- 美 에코백스 디봇 X2, 외부 음성·카메라 조작 확인
- 국내 판매 제품과 동일 모델
가정용 로봇청소기의 보안 취약성이 실제 사례로 드러났다. 최근 미국에서 중국 에코백스(Ecovacs) 로봇청소기 ‘디봇 X2(Deebot X2)’가 외부 접속을 통해 조작된 정황이 보고됐다. 일부 기기에서는 외부 음성이 재생되거나 카메라 접근이 시도된 것으로 나타났으며, 동일한 모델이 국내에서도 판매되고 있다.
미국서 발생한 해킹, 거실까지 침입한 외부 접속
2024년 10월, 미국 미네소타주에서 에코백스(Ecovacs) 로봇청소기 ‘디봇 X2(Deebot X2)’가 외부 조작을 받은 사례가 보고됐다. 한 변호사 가정의 로봇청소기가 평소와 달리 라디오 잡음 같은 소리를 내더니, 이내 외부인의 목소리가 스피커를 통해 들렸다. 사용자가 애플리케이션을 확인한 결과, 낯선 접속자가 기기의 카메라와 원격 제어 기능에 접근한 사실이 드러났다. 비밀번호를 바꾸고 기기를 재부팅했지만 상황은 반복됐고, 이번에는 인종차별적 욕설이 스피커를 통해 흘러나왔다. 피해자는 “누군가 거실을 보고 있다는 생각에 공포를 느꼈다”고 말했다.
이후 캘리포니아와 텍사스에서도 유사한 사례가 추가로 보고됐다. 일부 로봇청소기는 반려견을 쫓거나 욕설을 내뱉는 등 명백히 외부에서 조작된 흔적을 남겼다. 이 사건은 미국 사이버보안 기업 멀웨어바이츠(Malwarebytes)의 기술 분석 보고서를 통해 처음 알려졌으며, 호주 공영방송 ABC 뉴스가 피해자 인터뷰를 보도했다. IT 전문매체 더버지(The Verge) 역시 복수 지역에서 같은 모델의 해킹 정황이 확인됐다고 전했다.
멀웨어바이츠는 문제의 기기가 카메라와 마이크 접근을 단순한 4자리 PIN 코드로만 보호하고 있었다고 밝혔다. 이 인증 절차는 앱 내부에서만 검증돼 서버나 기기 자체의 확인이 이루어지지 않았으며, 그 결과 해커가 손쉽게 보안 절차를 우회할 수 있었다. 또한 와이파이 토큰과 블루투스 연결 구조에도 취약점이 있어, 외부에서 직접 접속이 가능했다고 분석했다. 에코백스는 이후 보안 강화를 약속하며 2024년 11월 중 디봇 X2 전 제품을 대상으로 펌웨어 업데이트를 배포하겠다고 발표했다.
(2024년 10월 10일자 멀웨어바이츠 블로그, 10월 11일자 호주 ABC 뉴스, 10월 12일자 더버지의 보도 종합)
국내에서도 동일 모델 판매 중···보안 취약
이번에 해킹된 디봇 X2는 한국 공식 온라인몰에서도 판매되고 있으며, 소비자 가격은 약 169만 9000원으로 고급형 제품군에 속한다. 한국인터넷진흥원(KISA)과 한국소비자원이 2025년 상반기에 실시한 로봇청소기 보안 점검에서도 중국산 제품 전반이 국내 브랜드에 비해 보안이 취약한 것으로 나타났다. 에코백스를 포함해 로보락(Roborock), 드리미(Dreame), 나르왈(Narwal) 제품에서는 사용자 인증 절차가 부실하거나, 카메라 기능이 외부에서 원격으로 활성화될 가능성이 지적됐다.
보안 전문가들은 특히 중국 클라우드 서버를 경유하는 데이터 전송 구조에 주목한다. 순천향대 염흥열 교수는 “국내 판매 제품의 사용자 데이터가 해외로 전송되지 않도록 국내 클라우드 이용을 권장하고, 사물인터넷(IoT) 보안 인증 제도를 의무화할 필요가 있다”고 말했다.
김지윤 기자/ hello@sciencewave.kr
Science Wave에서 더 알아보기
구독을 신청하면 최신 게시물을 이메일로 받아볼 수 있습니다.