스마트홈 제품은 편리하지만 와이파이를 이용해 누군가 악용할 가능성도 있다. 최근 로봇 청소기를 통한 해킹이 문제가 되고 있다.

엔터프라이즈 보안업체인 포지티브 테크놀로지(Positive Technologies)의 연구자들은 중국의 동관 디키(Dongguan Diqee) 360 시리즈 로봇 청소기에 존재하는 보안상 취약성에 관한 자세한 정보를 공개했다.

이 로봇 청소기는 광둥성 둥관시에 소재한 스마트홈 기기 업체 디키 인텔리전스(Diqee Intelligence)가 개발한 제품으로 와이파이와 360도 회전 카메라를 탑재해 집안을 돌아다니고 감시하는 다이내믹 모니터링 기능을 갖췄다. 하지만 이 기능이 해커에게 악용될 위험이 보고된 것이다.

CVE-2018-10987로 알려진 리모트로 코드가 실행되는 취약성으로 유출된 기기의 MAC 주소를 파악한 해커는 시스템 관리자 권한을 해킹할 수 있다. 이번 리포트에 따르면 취약성은 REQUEST_SET_WIFIPASSWD 함수 내에 존재한다. 이 함수를 사용하기 위해서는 인증이 필요하지만, 기본 아이디/패스워드가 admin/888888로 간단해 쉽게 해킹이 가능하다.

취약성이 확인된 것은 동관 디키 360 로봇 청소기뿐이지만 연구자들은 같은 비디오 모듈을 탑재한 옥외 감시 카메라나 스마트 도어 도어폰, 디지털 비디오 레코더 등도 이 취약성에 노출될 수 있음을 알렸다. 디키에서는 로봇 청소기를 다른 브랜드로도 판매 중이며, 연구자는 이러한 OEM 제품에도 비슷한 취약성이 있을 것으로 보고 있다.

포지티브 테크놀로지는 로봇 청소기는 다른 리모트 코드 취약성, CVE-2018-10988도 존재하는 것도 발견했는데, 이를 악용하려면 청소기의 SD 카드 슬롯에 물리적으로 접속해야 하는 만큼 가능성은 희박한 것으로 평가한다.

이번 문제가 된 로봇 청소기에는 “개인정보 보호 커버”가 부속된다. 디키에 따르면 이는 물리적으로 카메라를 덮어서 정보 유출을 방지하는 것이다. 포지티브 테크놀리지는 제조사에게 해당 취약성을 통보한 상태지만 수정 패치는 나오지 않았다.

포지티브 테크놀리지의 사이버 보안 책임자는 “이 로봇 청소기를 포함한 사물인터넷 기기는 모두 해킹되어 DDoS 공격의 발판으로 이용될 가능성이 있다. 그럴 경우 소유자에게 직접적인 피해는 없다. 다만 나이트 비전 웹 카메라, 스마트폰에 의한 내비게이션, 와이파이를 해커가 악용한다면 소유자를 몰래 감시할 수 있게 된다. 최대 감시능력을 가진 이른바 바퀴 달린 도청기를 집안에 두는 셈”이라고 평가했다.

베타뉴스 우예진 기자 (w9502@betanews.net)
Copyrights ⓒ BetaNews.net

• • 목록
  • 위로