로봇과 인공지능 전문가들은 현재 ‘자동 살상 무기’ 개발 염려 중
가정용 및 산업용 로봇에서 취약점 다수 발견되고 있어

[보안뉴스 문가용 기자] 전 세계의 로보틱스 및 인공지능 전문가들이 한 목소리로 UN에 ‘치명적인 자율 무기(lethal autonomous weapons)’를 금지시켜야 한다고 촉구했다. 그런데 이미 해커들은 공장에서 널리 사용되고 있는 로봇들을 조사하기 시작했고, 그에 따라 보안 전문가들 역시 이미 우리 주위에 있는 로봇들을 연구해 실제적인 공격 시나리오를 발표했다. 2015년 스마트 카 해킹이 한창 연구되던 때와 비슷한 분위기다.


먼저 아이오액티브(IOActive)의 전문가인 루카스 아파(Lucas Apa)와 케사르 세루도(Cesar Cerrudo)는 이미 3월에 코봇(cobot)이라고 불리는 협동 로봇들에서 50가지 취약점을 발견했다고 발표했다. 그리고 오늘은 여기서 한 발 더 나아가 개념 증명을 위한 모의 공격까지 실시해 해킹된 로봇이 끼칠 수 있는 피해에 어떤 것이 있는지도 드러냈다.

이 두 연구원이 분석한 건 소프트뱅크 로보틱스(Softbank Robotics), 유비텍 로보틱스(UBTECH Robotics), 로보티스(Robotis), 유니버설 로보츠(Universal Robots), 리씽크 로보틱스(Rethink Robotics), 아스라텍(Asratec Corp.)에서 출시한 제품들이다. 당연히 두 연구원은 이 업체들에 자신들의 연구 결과물을 사전에 전송했다. 수개월 전의 일이다. 인증과 관련된 오류, 데이터 전송 원리의 불완전함, 오픈소스에 내포되어 있던 취약점 등이 제보됐다고 한다.

이에 리씽크 로보틱스는 보고된 오류들을 2월에 이미 수정했고, 업데이트도 배포했다. 유니버설 로보츠의 경우, 이 두 전문가는 로봇 팔 기기들을 집중 공략했고, 보안 설정 및 안전 장치를 무력화시켜 물리적인 피해를 사람에게 입힐 수 있다는 걸 증명해냈다. 하지만 해당 취약점 및 익스플로잇은 아직 패치되지 않고 있으며, 가장 최근에 발표된 5월 패치에서도 이에 대한 해결책은 없었다고 한다. 유니버설 로보츠 측은 “이 문제에 대해서 알고 있으며 패치를 연구 중에 있다”고 설명했다.

계속해서 두 연구원은 원격 코드 실행 취약점, 메모리 커럽션, 하드웨어 설계 오류 등의 문제를 여러 제품들에서 발견했다. 하드웨어 설계 오류의 경우 제품을 처음부터 다시 생산하지 않는 이상 고치기 어려운 것들도 있었다. “포트 위치가 보안 상 잘못되어 있는 경우도 있었는데, 이건 아예 제품을 새로 기획해야만 고칠 수 있는 문제입니다. 결국 픽스가 불가능하다는 건데요, 이런 때는 정말 새 제품을 생산하고 구매해야 합니다.”

현재 로보틱스의 발전은 말 그대로 눈이 부실 정도다. 하루가 다르게 똑똑해지고 있으며, 점점 더 사람처럼 행동할 수 있게 되었다. 사람들의 든든한 조수로서 자리도 확고히 다져가고 있으며, 2020년 로보틱스 시장은 188조원 규모가 될 것이라고 IDC는 예측한다. 현재 로봇들은 대부분 생산 공장에서 사용되고 있는데, 점점 일반 가정이나 의료 분야 등에서도 나타날 것으로 전망된다. 그래서 로봇의 보안 문제가 연구되고 있는 것이다.

올해 초 밀라노 공과대학의 스테파노 자네로(Stefano Zanero) 교수와 동료 보안 연구원들은 ABB 로보틱스(ABB Robotics)의 IRB14라는 산업용 로봇을 해킹했다. 당시 이들이 사용한 건 원격 코드 버그로 통제 소프트웨어에 있던 것이었다. 통제 소프트웨어를 통해 가짜 설정파일을 주입함으로써 일직선을 그려야 하는 기능의 매개변수를 변경시켰다. 이 때문에 로봇의 그림이 살짝 바뀌었다. 일직선이 기울기 시작했다. 이는 기업 입장에서 제품 리콜 사태를 불러일으킬 만한 공격이다. 큰 금전적 손실을 일으킬 수 있다는 뜻이다.

자네로는 “굳이 그렇게까지 하지 않고, 생산만 잠깐 중단시켜도 기업으로서는 큰 피해를 입을 수밖에 없다”고 설명을 보충했다. “하지만 그래서 산업 현장의 로봇을 만드는 기업들은 보안에 좀 더 신경을 쓰는 편입니다. 실제로 ABB 로보틱스 측도 저희의 연구 결과에 재빠르게 반응했습니다. 그리고 빠르게 패치를 만들어 배포했죠.”

루카스와 세루도는 “로봇을 해킹하기 위해 항상 새로운 취약점을 발견해야만 하는 건 아니”라고 설명한다. “심지어 익스플로잇 과정 전혀 없이 공격할 수 있는 로봇들도 있었습니다. 생산자가 제공한 제품과 툴만을 사용해도 오작동 시키거나 저희 마음대로 로봇을 통제할 수 있었어요.” 그런 경우 로봇 가까이에서 작업을 하고 있는 ‘인간 파트너’에게 물리적인 피해를 입힐 수도 있게 된다고 그들은 경고했다.

유니버설 로보츠의 제품군을 공격할 때 루카스와 세루도는 주로 인증 취약점을 활용했다. “로봇 시스템의 대시보드 서버(Dashboard Server)에 있는 취약점이었습니다. 이를 공격하니 Modbus TCP 서비스에서 스택 버퍼 오버플로우 취약점을 발견할 수도 있었습니다. 이 둘을 활용하면 루트 명령을 전송할 수도 있게 됩니다. 그런 식으로 보안 옵션을 바꿀 수 있고, 비상용 센서를 무력화시킬 수도 있습니다. 로봇의 설정도 바꿀 수 있지요.”

유비테크와 소프트뱅크에서 만든 가정용 로봇도 무사하지 않았다. 루카스와 세루도는 파이선 스크립트를 작성해 공격을 실시했고, 결국 사용자의 충실한 도우미였던 로봇들을 공포영화의 주인공 인형으로 만드는 데에 성공했다. “드라이버로 토마토를 으깨는 데에 성공했습니다. 로봇의 머리에 장착된 카메라와 마이크로폰을 장악해 스파잉에도 활용할 수 있었고요. 즉 물리적인 위해를 가할 수도 있고 사생활도 침해할 수 있다는 걸 증명한 겁니다.”

“로봇이란 다리가 달린 컴퓨터”라고 말하는 세루도는 “엄청난 ‘뇌’에 ‘움직임’까지 덧붙여 준 꼴”이라고 설명한다. “즉 물리의 영역에까지 컴퓨터를 옮겨간 것이고, 그러니 영향력이 작을 수가 없습니다. 이는 보안 업계나 로봇 생산 업계가 모두 심각하게 받아들여야 할 문제입니다.”

자네로 교수는 “로봇의 활용범위가 앞으로 넓어질 것인데, 그에 따른 위협의 종류 역시 다양해질 것”이라고 경고한다. “가정용 로봇이라면 주로 스파이 행위나 감시 행위에 사용될 것이고, 가정 네트워크 내로 더 깊숙하게 들어가기 위한 발판으로 활용될 가능성이 높습니다. 산업용 로봇이라면 공장 사보타주나 작업 인원 부상, 랜섬웨어 공격 등으로 응용될 수 있겠고요.”
[국제부 문가용 기자(globoan@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>