IoT(Internet of Things)는 점점 우리 생활에 깊게 자리잡고 있습니다. 대부분의 최신 가전제품은 이미 인터넷에 연결되어 어플리케이션 등을 통해 상태를 실시간으로 보여주거나 혹은 원격으로 조작을 주고받는 기능을 탑재하고 있죠. 심지어 AI가 탑재되면서 사용자의 행동을 분석, 자동으로 작동하기도 합니다. 하지만 최근 미국에서는 꽤나 무서운 이야기가 나돌고 있는데요.

​우리집 로봇청소기가 나도 모르게 나를 훔쳐본다?

지난 23일, 미네소타주에 사는 변호사 다니엘 스웬슨은 TV를 시청하던 중 로봇청소기에서 끊어진 라디오 신호 같은 소리와 누군가의 목소리를 들었고, 청소기 앱에서 낯선 사람이 자동 먼지 청소기의 라이브 카메라 피드와 원격 제어 기능을 해킹한 것을 발견했습니다. 기계 오류 때문이라고 생각했던 스웬슨은 비밀번호를 다시 설정하고 청소기를 재부팅했지만 갑자기 로봇청소기는 멋대로 움직이기 시작하면서 가족 앞에서 욕설을 뱉았습니다.

비슷한 시기 텍사스주에서도 에코백스 로봇청소기가 주인을 향해 인종차별적 욕설을 퍼부은 사례가 보고됐고, 로스앤젤레스에서는 가족들의 반려견을 계속 쫓아다니면서 위협하기도 했습니다. 얼마나 많은 제품이 해킹됐는지, 해커가 누구인지는 아직까지는 밝혀지지 않았습니다. 제조사인 에코백스 측은 결함이 수정됐으며, 11월에 기기를 업그레이드하겠다고 밝혔지만 불안감은 커져만 가고 있습니다.

​고성능 IP 카메라를 통해 사용자 사생활 노출 위험

다른 가전과는 달리 로봇청소기는 고성능 IP(Internet Protocol) 카메라를 통해 사물을 인식하는 기능이 핵심이기 때문에 해킹되면 사용자의 사생활이 그대로 노출될 수 있다는 위험성이 있습니다. 이런 상황에서 이번에 해킹 사고가 발생한 에코백스는 중국 업체인데요. 비록같은 중국 업체지만 점유율 1위인 로보락에 대한 해킹 사례는 아직까지는 알려지지 않았으나 국내 중국산 로봇청소기의 시장 점유율이 80%나 될 정도로 높아서 중국산 로봇청소기에 대한 해킹 사고 우려가 제기되고 있습니다.

에코백스 제품에 대한 보안 우려는 이전에도 제기된 바 있습니다. 지난 8월 미국 라스베이거스에서 열린 'Defcon 해킹 컨퍼런스'에서 보안 연구원인 데니스 기스와 브레일린은 에코백스 로봇이 해킹에 취약하다고 지적했는데요.

두 연구원은 여러 에코백스 제품을 분석한 결과, 블루투스를 통해 로봇을 해킹하고 원격으로 마이크와 카메라를 몰래 켜는 데 악용될 수 있는 여러 가지 문제점을 발견했다고 합니다. 당시 연구원들은 에코백스에 취약점을 보고하기 위해 연락했지만 회사로부터 아무런 답변도 듣지 못했으며, 취약점이 아직 수정되지 않았다고 했습니다. 

에코백스측은 한참이 지나서야 이에 대한 개선을 하였지만, 당시 대변인을 통해 '연구원들이 발견한 결함을 회사가 수정하지 않을 것'이라고 말하며 "사용자는 이에 대해 지나치게 걱정할 필요가 없다는 점을 확신할 수 있습니다"고 말하면서 문제가 되기도 했습니다.

​블루투스 수신 과정의 보안 취약점 그리고 허술한 경고 장치

연구진에 따르면 해당 취약점은 블루투스 수신 과정에 있었다고 합니다. 로봇청소기는 전원을 켤 때 20분 동안, 그리고 하루에 한 번 자동으로 재부팅될 때 블루투스가 활성화되는데요. 

이 때 공격자가 130m 밖에서 적당한 블루투스 기기를 통해 악성 페이로드를 보내면 바로 로봇에 탑재된 리눅스 운영체제를 해킹, 와이파이 자격 증명을 탈취하고 이후 지속적으로 와이파이를 통해 기기를 제어, 방 구조가 담겨 있는 저장장치에 접근하거나 카메라, 마이크 등에 액세스할 수 있다고 말했습니다.

로봇청소기에는 5분마다 카메라가 켜져 있다는 것을 알려주는 오디오 파일이 있지만 한번 취약점을 공략당하면 파일을 손쉽게 삭제하거나 빈 파일로 바꾸는 등 은밀하게 활동할 수 있게 됩니다. 문제는 여기서 활용되는 IP카메라입니다. 

공격자가 청소기를 조작하는 동안 로봇청소기는 스파이가 되기 때문입니다. 로봇에는 주변 사람들에게 카메라와 마이크가 켜져 있음을 경고하는 하드웨어 표시등이나 기타 표시기가 없습니다. 유일한 경고장치는 소리 뿐이기 때문에 공격자는 아무런 흔적 없이 손쉽게 해킹할 수 있었던 것입니다. 

​단순한 IP카메라 해킹을 넘어 클라우드 해킹까지

문제는 또 있었습니다. 로봇에 저장된 데이터 중에는 에코백스 클라우드 서버와 연결되는 인증 토큰이 있는데요. 이 토큰은 기기마다 고정된 채 바뀌지 않기 때문에 계정을 아무리 초기화했다고 하더라도 공격자는 클라우드에 몰래 접속, 데이터를 악용할 수 있습니다. 

누군가가 에코백스사의 로봇청소기나 로봇 잔디깎이를 집어 올리면 PIN을 입력하도록 강제하는 도난 방지 메커니즘 역시 PIN값이 시스템 내부에 암호화되지 않은 평문으로 저장되어 있어 공격에 너무 취약합니다.

블루투스 취약점이 진입점이 되어 IP카메라에 대한 해킹, 그리고 나아가 클라우드에 대한 해킹까지 가능하게 된 것이죠. 문제는 이 IP 카메라는 로봇 청소기에만 있는 것이 아니라는 겁니다. 가정집 돌봄용이나 상업/공공시설 등에 방범용으로 광범위하게 보급되어 있는데요. 

일각에서는 중국산 IP 카메라는 제조사가 서버/기기에 사용자 정보를 빼갈 수 있는 '백도어'를 심어둔 제품도 존재한다고 말한 적이 있습니다. 가격적 이점으로 인해 중국산 제품 점유율이 80%를 넘는 상황에서, 또 한국산 마크를 달고 있다고 하더라도 ODM/OEM 제품이 많기 때문에 100% 믿을 수 없는 경우도 많죠.

​빠르게 복잡해지는 IoT, 예측하기 어려워지는 취약점 

실제 LG 홈봇, 국내명 로보킹 역시 지난 2017년에 취약점을 지적 받은 바 있습니다. 글로벌 보안 업체 연구진이 발견한 취약점을 악용하면 사용자의 홈 애플리케이션 계정에 연결된 기기를 해커가 원격 제어할 수 있다는 건데요. 

해당 업체는 발견한 취약점에 대해 LG에 공지했으며, 이에 LG는 현재 패치된 버전의 스마트씽큐(SmartThinQ) 애플리케이션과 기기를 출시했다고 설명했습니다. 물론 당시 공격자는 보호망을 우회하기 위해 클라이언트 레벨에서 애플리케이션을 다시 컴파일, 트래픽을 가로채는 공격을 했기에 이번 공격에서 쓰인 취약점보다는 더 복잡하고, 시행이 쉽지 않습니다.

하지만 그렇다 하더라도 가정용 무선 인터넷, 사물 인터넷, IP 카메라, 클라우드 저장소, 모바일 어플리케이션 등 너무나 다양한 시스템이 취약하게 얽혀 있는 현재의 IoT 상황에서는 또 다른 문제가 언제 어디서 발생할지 아무도 예측하기 힘든 상황이 되어버렸습니다. 이미 중국 음란 사이트에는 해킹된 IP카메라를 통해 불법 촬영된 한국 영상이 판매되고 있는 것이 확인되기도 했는데요.

​개인정보 보호를 위한 기술적 대책과 개인 보안 인식 개선 필요성

실제로 미국에서 IP캠을 조사한 결과 38만개가 넘는 IP 카메라가 제한 없이 누구나 볼 수 있도록 공개된 상태였으며, 아울러 30개 제조업체 가운데 27개 제조업체가 1234, 0000 등 누구나 쉽게 알 수 있는 기본 비밀번호로 설정된 것으로 확인되었습니다. 

그래서 개인정보보호위원회와 한국인터넷진흥원은 카메라가 탑재된 로봇청소기 등 국민 생활밀착형 개인정보 수집 기기에 대해 '개인정보보호 중심 설계(PbD)' 인증을 추진하고 있고, 지난해 가정용 방범카메라에 국내 최초 PbD 인증을 부여하기도 했습니다.

고학수 개인정보위 위원장은 인증제도와 관련하여 "청소기에 카메라가 달린 경우가 있는데, 집안 상황을 상시로 찍을 거란 불안감을 가진 소비자들이 있다"며 "우선적으로는 로봇청소기 등 한국에서 소비자들의 관심이 높은 영역부터 순차적으로 진행하고 있고, 한국의 정보주체를 상대로 마케팅하는 제품은 잠재적으로 다 포함된다"고 말하기도 했습니다.

하지만 사용자 역시 IoT는 굉장히 복잡한 체계와 다양한 장비가 결합되어 있다는 것을 인지하고 단순히 특정 장비를 사거나 사지 않는데서 그치지 않고 이런 보안 문제는 모든 전자기기 제품에 대한 총체적인 문제라는 점을 인지해야 합니다. 

개인정보 보호를 위해서는 각각의 장치마다 기본값이 아닌 별도의 복잡한 비밀번호를 사용하고, 펌웨어나 운영체제를 지속적으로 최신화, 꾸준한 점검을 하면서 문제가 있더라도 조기에 파악할 수 있도록 해야 할 것입니다.