에코백스 로봇청소기 ‘디봇 X2’. 에코백스 홈페이지 캡처
미국 곳곳에서 로봇청소기가 며칠 새 해킹당하는 일이 벌어졌다. 해킹당한 로봇청소기에서 욕설까지 흘러나왔고 가정에서 키우는 개를 쫓아내는 일도 있었다.
최근 호주 ABC 뉴스에 따르면 미국 미네소타주에서 변호사로 활동 중인 다니엘 스웬슨은 지난 5월 24일 TV를 보던 중 로봇청소기가 오작동하는 모습을 목격했다. 그는 “무선 신호가 끊어진 것 같았는데 사람 목소리 같은 음성이 조각조각 흘러 나왔다”고 전했다.
로봇청소기 앱을 살펴보니 제3자가 로봇청소기의 실시간 카메라 영상과 원격 제어 기능에 접속한 상태였다.
스웬슨은 처음엔 흔히 발생하는 오류 정도로 치부하고 비밀번호를 재설정한 뒤 로봇청소기를 재부팅했다.
당시 그는 아내와 13살 아들과 함께 거실에 있었는데 다시 작동하는 로봇청소기에서 이번엔 또렷하게 사람 목소리가 흘러나왔다. 로봇청소기는 그의 아들 바로 앞에서 한참 동안 인종차별적인 표현이 섞인 욕설을 퍼부었다.
스웬슨은 “아마도 10대 청소년의 목소리 같았다”면서 “해킹범들은 그저 다른 가족을 괴롭히기 위해 기기에서 기기로 옮겨 다니는 걸지도 모른다”고 추측했다.
그는 결국 로봇청소기 전원을 꺼버렸고 차고에 두고는 다시는 사용하지 않고 있다.
스웬슨은 그동안 로봇청소기를 공용 욕실이 있는 층에서 사용했다며 그동안 해킹범들이 로봇청소기 카메라를 통해 가족들이 벗은 모습을 봤을지도 모른다고 걱정했다.
이 때문에 차라리 해킹범들이 욕설을 내뱉은 게 다행이라면서 그렇지 않았다면 지금도 로봇청소기가 집안 곳곳을 돌아다니며 가족들을 몰래 지켜봤을 것이라고 말했다.
로봇청소기 해킹 피해를 호소한 다니엘 스웬슨. 호주 ABC 뉴스 캡처 (본인 제공)
최근 로봇청소기를 해킹당한 사례는 스웬슨 가족뿐만이 아니었다.
스웬슨 가족의 로봇청소기가 해킹당한 날 미국 로스앤젤레스(LA)의 한 가정에서는 로봇청소기가 이 집에서 키우는 개를 내쫓았다.
당시 로봇청소기는 원격 조종된 상태였고 스피커에서는 욕설이 흘러나왔다.
5일 후에는 엘파소의 한 가정에서 로봇청소기가 집주인을 향해 인종차별적인 모욕을 퍼부었고, 결국 집주인은 로봇청소기의 전원을 꺼야 했다.
문제는 해킹당한 로봇청소기가 모두 같은 회사의 동일 모델이라는 점이다.
ABC 보도에 따르면 해킹을 당한 로봇청소기는 모두 중국산 제품인 ‘에코백스 디봇 X2’였다.
이 모델은 이달 초 ABC가 보안전문가의 제보에 따라 실제 해킹을 시연해 보도한 모델이다.
6개월 전 보안전문가들은 이 로봇청소기와 연동 앱의 심각한 보안 결함을 에코백스에 알리려고 했다.
가장 심각한 문제는 블루투스 장치 결함으로, 100m 떨어진 곳에서도 기기에 완벽하게 침투할 수 있었다.
스웬슨은 해킹 피해를 당한 뒤 에코백스 측에 소비자 불만을 접수했다. 제조사 측은 처음엔 ‘피해 상황을 직접 영상으로 찍어서 보내달라’고 요구했다.
스웬슨은 “영상으로 찍는 건 가능하지만 그보다는 우리 집 거실 한복판에서 우리를 지켜보고 녹화하는 로봇청소기를 다시 켠다는 게 너무 꺼림칙하다”고 제조사 측에 전했다.
그는 당시 여러 가정에서 비슷한 일을 겪었다는 사실이 알려졌는데도 제조사 측은 스웬슨의 말을 믿지 않는 것 같았다고 전했다.
이후 제조사 측은 스웬슨에게 “귀하의 계정과 비밀번호가 허가받지 않은 인물에게 넘어갔다”면서 해킹범의 IP 주소를 알아내 차단했다고 전했다.
그러면서 스웬슨이 여러 웹사이트에서 동일한 아이디와 비밀번호를 재사용하는 과정에서 그의 계정이 탈취당했을 가능성이 높다고 제조사 측은 설명했다.
또 제조사 측은 ABC에 “에코백스의 시스템 결함으로 계정이 해킹당했다는 증거는 찾지 못했다”고 밝혔다.
즉 이번 해킹의 원인이 아이디와 비밀번호를 잘못 관리한 소비자에게 있을 가능성이 높고 자사 시스템에서는 문제점을 발견하지 못했다는 것이다.
그러나 보안전문가들의 의견은 다르다. 소비자의 아이디와 비밀번호가 유출됐다고 하더라도 이것만 가지고 로봇청소기의 카메라와 원격 제어에 접근하기는 어렵다는 것이다. 이러한 기능은 4자리의 PIN으로 보호되기 때문이다.
보안전문가 데니스 기제와 브레일린 루트케는 2023년 12월에 열린 해킹 컨퍼런스에서 에코백스의 해당 모델에서 PIN 코드를 우회할 수 있는 취약점을 발견했다고 발표했다. 이들은 해당 취약점을 대중에 공개하기 전 에코백스에 이를 경고했다고 밝혔다.
에코백스 관계자는 해당 결함이 현재 해결된 상태라고 밝혔지만 두 전문가는 제조사 측 해결책이 보안 구멍을 막기에 충분하지 않다고 ABC에 전했다.
에코백스 측은 오는 11월 X2 시리즈 이용자들에게 보안 업그레이드를 지원할 것이라고 밝혔다.
