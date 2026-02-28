집 안 구조를 기억하는 로봇청소기가 외부 서버를 통해 노출될 수 있었다면 어떨까. 개인 개발자 한 명이 DJI 로봇청소기 통신 구조를 분석하던 과정에서 전 세계 약 7000대 기기의 데이터 응답이 확인되며 스마트홈 보안 우려가 커지고 있다. 일부 기기에서는 집 내부 평면도와 청소 위치 정보가 외부 요청에 응답할 수 있는 구조였던 것으로 드러났다.
미국 IT 매체 더버지는 24일(현지시간) 스페인 바르셀로나의 소프트웨어 엔지니어 새미 아즈두팔이 DJI의 로봇청소기 ‘로모(Romo)’ 통신 구조를 분석하는 과정에서 보안 취약점을 발견했다고 보도했다.
● “내 기기만 조종하려다”…24개국 6700대 동시 응답
아즈두팔은 자신의 로봇청소기를 플레이스테이션(PS5) 게임패드로 조종하는 프로그램을 제작하기 위해 DJI 서버와의 통신 프로토콜을 분석했다. 이 과정에서 자신의 기기뿐 아니라 전 세계 다수의 로봇청소기가 동일한 서버 요청에 응답하는 현상이 나타났다고 밝혔다.
더버지 시연에 따르면 약 9분 만에 24개국에서 작동 중인 6700여 대 기기가 지도상에 표시됐으며, 각 기기는 약 3초 간격으로 기기 일련번호와 청소 중인 공간, 이동 경로 등 운영 정보를 서버로 전송하고 있었던 것으로 전해졌다.
아즈두팔은 별도의 서버 침입이나 무차별 공격 없이 자신의 기기 인증 토큰을 활용했을 뿐이라고 주장했다. 그러나 서버 측 권한 검증 구조에 취약점이 있어 다른 사용자 기기의 데이터 흐름까지 확인 가능한 구조였다고 설명했다.
● 집 내부 2D 지도·위치 추정까지 가능
취약점이 확인되던 당시에는 일부 기기에서 로봇청소기가 생성한 실내 2차원(2D) 평면도와 청소 경로 정보에 접근할 수 있었던 것으로 전해졌다. 기기의 인터넷 프로토콜(IP) 정보를 기반으로 대략적인 위치 추정도 가능했다.
더버지 기자가 제공한 14자리 일련번호만으로 해당 기기가 거실을 청소 중이며 배터리가 약 80% 남아 있다는 정보가 확인되는 시연도 이뤄졌다.
다만 보도 시점 기준으로 타인의 로봇을 실제로 원격 조종하거나 카메라·마이크를 통해 실시간 영상과 음성을 확인하는 기능은 제한된 상태였다고 매체는 전했다.
● “암호화는 됐지만, 접근 통제는 미흡”
DJI는 데이터 전송이 TLS(전송 구간 암호화) 방식으로 보호되고 있었으며, 해당 취약점은 이미 수정됐다고 밝혔다. 회사 측은 권한 검증 문제를 확인한 뒤 업데이트를 통해 패치를 완료했으며 사용자 추가 조치는 필요 없다고 설명했다.
그러나 보안 전문가들은 이번 사안의 핵심이 암호화 여부가 아니라 서버 내부 접근 통제 구조에 있다고 지적했다. IoT 기기에서 사용하는 통신 구조에서는 사용자별 접근 통제가 충분하지 않을 경우 인증된 이용자가 다른 기기의 데이터까지 확인할 수 있는 구조가 될 수 있다는 것이다.
아즈두팔은 “TLS는 데이터 전송 경로만 보호할 뿐, 인증된 사용자 간 데이터 접근까지 막아주지는 않는다”고 말했다.
● 스마트홈 보안 리스크 재부각
이번 사건은 카메라와 마이크, 공간 지도 데이터를 수집하는 스마트홈 기기가 클라우드 서버 보안 구조에 따라 사생활 침해 위험으로 이어질 수 있음을 보여준 사례로 평가된다.
보안 업계에서는 생성형 AI 기반 코딩 도구 확산으로 통신 구조 분석과 역설계 장벽이 낮아지면서, IoT 기기의 권한 설계와 접근 통제 체계의 중요성이 더욱 커지고 있다고 지적한다.
최현정 기자 phoebe@donga.com
