전 세계 로봇 청소기 보안 사고의 전말

항목	상세 내용
사건의 발단	스페인의 개발자 세미 아즈팔이 로봇 청소기를 게임 컨트롤러로 조종하려다 시작됨
핵심 기술	사물인터넷(IoT) 기기 통신에 주로 사용되는 MQTT 프로토콜
보안 취약점	중계 서버(브로커)에서 사용자 인증 및 권한 검증 누락
유출 데이터	전 세계 사용자의 집안 평면도, IP 주소, 시리얼 번호, 실시간 카메라 영상 등
제조사 대응	초기 무시 후 언론 보도 직전 수정 완료 주장, 그러나 실제로는 부분적 수정에 그침
교훈	중계 서버를 거치는 IoT 기기의 구조적 취약성 인식 및 보안 설정의 중요성

로봇 청소기 해킹 사건의 시작과 과정

최근 우리 삶의 질을 획기적으로 높여준 가전제품을 꼽으라면 단연 로봇 청소기일 것입니다. 외출 중에도 알아서 바닥을 청소해 주는 이 편리한 기기가 사실은 전 세계인의 사생활을 생중계할 수 있는 위험한 도구가 될 수 있다는 사실이 한 개발자의 우연한 발견으로 드러났습니다. 이 사건의 주인공은 스페인의 소프트웨어 개발자인 세미 아즈팔입니다. 그는 2025년 말, 큰맘 먹고 약 2,000달러(한화 약 250만~300만 원)에 달하는 고가의 DJI 로모 로봇 청소기를 구매했습니다.

개발자 특유의 호기심이 발동한 그는 단순히 청소 기능을 사용하는 것에 그치지 않고, 자신이 가지고 있던 플레이스테이션 컨트롤러로 로봇 청소기를 직접 조종해보고 싶다는 생각을 하게 됩니다. 이를 실행에 옮기기 위해 그는 청소기 전용 앱이 기기와 어떻게 통신하는지 분석하기 시작했습니다. 최신 인공지능 도구인 클로드 코드를 활용해 앱의 내부 구조를 파악(리버싱)한 결과, 이 기기가 사물인터넷 기기에서 흔히 쓰이는 MQTT 프로토콜을 사용한다는 것을 알아냈습니다.

단계	주요 내용 정리
1단계: 동기	게임 컨트롤러로 로봇 청소기를 조종하려는 개발자의 호기심
2단계: 분석	전용 앱 리버싱을 통해 MQTT 통신 프로토콜 확인
3단계: 성공	실제로 플스 컨트롤러와 로봇 청소기 연동 앱 개발 완료

MQTT 프로토콜의 원리와 치명적인 실수

사건은 세미가 로봇 청소기에 기능을 추가하려던 과정에서 발생했습니다. 그는 청소기의 배터리가 부족할 때 기기가 마치 우는 듯한 소리를 내게 만들고 싶었습니다. 배터리 상태 정보를 실시간으로 받아오기 위해 그는 MQTT 프로토콜의 와일드카드 문자인 '#'을 사용했습니다. 이 기호는 "모든 정보를 다 보내달라"는 의미의 명령어입니다. 원래는 자신의 기기에 대한 정보만 오기를 기대했지만, DJI의 중계 서버(브로커)는 놀랍게도 사용자별 권한 검증을 전혀 수행하지 않고 있었습니다.

그 결과 세미의 화면에는 자신의 기기 정보뿐만 아니라, 전 세계에서 가동 중인 약 7,000대 이상의 로봇 청소기 데이터가 쏟아져 들어오기 시작했습니다. 여기에는 각 가정의 상세한 평면도, 기기의 고유 시리얼 번호, 현재 위치, 심지어는 기기에 달린 카메라를 통해 실시간 영상을 볼 수 있는 권한까지 포함되어 있었습니다. 본의 아니게 전 세계 로봇 청소기를 한 손에 쥐게 된 세미는 큰 충격에 빠졌습니다. 그는 친구의 시리얼 번호를 입력해 멀리 떨어진 친구 집의 청소기를 직접 움직이고 카메라로 친구의 모습을 확인하며 이 취약점이 얼마나 심각한지 증명했습니다.

요소	MQTT 보안 취약점의 핵심
와일드카드('#')	특정 주제가 아닌 전체 데이터를 요청하는 필터 기호
브로커(중계 서버)	데이터를 중개할 때 발신자와 수신자의 권한을 확인해야 하는 핵심 장치
보안 결함	적절한 인증 절차 없이 모든 데이터를 외부에 노출한 서버 설정 오류

제조사의 안일한 대응과 남아있는 위협

자신이 범죄자로 오해받을까 두려워진 세미는 즉시 제조사인 DJI 측에 이 사실을 알렸습니다. 하지만 회사는 한동안 묵묵부답이었고, 결국 그는 미국의 기술 전문 매체인 '더버지(The Verge)'를 찾아가 제보했습니다. 기자가 직접 자신의 동료가 사용하는 청소기의 정보를 확인해달라고 요청하자, 세미는 순식간에 해당 가정의 평면도와 배터리 잔량 등을 정확히 맞히며 취약점을 재차 입증했습니다. 그제야 제조사는 "이미 문제를 인지하고 있었으며, 보안 패치를 완료했다"는 공식 성명을 발표했습니다.

그러나 제조사의 발표와는 달리, 성명이 나온 직후 진행된 인터뷰에서도 세미는 여전히 타인의 기기에 접속할 수 있음을 보여주었습니다. 제조사가 보안 취약점을 근본적으로 해결한 것이 아니라 임시방편으로 일부만 수정한 상태였기 때문입니다. 특히 카메라를 통해 타인의 집 안을 들여다보는 기능은 여전히 작동 가능한 상태였습니다. 이 사건이 공론화되면서 세미는 '배튬 가이(Vacuum Guy)'라는 별명을 얻으며 유명해졌고, 많은 보안 전문가들이 IoT 기기의 보안 실태에 대해 경종을 울리는 계기가 되었습니다.

구분	주요 쟁점 및 사실 확인
제조사 주장	2월 중순경 모든 보안 취약점 해결 완료 및 실제 피해 사례 극히 드믐
실제 상황	발표 30분 후에도 여전히 타인 기기 제어 및 정보 열람 가능 확인
현재 상태	지속적인 항의와 기사화 이후 현재는 해당 결함이 수정된 것으로 알려짐

스마트 가전을 안전하게 사용하는 방법

이 사건을 통해 우리는 우리가 사용하는 스마트 가전이 어떤 방식으로 외부와 통신하는지 이해할 필요가 있습니다. 대부분의 IoT 기기는 스마트폰과 기기가 직접 연결되는 것이 아니라, 제조사가 운영하는 중앙 중계 서버(브로커)를 거칩니다. 우리가 집 밖에서도 청소기를 돌릴 수 있는 이유는 바로 이 서버가 중간에서 명령을 전달해주기 때문입니다. 따라서 기기 자체가 아무리 튼튼해도 이 중앙 서버의 보안이 뚫리거나 설정이 잘못되면 우리 집 안의 사생활은 고스란히 노출될 수밖에 없습니다.

전문가들은 보안이 걱정된다면 몇 가지 수칙을 지킬 것을 권장합니다. 첫째, 가능하면 제조사의 국적이나 보안 신뢰도가 검증된 브랜드의 제품을 선택하는 것이 좋습니다. 둘째, 기기에 카메라나 마이크가 달려 있다면 사용하지 않을 때는 물리적으로 가리거나 전원을 차단하는 것도 방법입니다. 셋째, 로봇 청소기처럼 집안 구조를 파악하는 기기는 가급적 사람이 집에 없을 때만 가동하고, 작동이 끝난 후에는 카메라가 벽을 향하게 두는 등의 주의가 필요합니다. 보안은 편리함과 트레이드오프 관계에 있다는 사실을 항상 기억해야 합니다.

안전 수칙	구체적인 실천 방안
네트워크 분리	IoT 기기 전용의 별도 와이파이 망 사용 고려
물리적 차단	카메라 렌즈 가리개 사용 또는 미사용 시 전원 차단
브랜드 선택	보안 업데이트가 신속하고 신뢰할 수 있는 제조사 제품 선택