2017.04.11

'유용하면서도 위험한' 로봇의 이중성

Taylor Armerding | CSO
로봇은 우리를 위해 좋은 일을 해야 한다. 하지만 사물인터넷(Internet of Things, IoT)을 구성하는 수십억 개의 연결된 기기들처럼 로봇 기술의 발전을 통해 엄청난 기능이 추가되고 있지만, 보안은 그렇지 못하다는 많은 증거가 있다.



지난달 보안 조사 기업 IO액티브(IOActive)가 공개한 가정, 비즈니스, 산업용 로봇에 대한 보고서에 따르면, 대부분 로봇에 전문가들이 말하는 ‘기본적인 보안 하이진(hygiene)’이 빠져 있다.

여기에는 안전하지 못한 통신채널, 평문으로 전송되거나 부실한 암호화가 적용된 필수정보, 사용자 이름 또는 비밀번호를 요구하지 않는 일부 서비스, 부실한 인증, 소프트웨어 설치나 업데이트 등의 필수 기능을 보호하기 위한 충분한 인증 부재 등이 포함된다.

이 모든 것을 통해 누구든 원격으로 손쉽게 로봇을 해킹하고 허가 없이 소프트웨어를 설치해 완전한 통제력을 확보할 수 있다.

이밖에도 모바일 애플리케이션이 사용자 동의 없이 원격 서버에 ‘모바일 네트워크 정보, 장치 정보, 현재 GPS 위치’ 등의 개인정보를 전송해 이 정보가 감시 및 추적을 목적으로 사용될 수 있다고 해당 보고서는 전했다.

그리고 사용자들은 많은 IoT 스마트 기기에서 그랬던 것처럼, 로봇의 보안 구멍을 막을 만큼 현명하지 않다.

이 보고서의 저자인 CTO 세사 세루도와 수석 보안 컨설턴트 루카스 아파는 “손쉽게 비활성화하거나 보호할 수 없는 안전하지 못한 기능뿐 아니라 변경하기 어렵거나 변경할 수 없는 기본 비밀번호가 적용된 기능들이 로봇에 있음을 발견했다”고 밝혔다.

로봇 해킹으로 감시, 부상, 심지어 사망하는 일까지 발생할 수 있다. 세루도와 아파는 미국 노동부(Department of Labor)의 ‘사망으로 이어진 로봇 사고’ 통계를 인용했다.

그것은 사고였다
IO액티브의 보고서 ‘스카이넷 이전의 로봇 해킹(Hacking Robots Before Skynet)’에 따르면, 해커가 로봇을 이용해 사람에게 해를 입히거나 살해한 기록은 없다. 하지만 이 보고서는 미국 노동부 통계를 인용해 ‘사고라고 여겨지는 심각한 사건’을 정리했다. 여기에는 다음과 같은 것들이 포함되어 있다.

• 2015년 앨라배마의 쿠세타(Cusseta, Ala.)에 있는 에이진 USA(Ajin USA) 공장에서 산업용 로봇이 갑자기 재작동하면서 이 로봇이 한 여성을 죽였다.
• 실리콘밸리(Silicon Valley)의 SSC(Stanford Shopping Center)에 있는 로봇 경비원이 아이를 넘어뜨렸다. 아이는 부상은 심각하지 않았다.
• 심천(Shenzhen) 기술 무역 박람회장에서 중국이 개발한 로봇이 유리창을 깨뜨리면서 옆에 있던 사람이 다쳤다.
• 2007년, 사격 훈련 중 로봇 대포 고장으로 9명의 군인이 사망하고 14명이 심각한 부상을 당했다.

보고서의 저자는 “이 모든 사건이 사고로 여겨지고 있지만 유사한 사건이 해커의 원격 로봇 통제로 인해 발생할 수 있다”고 지적했다.

하지만 그렇다고 해서 소비자와 기업의 로봇 사랑이 끝나지는 않았다.


로봇은 아직 상대적으로 젊은 산업이다. IFR(International Federation of Robotics)의 보고에 따르면, 수십만에서 수십억이 아닌 수백억 대로 증가했다. 하지만 연간 성장률이 25%라는 놀라운 수치를 기록했다.

IFR의 2016-19년 개인 및 가정용 서비스 로봇 판매량 전망은 4,200만 대다. 진공 청소, 바닥 청소, 잔디 깎기, 엔터테인먼트, 레저, 노인 및 장애인 지원 등의 용도로 사용되고 있다.

또한 2019년까지 140만 대의 새로운 산업용 로봇이 전세계 공장에 설치돼 총 260만 대에 이를 것이라고 보고했다.

이런 직장 내 로봇 자동화 증가로 인해 플로리다 주지사 출신이자 공화당 대선 후보였던 젭 부시는 “사람들이 거리로 나와 학생들이 점차 정교해지는 로봇과 일자리를 두고 경쟁하는데 전혀 도움이 되지 않는 ‘한물간’ 교육 시스템의 개혁을 요구해야 한다”고 말했다.

물론, 로봇 시스템의 부실한 보안을 뚫고 해커들이 유발하는 재앙 사건으로 인해 이런 것들이 바뀔 수 있다. 아직 해커들이 유발한 부상 또는 사망에 대한 보고는 없다. 하지만 세루도와 아파가 지적했듯이 ‘공격면’이 매우 광범위하다. 그들은 다음의 취약성을 보고했다.

• 마이크 및 카메라
• 네트워크 연결성
• 외부 서비스 상호작용
• 원격 제어 애플리케이션
• 모듈식 확장성
• 안전 기능
• 메인 소프트웨어(펌웨어)
• 알려진 운영체제
• 네트워크 광고
• 백업
• 연결 포트

그들은 이것이 대부분 로봇이 오픈소스 프레임워크와 라이브러리를 사용하기 때문이라고 결론 내렸다. 인기 있는 ROS(Robot Operating System)는 평문 통신, 인증 문제, 허술한 인증 스키마(Scheme) 등의 여러 알려진 사이버 보안 문제를 안고 있다.

2017.04.11

'유용하면서도 위험한' 로봇의 이중성

Taylor Armerding | CSO
로봇은 우리를 위해 좋은 일을 해야 한다. 하지만 사물인터넷(Internet of Things, IoT)을 구성하는 수십억 개의 연결된 기기들처럼 로봇 기술의 발전을 통해 엄청난 기능이 추가되고 있지만, 보안은 그렇지 못하다는 많은 증거가 있다.



지난달 보안 조사 기업 IO액티브(IOActive)가 공개한 가정, 비즈니스, 산업용 로봇에 대한 보고서에 따르면, 대부분 로봇에 전문가들이 말하는 ‘기본적인 보안 하이진(hygiene)’이 빠져 있다.

여기에는 안전하지 못한 통신채널, 평문으로 전송되거나 부실한 암호화가 적용된 필수정보, 사용자 이름 또는 비밀번호를 요구하지 않는 일부 서비스, 부실한 인증, 소프트웨어 설치나 업데이트 등의 필수 기능을 보호하기 위한 충분한 인증 부재 등이 포함된다.

이 모든 것을 통해 누구든 원격으로 손쉽게 로봇을 해킹하고 허가 없이 소프트웨어를 설치해 완전한 통제력을 확보할 수 있다.

이밖에도 모바일 애플리케이션이 사용자 동의 없이 원격 서버에 ‘모바일 네트워크 정보, 장치 정보, 현재 GPS 위치’ 등의 개인정보를 전송해 이 정보가 감시 및 추적을 목적으로 사용될 수 있다고 해당 보고서는 전했다.

그리고 사용자들은 많은 IoT 스마트 기기에서 그랬던 것처럼, 로봇의 보안 구멍을 막을 만큼 현명하지 않다.

이 보고서의 저자인 CTO 세사 세루도와 수석 보안 컨설턴트 루카스 아파는 “손쉽게 비활성화하거나 보호할 수 없는 안전하지 못한 기능뿐 아니라 변경하기 어렵거나 변경할 수 없는 기본 비밀번호가 적용된 기능들이 로봇에 있음을 발견했다”고 밝혔다.

로봇 해킹으로 감시, 부상, 심지어 사망하는 일까지 발생할 수 있다. 세루도와 아파는 미국 노동부(Department of Labor)의 ‘사망으로 이어진 로봇 사고’ 통계를 인용했다.

그것은 사고였다
IO액티브의 보고서 ‘스카이넷 이전의 로봇 해킹(Hacking Robots Before Skynet)’에 따르면, 해커가 로봇을 이용해 사람에게 해를 입히거나 살해한 기록은 없다. 하지만 이 보고서는 미국 노동부 통계를 인용해 ‘사고라고 여겨지는 심각한 사건’을 정리했다. 여기에는 다음과 같은 것들이 포함되어 있다.

• 2015년 앨라배마의 쿠세타(Cusseta, Ala.)에 있는 에이진 USA(Ajin USA) 공장에서 산업용 로봇이 갑자기 재작동하면서 이 로봇이 한 여성을 죽였다.
• 실리콘밸리(Silicon Valley)의 SSC(Stanford Shopping Center)에 있는 로봇 경비원이 아이를 넘어뜨렸다. 아이는 부상은 심각하지 않았다.
• 심천(Shenzhen) 기술 무역 박람회장에서 중국이 개발한 로봇이 유리창을 깨뜨리면서 옆에 있던 사람이 다쳤다.
• 2007년, 사격 훈련 중 로봇 대포 고장으로 9명의 군인이 사망하고 14명이 심각한 부상을 당했다.

보고서의 저자는 “이 모든 사건이 사고로 여겨지고 있지만 유사한 사건이 해커의 원격 로봇 통제로 인해 발생할 수 있다”고 지적했다.

하지만 그렇다고 해서 소비자와 기업의 로봇 사랑이 끝나지는 않았다.


로봇은 아직 상대적으로 젊은 산업이다. IFR(International Federation of Robotics)의 보고에 따르면, 수십만에서 수십억이 아닌 수백억 대로 증가했다. 하지만 연간 성장률이 25%라는 놀라운 수치를 기록했다.

IFR의 2016-19년 개인 및 가정용 서비스 로봇 판매량 전망은 4,200만 대다. 진공 청소, 바닥 청소, 잔디 깎기, 엔터테인먼트, 레저, 노인 및 장애인 지원 등의 용도로 사용되고 있다.

또한 2019년까지 140만 대의 새로운 산업용 로봇이 전세계 공장에 설치돼 총 260만 대에 이를 것이라고 보고했다.

이런 직장 내 로봇 자동화 증가로 인해 플로리다 주지사 출신이자 공화당 대선 후보였던 젭 부시는 “사람들이 거리로 나와 학생들이 점차 정교해지는 로봇과 일자리를 두고 경쟁하는데 전혀 도움이 되지 않는 ‘한물간’ 교육 시스템의 개혁을 요구해야 한다”고 말했다.

물론, 로봇 시스템의 부실한 보안을 뚫고 해커들이 유발하는 재앙 사건으로 인해 이런 것들이 바뀔 수 있다. 아직 해커들이 유발한 부상 또는 사망에 대한 보고는 없다. 하지만 세루도와 아파가 지적했듯이 ‘공격면’이 매우 광범위하다. 그들은 다음의 취약성을 보고했다.

• 마이크 및 카메라
• 네트워크 연결성
• 외부 서비스 상호작용
• 원격 제어 애플리케이션
• 모듈식 확장성
• 안전 기능
• 메인 소프트웨어(펌웨어)
• 알려진 운영체제
• 네트워크 광고
• 백업
• 연결 포트

그들은 이것이 대부분 로봇이 오픈소스 프레임워크와 라이브러리를 사용하기 때문이라고 결론 내렸다. 인기 있는 ROS(Robot Operating System)는 평문 통신, 인증 문제, 허술한 인증 스키마(Scheme) 등의 여러 알려진 사이버 보안 문제를 안고 있다.

X