DJI 로봇 청소기 7,000대 무단 접근: AI 코딩 도구로 발견된 보안 취약점

우연한 발견, 심각한 보안 취약점

소프트웨어 엔지니어 사미 아즈도우팔(Sammy Azdoufal)은 자신의 DJI 로봇 청소기를 게임 컨트롤러로 조종하는 커스텀 앱을 만들고 싶었습니다. 그는 AI 코딩 어시스턴트를 활용해 기기가 DJI의 원격 클라우드 서버와 통신하는 방식을 역분석했습니다. 그런데 그 과정에서 예상치 못한 사실을 발견했습니다.

7,000대 기기에 대한 무단 접근

자신의 기기에 접근하는 데 사용한 인증 정보가 24개국에 걸쳐 약 7,000대의 다른 DJI 로봇 청소기에도 동일하게 적용됐던 것입니다. 이 백엔드 보안 버그로 인해 다른 사용자들의 실시간 카메라 피드, 마이크 오디오, 실내 지도, 기기 상태 데이터 전체에 접근하는 것이 가능했습니다.

기기 소유자들은 자신의 가정 내부가 노출됐다는 사실을 전혀 알지 못했습니다. 악의적인 행위자가 이 취약점을 이용했다면, 수천 가정의 실내 구조, 일상 생활 패턴, 음성 대화까지 감시할 수 있는 상황이었습니다.

스마트 홈 기기의 보안 위협

이 사례는 카메라와 마이크가 탑재된 로봇 청소기가 단순한 가전제품이 아닌 잠재적 감시 장치가 될 수 있음을 여실히 보여줍니다. 특히 이 취약점이 전문 해커가 아닌 일반 개발자에 의해 발견됐다는 점이 주목됩니다. AI 코딩 도구의 발전으로 리버스 엔지니어링의 진입 장벽이 낮아지면서, 이러한 종류의 취약점 발견은 앞으로 더욱 빈번해질 것으로 전망됩니다.