IoT 보안 해킹 백도어 로봇 잔디깎이 Yarbo

독일 출신의 백햇 해커 안드레아스 마크리스(Andreas Makris)는 Yarbo의 로봇 잔디깎이(Robot Lawn Mower)가 심각한 보안 허점을 지니고 있음을 증명했다. 그는 원격으로 로봇을 조종해 《더 버지》 기자 숀 홀리스터(Sean Hollister)의 몸을 짓눌렀다. 홀리스터는 “로봇이 내 가슴 위로 기어오르고 있었다”며 “만약 마크리스가 제때 멈추지 않았다면 칼날이 내 몸을 스쳤을 것”이라고 밝혔다.

마크리스는 Yarbo 로봇의 보안 시스템이 ‘완전히 안전하지 않다’고 지적했다. 그는 로봇의 긴급 정지 버튼을 눌러도 해커가 다시 명령을 보내 로봇을 재가동할 수 있다고 설명했다. 더 심각한 문제는 Yarbo 로봇의 루트 비밀번호가 모든 기기에 동일하게 설정되어 있었다는 점이다. 이는 해커가 전 세계 Yarbo 로봇을 한꺼번에 장악할 수 있음을 의미한다.

마크리스는 전 세계 1만 1천 대 이상의 Yarbo 로봇 위치를 지도에 표시하기도 했다. 이 로봇들은 주인의 이메일, Wi-Fi 비밀번호, 집 GPS 좌표까지 유출될 위험이 있었다. 심지어 Yarbo는 로봇의 펌웨어를 업데이트할 때마다 루트 비밀번호를 기본값으로 재설정하는 문제도 있었다.

의도된 백도어? Yarbo의 주장과 해커의 반박

마크리스는 Yarbo가 로봇에 ‘의도적으로 백도어를 설치했다’고 주장했다. 그는 “이 백도어는 모든 로봇에 자동으로 배포되며, 소유자가 비활성화할 수 없고 제거해도 복구된다”고 밝혔다. Yarbo는 마크리스의 경고를 무시했고, “Yarbo는 완전히 안전하며 소유자의 통제 하에 있다”고 주장했다.

이에 홀리스터는 직접 실험에 나서 로봇 아래에 누워 saw the mower’s blades looming over him. 그는 “100파운드의 금속과 플라스틱, 그리고 너무나도 쉽게 해킹 가능한 컴퓨터가 내 몸을 짓누를 때, 마크리스가 다행히 멈춰주지 않았다면 이 실험은 결코 안전하지 않다는 사실을 깨달았다”고 wrote.

로봇 보안의 새로운 위협

이 incident는 IoT(사물인터넷) 기기들의 보안 취약점이 얼마나 심각한지를 보여준다. Yarbo의 경우, 펌웨어 업데이트 시 루트 비밀번호가 초기화되는 문제와 백도어 설치 가능성 등 여러 보안 결함이 확인됐다. 이는 단순히 잔디깎이뿐만 아니라 가정용 로봇, 드론, 자동차 등 다양한 IoT 기기에도 적용될 수 있는 문제다.

마크리스는 Yarbo에 보안 패치를 요청했지만, 회사는 아무런 조치를 취하지 않았다. 그는 자신의 findings를 공개하기로 결정했으며, “이 문제는 Yarbo만의 문제가 아니라 모든 IoT 기기 제조사가 직면한 문제”라고 강조했다.

출처: Futurism
버커니어스, 3라운드WR 허스트와 14명 미선발 FA 계약 완료
← 이전

버커니어스, 3라운드WR 허스트와 14명 미선발 FA 계약 완료

 BMW Z4의 마지막 생산 종료…30년 역사幕
다음 →

BMW Z4의 마지막 생산 종료…30년 역사幕