잔디 깎다 해킹당했다: 로봇이 무기가 될 때

보안 연구자가 앱 하나로 이웃집 로봇 잔디깎기를 원격 조종해 기자를 들이받았다. 날이 달린 채로.

무슨 일이 있었나

미국 IT 매체 더 버지(The Verge)는 이틀 연속 중국 스마트 가전 기업 야보(Yarbo)의 보안 결함을 보도했다. 보안 연구자가 발견한 취약점은 단순하다 못해 당혹스러운 수준이었다. 야보의 로봇 잔디깎기는 인증 절차가 허술해, 제3자가 기기의 GPS 좌표, 집 와이파이 비밀번호, 사용자 이메일 주소를 손쉽게 탈취할 수 있었다. 더 나아가 기기 자체를 원격으로 조작하는 것도 가능했다. 날이 달린 기계를 말이다.

야보는 이틀 뒤 1,200단어 분량의 공식 입장을 발표했다. 보안 연구자의 발견을 전면 인정하고, 사과했으며, 현재 원격 접속 기능을 일시 차단했다고 밝혔다. 구체적인 보안 개선 계획도 공개했다. 적어도 대응 속도와 투명성만큼은 많은 기업들이 보여주는 '묵묵부답' 또는 '최소한의 인정'과는 달랐다.

왜 잔디깎기 하나가 이렇게 심각한가

문제의 핵심은 야보라는 브랜드가 아니다. 구조다.

광고

광고주 모집

[email protected]

광고

현대의 IoT 기기는 편의를 위해 클라우드 서버를 경유해 작동한다. 스마트폰으로 집 밖에서 기기를 제어하려면, 기기와 앱 사이 어딘가에 서버가 있어야 한다. 이 구조에서 인증(Authentication)이 제대로 설계되지 않으면, 서버에 접근할 수 있는 누구든 타인의 기기를 제어할 수 있게 된다. 야보의 경우가 정확히 그랬다.

더 불편한 사실은 이것이 처음 있는 일이 아니라는 점이다. 2023년 로봇청소기 에코백스(Ecovacs)가 해킹돼 카메라로 집 내부가 노출됐고, 스마트 도어락, IP 카메라, 심지어 어린이용 스마트 완구에서도 유사한 취약점이 반복해서 발견됐다. 스마트홈 기기의 보안 결함은 '특수한 사례'가 아니라 업계 전반의 패턴에 가깝다.

세 가지 시선

소비자 입장에서 이번 사건은 단순한 제품 결함이 아니다. 와이파이 비밀번호가 유출된다는 것은 가정 내 모든 연결 기기가 잠재적으로 노출된다는 의미다. 공유기 비밀번호 하나로 스마트TV, 노트북, 스마트폰까지 같은 네트워크 위에 있기 때문이다. 잔디깎기 하나의 취약점이 집 전체의 디지털 문을 여는 열쇠가 될 수 있다.

기업 입장에서 야보의 대응은 참고할 만하다. 부정하거나 축소하는 대신 24시간 안에 원격 접속을 차단하고 상세한 로드맵을 공개했다. 보안 사고에서 기업의 신뢰는 '사고 발생 여부'보다 '사고 이후 대응'으로 더 많이 결정된다는 것을 보여주는 사례다. 다만 이 투명성이 지속적인 보안 투자로 이어질지, 아니면 일회성 위기 관리로 끝날지는 아직 알 수 없다.

정책 입장에서 이 사건은 더 큰 질문을 던진다. 현재 한국을 포함한 대부분의 국가에서 IoT 기기에 대한 보안 인증 기준은 자율 규제에 가깝다. 유럽연합(EU)은 2025년부터 사이버 복원력법(Cyber Resilience Act)을 통해 IoT 기기에 의무 보안 요건을 부과하기 시작했다. 한국의 경우 한국인터넷진흥원(KISA)이 IoT 보안 인증 제도를 운영하지만, 수입 제품 전반에 대한 강제성은 제한적이다.