소프트뱅크의 휴머노이드 로봇 페퍼에 보안 취약점이 발견됐다는 소식이 들린다.

‘더 레지스터’에 따르면 최근 스웨덴의 연구원들은 페퍼가 무수한 보안 허점을 갖고 있다는 연구 결과를 발표했다.

스웨덴의 외레브로대학(Örebro University)의 알베르토 지아레타(Alberto Giaretta)와 스웨덴 공과대학의 미셸 드 돈노(Michele De Donno), 니콜라 드고니(Nicola Drgoni)는 페퍼를 대상으로 다양한 일회성 스턴트 해킹을 한 결과, 페퍼가 여러 측면에서 보안 취약성을 보였다고 전했다. 연구에 따르면 원격에서 페퍼를 사이버 및 물리적 무기로 바꿔 악의적인 행동을 하도록 드러내는 것은 쉬운 일이라는 것이다.

로봇은 인증되지 않은 루트 레벨 액세스를 허용하고 CPU 보안 결함인 멜트다운(Meltdown)과 스펙터(Spectre) 취약 프로세서를 실행한다. 또 암호화되지 않은 HTTP를 통해 관리되며 디폴트 루트 암호가 있다고 지적했다. 멜트다운과 스펙터의 취약성은 uname-a라는 터미널 명령어만으로 쉽게 식별이 되었다. 이터캡(Ettercap) 및 와이어샤크(Wireshark) 작업의 일부는 관리자 페이지가 보안되지 않았음을 보여주었고 이는 나오라고 불리는 유일한 사용자 계정의 아이디와 패스워드가 노출되도록 놔두었다.

로봇은 루트 SSH 액세스를 허용하기보다는 나오에 SSH 액세스를 제한함으로써 보안을 일부 구현했지만 루트 계정의 암호는 ‘루트’(변경할 수 없고 사용자 매뉴얼에 문서화돼있다)이므로 나오 터미널에 대한 슈퍼이용자 명령은 공격자에게 완전한 권한을 부여해줬다. 관리자 패널에는 ‘로그 오프’ 기능도 없다.

연구자들은 “이런 종류의 공격에 쉽게 취약한 제품이 2018년에 판매되는 것은 용납되어서는 안될 일”이라고 비판했다. 특히 페퍼는 무차별 공격에 취약한 것으로 알려진다. 연구진들은 "소프트뱅크의 엔지니어들은 무제한의 암호 시도로 페퍼를 망치는 공격자에 대한 어떤 보호 장치도 제공하지 않았다"며 "무차별 공격에 대한 대책이 배포되지 않았다는 것은 매우 실망스러운 것"이라고 지적했다.

연구자들의 또 다른 조사 대상은 페퍼 응용 프로그램인 'SAM(Simple Animated Messages)'으로 이는 사용자가 페퍼를 움직이게 하고, 텍스트 음성 변환 서비스로 무언가를 말하게 하고, 내장 태블릿에 그림을 보여주는 등의 간단한 연출을 디자인하는 역할을 한다.

연구팀은 "응용 프로그램은 파일 확장자를 제어하지 않았다. 실제로 우리는 이미지와 확장자가 이미지로 수정된 텍스트 파일, 그리고 심지어 확장자 편집을 수행하지 않은 일반 텍스트 파일까지 업로드할 수 있었다"며 "그들은 개념증명을 하지 않기로 결정했지만 공격자가 쉽게 악용할 수 있음을 파악했다"고 설명했다.

그런 다음 페퍼 API는 파이썬, C++ 및 자바와 같은 언어를 통해 기능을 노출하고 모든 센서, 카메라, 마이크 및 가동부품(moving part)에 액세스할 수 있는 등 놀랍도록 취약하다는 것이다. 페퍼는 TCP 메시지를 받아들인 포트 9559에서 서비스를 노출하고 그에 따라 반응한다. 메시지가 API를 따르는 한, 설계상으로 페퍼는 누구든지 전송하는 사람의 패킷을 인증없이 수락하게 돼있다.

TCP를 통해 페퍼와 통신할 수 있는 공격자는 카메라와 마이크를 사용해 사람과 대화를 감시할 수 있다. 사람들과 원격으로 상호작용할 수 있어 가령 개인 정보를 제공하도록 속이는 것도 가능하다. 뿐만 아니라 페퍼를 공격 로봇으로 악용할 수도 있다. 혹은 종료나 공장 초기화 명령을 내릴지도 모른다.