를 통해 대략적인 위치 추정
Azdoufal은 이 모든 행위가 “해킹”이라고 할 수 없으며, 단지 “중대한 보안 문제를 우연히 발견했을 뿐”이라고 주장합니다.
“DJI는 1월 말 내부 검토를 통해 DJI Home에 영향을 미치는 취약점을 확인하고 즉시 수정 작업에 착수했습니다,” 라고 DJI는 Popular Science에 전했습니다.
“이 문제는 두 차례 업데이트를 통해 해결되었으며, 첫 번째 패치는 2월 8일에 배포되고 두 번째 업데이트는 2월 10일에 완료되었습니다. 수정은 자동으로 배포되었으며 사용자가 별도로 조치를 취할 필요는 없습니다.”
DJI는 추가적인 보안 강화 조치를 “계속 시행할 예정”이라고 밝혔지만, 구체적인 내용은 밝히지 않았습니다.
스마트 홈의 프라이버시 비용에 직면한 주택 소유자들
DJI 보안 문제는 스마트‑홈 기술의 감시 능력에 대한 불안이 커지는 시기에 제기되었습니다. 이달 초, Ring 카메라 소유자들은 소셜 미디어를 급속히 장악했는데, 이는 회사의 반려동물 찾기 “search‑party” 기능에 대한 논란이 되는 광고가 더 넓은 감시를 위한 트로이 목마로 해석된 경우였습니다.
동시에, Google이 Nest Doorbell 카메라의 영상 자료를 납치 사건 조사에 활용할 수 있었다는 보고(이전에는 영상이 삭제된 것으로 알려졌음)가 소비자들이 민감한 데이터에 대해 실제로 얼마나 통제할 수 있는지에 대한 논쟁을 다시 불러일으켰습니다.
미국 양당의 입법자들은 수년간 DJI와 기타 중국 기술 제조업체가 독특한 보안 위협을 제기한다는 경고를 해왔습니다. 이러한 주장에 대한 증거는 불분명하지만, 이는 특정 중국산 제품을 금지하는 근거가 되었습니다.
많은 로봇 청소기와 기타 스마트‑홈 기기의 아이러니는, 이들 기기가 우리 가장 사적인 공간에서 작동함에도 불구하고, 카테고리 전체가 오랜 기간 의심스러운 보안 관행을 보여왔다는 점입니다. 모든 징후는 평균적인 사람이 앞으로 카메라와 마이크를 더 많이 집에 들이게 될 것이며, 오히려 줄어들지는 않을 것임을 시사합니다.
- 2020년 기준, 시장 조사 업체 Parks Associates는 5,400만 가구가 최소 하나의 스마트‑홈 기기를 설치하고 있다고 추정합니다.
- 다른 설문 조사에 따르면, 이미 기기를 보유한 가구는 더 많은 기기를 원한다는 결과가 나왔습니다.
더 정교한 기기가 등장하고 있다
가정에 들어오는 기기의 종류가 점점 더 정교해지고 있습니다. 아직 초기 단계이지만, Tesla, Figure 등과 같은 기업들이 인간과 같은 자율 로봇을 개발해 가정에서 생활하고 집안일을 수행하도록 경쟁하고 있습니다.
1X라는 회사는 이미 이러한 인간형 로봇 중 하나를 판매하고 있으며, 설거지를 하고 호두를 까는 기능을 갖췄다고 주장합니다—다만 종종 인간의 도움이 필요합니다. 궁극적으로 이러한 가정용 로봇 서비스가 효과적으로 작동하려면, 소유자의 집에 대한 매우 상세한 접근 권한이 필요합니다. 이는 스토커나 해커에게는 잠재적인 금광이 될 수 있습니다.
개인적인 일화
말대로, Azdoufal은 로봇을 조이스틱으로 운전하고 싶었을 뿐인데도 이 혼란에 휘말리게 되었습니다. 그 목표는 성공했습니다:
PS5 컨트롤러로 DJI Romo 청소기 제어하기
2025 PopSci – 베스트 오브 왓츠 뉴
올해 가장 중요한 50가지 혁신