중국의 드론 거물 DJI가 야심 차게 내놓은 로봇 청소기가 심각한 보안 결함으로 전 세계 7,000여 가구의 사생활을 노출하는 사고가 발생했다. 한 사용자가 게임기 컨트롤러로 자신의 청소기를 조종하려다 우연히 전 세계 다른 사용자들의 기기 제어권까지 손에 넣으면서 이 같은 사실이 드러났다.
27일(현지시간) IT 전문 매체 더 버지(The Verge)와 현지 외신에 따르면, 스페인의 한 휴가용 숙박 임대업체에서 AI 전략을 담당하는 새미 아주드팔(Sammy Azdoufal)은 최근 DJI의 첫 로봇 청소기 모델인 ‘로모(Romo)’를 구매했다가 황당한 경험을 했다.
그는 AI 코딩 도구를 활용해 PS5 컨트롤러로 자신의 청소기를 운전할 수 있는 전용 앱을 개발했다. 그런데 이 앱이 DJI 클라우드 서버에 접속하자, 아주드팔의 보안 토큰이 마치 ‘마스터키’처럼 작동하며 전 세계 24개국에 퍼져 있는 약 7,000대의 로모 유닛에 대한 접근 권한을 부여했다.
아주드팔은 시연을 통해 단 9분 만에 수천 대의 기기를 목록화하고 10만 개 이상의 메시지를 수집했다. 그는 14자리 시리얼 번호만으로 다른 국가에 있는 기자의 아파트 평면도를 정확히 그려냈으며, 카메라를 통해 실시간 영상 피드까지 확인했다. 마음만 먹으면 타인의 집 안 소리를 듣거나 배터리 상태를 확인하는 것도 가능했다.
조사 결과, 이번 취약점은 기기와 서버 간 통신 프로토콜인 MQTT(사물인터넷 메시징 프로토콜)의 권한 검증 문제에서 비롯된 것으로 밝혀졌다. 아주드팔은 “해킹이나 불법적인 침입을 한 것이 아니라 내 기기의 인증 토큰을 추출했을 뿐인데 서버가 수천 명의 데이터를 돌려줬다”며 시스템의 허술함을 지적했다.
논란이 커지자 DJI 측은 “지난 1월 말 내부 검토를 통해 해당 문제를 확인했으며, 2월 8일과 10일 두 차례에 걸쳐 패치를 완료했다”고 해명했다. 또한 모든 기기 통신은 암호화(TLS)를 거친다고 강조했다.
하지만 전문가들의 시선은 여전히 따갑다. 아주드팔은 “서버에 저장된 사용자 데이터가 평문(Plain text) 상태로 저장되어 있어 누구든 접근만 하면 읽을 수 있는 구조적 결함이 여전하다”며 추가적인 보안 패치가 필요하다고 주장했다.
이번 사건은 미국 연방통신위원회(FCC)가 보안 우려를 이유로 DJI 신제품의 미국 내 판매 승인을 차단하는 등 규제를 강화하는 민감한 시기에 터져 나와 더욱 파장이 커질 전망이다. DJI는 지난 20일 FCC의 결정에 불복해 소송을 제기한 상태다.
지난해 중국과 유럽 시장에 출시된 DJI 로모는 하이엔드 모델 기준 1,899유로(약 270만 원)의 고가 제품이다. 이번 사태로 ‘집 안의 감시자’가 될 수 있다는 로봇 청소기에 대한 소비자들의 보안 불안감은 더욱 증폭될 것으로 보인다.
