더버지(The Verge) 기자가 잔디깎이 로봇에 들이받힐 뻔했다. 오작동이 아니었다. 누군가가 원격으로 로봇을 빼앗아 조종한 거다. 이 사건의 주인공은 중국 제조사 야보(Yarbo)의 로봇 잔디깎이. 수천 대에 달하는 기기 전체에 같은 취약점이 존재했고, GPS 위치·Wi-Fi 비밀번호·이메일 주소까지 줄줄 새는 구조였다는 게 드러났다. 단순한 정보 유출로 끝나지 않고 물리적 위협으로 번진 사례라는 점에서, IoT 기기 보안의 현실을 가장 직접적으로 보여준 사건으로 기록됐다.
어떻게 뚫렸나 — 사건 경위
구조 자체가 문제였다. 야보 로봇 잔디깎이는 특정 포트를 그냥 열어두고 있었다. 기본 해킹 지식만 있으면 외부에서 접근하는 데 수 분도 안 걸린다는 뜻이다. 더버지 기자는 실제로 해킹된 기기가 자신을 향해 움직이는 상황을 직접 겪었다고 전했다. 날이 돌아가는 상태로. 이건 좀 다른 차원의 이야기다. 정보가 새는 수준이 아니라 기계가 사람을 향한 거니까.
- 해커는 기기의 GPS 위치를 실시간으로 파악할 수 있었다. 언제 집에 있는지, 기기가 어디서 작동하는지가 고스란히 노출되는 셈이다.
- Wi-Fi 비밀번호와 이메일 주소까지 탈취 가능했다. 잔디깎이 하나 뚫리면 가정 내 네트워크 전체가 위험해진다.
- 이동 경로 제어와 날 작동도 원격에서 됐다. 물리적 공격이 현실이 되는 지점이다.
- 단일 기기 문제가 아니었다. 야보 로봇 수천 대에 같은 취약점이 존재한다고 파악됐다.
야보의 공식 입장 — 약속만으로 될까
더버지 보도가 나가자 야보는 입장문을 냈다. 취약점 인정, 보안 패치 약속, 재발 방지 대책. 전형적인 수순이다. 솔직히 이 정도 수습 발표는 이제 공식처럼 굳어져 있어서, 얼마나 실질적인 변화가 따라오는지를 봐야 진짜 판단이 가능하다. 제조사가 사후 패치를 약속하더라도, 이미 출고된 수천 대의 기기가 업데이트를 제때 받는다는 보장은 없다. 자동 업데이트 구조가 설계돼 있지 않다면 더욱 그렇다.
설계 단계부터 보안을 신경 쓰지 않았다는 비판은 피하기 어렵다. 포트를 아예 열어둔다는 건 기본 보안 개념이 빠진 설계다. 이번 사건을 계기로 야보가 실제로 어떤 수준의 보안 강화 조치를 내놓는지 — 그걸 봐야 신뢰를 논할 수 있다.
IoT 기기, 편리함의 반대편
스마트 스피커, 카메라, 도어락, 로봇 청소기. 이 중 보안 취약점이 한 번도 보고된 적 없는 제품이 있기는 한 건지. 야보 사건은 새로운 문제가 아니다. 다만 이번엔 ‘물리적 공격’이 가능하다는 점이 달랐다. 정보 유출에서 멈추는 게 아니라, 기계가 사람을 향해 움직인다는 얘기다.
IoT 기기는 기본적으로 항상 네트워크에 연결돼 있다. 편리함의 조건이 동시에 공격 표면이 된다. 제조사 입장에서 보안에 돈을 쓰는 게 단기적으로는 손해처럼 보이겠지만, 이런 사건 하나로 브랜드 전체가 흔들리는 걸 보면 계산이 달라져야 한다. 집 안에 들여놓는 기기가 감시 장치나 공격 수단으로 변할 수 있다는 인식이 이제는 필요하다. 야보 사태가 딱 그 증거다.
국내 시장도 남의 일이 아니다
한국은 로봇 청소기 보급률이 세계 최상위권이다. 최근엔 로봇 잔디깎이나 스마트 가전으로 영역이 빠르게 확장되고 있다. 해외 직구나 저가 브랜드 제품을 쓰는 경우도 많아졌고, 보안 검증 없이 가정 내 네트워크에 연결되는 기기도 그만큼 늘었다. 이 상황에서 야보 사례는 남의 이야기가 아니다.
국내 제조사들도 이번 사례를 가볍게 볼 수 없다. 위치 정보, Wi-Fi 정보, 영상 데이터처럼 사생활에 직결된 정보를 다루는 기기일수록 보안 기준을 더 촘촘하게 잡아야 한다. 소비자 입장에서도 가격만 보고 결정하는 습관은 이제 좀 바꿀 필요가 있다. 값싼 해외 직구 기기나 검증되지 않은 브랜드의 IoT 제품을 살 때는 각별히 신중하게 접근하는 게 맞다. 결국 정부와 기업, 사용자 모두가 안전한 스마트홈 생태계를 함께 만들어야 한다는 말이 추상적으로 들릴 수 있지만, 야보 사태는 그게 지금 당장의 현실임을 실증했다.
출처: The Verge
