핵심 요약
DJI Romo 로봇청소기 약 7,000대에 원격 접근할 수 있었던 보안 취약점을 발견한 연구자 Sammy Azdoufal에게 DJI가 3만 달러의 포상금을 지급했다. DJI는 취약점 일부(PIN 없는 영상 스트림 접근)를 2월 말 수정했으며, 더 심각한 나머지 취약점들은 시스템 업그레이드를 통해 한 달 내 해결할 예정이라고 밝혔다. 다만, DJI의 ‘완전 해결’ 주장과 실제 업데이트 완료 시점 사이에는 다소 차이가 있어 주의가 필요하다.
기술적 취약점 상세
이번 사건은 로봇청소기 네트워크 설계의 취약점으로 인해 발생했다.
- 문제의 핵심: 기기에 대한 원격 제어 및 카메라 영상 스트림에 인증(PIN 코드 등) 없이 접근 가능한 경로가 노출되어 있었다.
- 위험성: 공격자가 외부에서 사용자의 가정 내 카메라 영상을 실시간으로 시청하거나 로봇청소기를 원격 제어할 수 있는 심각한 개인정보 침해 및 물리적 보안 위협이 존재했다.
- 패치 현황:
- PIN 코드 관련: 2월 말 수정 완료.
- 기타 핵심 취약점: 시스템 전반의 업그레이드 진행 중. DJI는 앞으로 한 달 내에 모든 보완 작업을 완료할 계획이라고 발표했다.
사건 경과 및 DJI 대응
- 발견 및 보상: 연구자 Sammy Azdoufal이 취약점을 발견하여 제보했고, DJI는 이를 인정하여 3만 달러의 포상금을 지급했다.
- DJI의 입장: 외부 보안 연구자들의 협력을 강화하고 있으며, Romo의 보안 강화를 위해 제3자 보안 감사를 지속적으로 시행하겠다고 밝혔다.
- 의문점: DJI는 공식 블로그를 통해 문제가 이미 해결되었다고 홍보하고 있으나, 실제 시스템 전반의 패치는 한 달 정도 더 소요될 것으로 예상되어 사측의 해결 완료 주장에는 다소 회의적인 시각이 존재한다.
시사점
IoT 기기의 보안 인증 절차가 허술할 경우 수천 대의 기기가 한꺼번에 타인의 손에 노출될 수 있음을 보여준 사례다. 관련 인증(ETSI, EU, UL 등)을 받았더라도 실질적인 보안성을 완벽하게 보장하지는 못한다는 점이 드러났다.