로봇신문사
> 뉴스 > 개인서비스 로봇
휴머노이드 로봇 '페퍼' 보안 취약점 있다스웨덴의 외레브로대학 연구팀 보안 허점 발견
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
승인 2018.06.03  23:13:48
트위터 페이스북 구글+ 밴드

소프트뱅크의 휴머노이드 로봇 페퍼에 보안 취약점이 발견됐다는 소식이 들린다.

‘더 레지스터’에 따르면 최근 스웨덴의 연구원들은 페퍼가 무수한 보안 허점을 갖고 있다는 연구 결과를 발표했다.

스웨덴의 외레브로대학(Örebro University)의 알베르토 지아레타(Alberto Giaretta)와 스웨덴 공과대학의 미셸 드 돈노(Michele De Donno), 니콜라 드고니(Nicola Drgoni)는 페퍼를 대상으로 다양한 일회성 스턴트 해킹을 한 결과, 페퍼가 여러 측면에서 보안 취약성을 보였다고 전했다. 연구에 따르면 원격에서 페퍼를 사이버 및 물리적 무기로 바꿔 악의적인 행동을 하도록 드러내는 것은 쉬운 일이라는 것이다.

로봇은 인증되지 않은 루트 레벨 액세스를 허용하고 CPU 보안 결함인 멜트다운(Meltdown)과 스펙터(Spectre) 취약 프로세서를 실행한다. 또 암호화되지 않은 HTTP를 통해 관리되며 디폴트 루트 암호가 있다고 지적했다. 멜트다운과 스펙터의 취약성은 uname-a라는 터미널 명령어만으로 쉽게 식별이 되었다. 이터캡(Ettercap) 및 와이어샤크(Wireshark) 작업의 일부는 관리자 페이지가 보안되지 않았음을 보여주었고 이는 나오라고 불리는 유일한 사용자 계정의 아이디와 패스워드가 노출되도록 놔두었다.

로봇은 루트 SSH 액세스를 허용하기보다는 나오에 SSH 액세스를 제한함으로써 보안을 일부 구현했지만 루트 계정의 암호는 ‘루트’(변경할 수 없고 사용자 매뉴얼에 문서화돼있다)이므로 나오 터미널에 대한 슈퍼이용자 명령은 공격자에게 완전한 권한을 부여해줬다. 관리자 패널에는 ‘로그 오프’ 기능도 없다.

연구자들은 “이런 종류의 공격에 쉽게 취약한 제품이 2018년에 판매되는 것은 용납되어서는 안될 일”이라고 비판했다. 특히 페퍼는 무차별 공격에 취약한 것으로 알려진다. 연구진들은 "소프트뱅크의 엔지니어들은 무제한의 암호 시도로 페퍼를 망치는 공격자에 대한 어떤 보호 장치도 제공하지 않았다"며 "무차별 공격에 대한 대책이 배포되지 않았다는 것은 매우 실망스러운 것"이라고 지적했다.

연구자들의 또 다른 조사 대상은 페퍼 응용 프로그램인 'SAM(Simple Animated Messages)'으로 이는 사용자가 페퍼를 움직이게 하고, 텍스트 음성 변환 서비스로 무언가를 말하게 하고, 내장 태블릿에 그림을 보여주는 등의 간단한 연출을 디자인하는 역할을 한다.

연구팀은 "응용 프로그램은 파일 확장자를 제어하지 않았다. 실제로 우리는 이미지와 확장자가 이미지로 수정된 텍스트 파일, 그리고 심지어 확장자 편집을 수행하지 않은 일반 텍스트 파일까지 업로드할 수 있었다"며 "그들은 개념증명을 하지 않기로 결정했지만 공격자가 쉽게 악용할 수 있음을 파악했다"고 설명했다.

그런 다음 페퍼 API는 파이썬, C++ 및 자바와 같은 언어를 통해 기능을 노출하고 모든 센서, 카메라, 마이크 및 가동부품(moving part)에 액세스할 수 있는 등 놀랍도록 취약하다는 것이다. 페퍼는 TCP 메시지를 받아들인 포트 9559에서 서비스를 노출하고 그에 따라 반응한다. 메시지가 API를 따르는 한, 설계상으로 페퍼는 누구든지 전송하는 사람의 패킷을 인증없이 수락하게 돼있다.

TCP를 통해 페퍼와 통신할 수 있는 공격자는 카메라와 마이크를 사용해 사람과 대화를 감시할 수 있다. 사람들과 원격으로 상호작용할 수 있어 가령 개인 정보를 제공하도록 속이는 것도 가능하다. 뿐만 아니라 페퍼를 공격 로봇으로 악용할 수도 있다. 혹은 종료나 공장 초기화 명령을 내릴지도 모른다.

조인혜  ihcho@irobotnews.com
이 기사에 대한 댓글 이야기 (0)
자동등록방지용 코드를 입력하세요!   
확인
- 200자까지 쓰실 수 있습니다. (현재 0 byte / 최대 400byte)
- 욕설등 인신공격성 글은 삭제 합니다. [운영원칙]
이 기사에 대한 댓글 이야기 (0)
조인혜의 다른기사 보기  
폰트키우기 폰트줄이기 프린트하기 메일보내기 신고하기
트위터 페이스북 구글+ 밴드 뒤로가기 위로가기
인기기사
1
2021년 주목받은 로봇업계 인수합병 '톱 10'
2
부천시, 보행재활로봇 활용 시범사업 개시
3
'CES 2022'에서 꼽아본 흥미로운 로봇 TOP 3
4
스프링클라우드-경남, ‘자율주행 모빌리티 비즈니스 허브’ 조성 추진
5
코리아씨이오서밋 서밋클럽, 오세훈 서울특별시장 초청 강연회 성황리 개최
6
원자력연, ‘제2회 원자력사고 대응 로봇기술 국제 워크숍’ 개최
7
[특집]로봇기업 신년 계획② ㈜에스피지(SPG)
8
아파트 붕괴 사고 현장 뒷처리, 로봇에게 맡기면?
9
프랜차이즈-로봇기업, 음식업 특화 로봇 개발한다
10
한국로봇융합연구원 여준구 원장
로봇신문 소개기사제보광고문의불편신고개인정보취급방침이메일무단수집거부청소년보호정책    *국제표준간행물번호 ISSN 2636-0381 *본지는 인터넷신문위원회 자율심의 준수 서약사입니다
08298) 서울 구로구 공원로 41(구로동, 현대파크빌 427호)  |  대표전화 : 02)867-6200  |  팩스 : 02)867-6203
등록번호 : 서울 아 02659  |  등록일자 : 2013.5.21  |  발행인·편집인 : 조규남  |  청소년보호책임자 : 박경일
Copyright © 2013 로봇신문사. All rights reserved. mail to editor@irobotnews.com