中 유니트리 로봇, 심각한 보안 취약점 발견: 원격 조종 '좀비 로봇' 봇넷화 우려¶
원제목: Critical flaws in Chinese robots. A zombie robot bonet can be remotely controlled.
핵심 요약
- 중국 유니트리 로봇에서 치명적인 보안 취약점이 발견되어 원격 제어 및 봇넷화 위험이 있음.
- 블루투스 저에너지(BLE) 시스템의 취약점으로 관리자 권한을 탈취하여 기기에 대한 완전한 통제가 가능함.
- 일부 유니트리 로봇이 민감한 데이터를 중국 서버로 전송하며, 이는 국가 안보에 대한 심각한 우려를 제기함.
상세 내용¶
지난 2025년 9월 27일, 중국 유니트리 로보틱스가 생산하는 로봇에서 수많은 기기를 원격 제어하고 악의적으로 이용할 수 있는 심각한 취약점이 보고되어 새로운 우려가 제기되었습니다. IEEE 스펙트럼에 따르면, 연구진은 이 회사 로봇의 초기 Wi-Fi 네트워크 설정에 사용되는 블루투스 저에너지(BLE) 시스템에서 치명적인 결함을 발견했습니다. 이 약점은 공격자가 기기의 안드로이드 운영체제에서 루트 권한을 얻어 로봇을 완전히 통제할 수 있도록 허용합니다.
보안 연구원 안드레아스 마크리스는 로봇이 일단 감염되면, 블루투스 범위 내에 있는 다른 유니트리 기기로 자동으로 전파되어 사람의 개입 없이 스스로 복제하는 봇넷으로 변모할 수 있다고 설명했습니다. 인증 메커니즘은 특히 취약한 것으로 드러났는데, 유니트리 로봇은 'unitree'라는 하드코딩된 문자열을 암호화하는 것만으로 접근을 허용합니다. 이로 인해 공격자는 Wi-Fi 네트워크의 SSID와 비밀번호로 위장한 임의의 코드를 삽입할 수 있으며, 로봇이 연결을 시도할 때 추가적인 검증 없이 관리자 권한으로 코드가 실행됩니다.
마크리스는 이러한 익스플로잇이 사용자들이 펌웨어를 업데이트하는 것을 방해하여 기기를 영구적으로 취약하게 만들고 대량 탈취의 길을 열 수 있다고 덧붙였습니다. 영향을 받는 모델에는 사족보행 로봇견 Go2 및 B2와 휴머노이드 로봇 G1 및 H1이 포함됩니다. 상업용 휴머노이드 로봇 플랫폼에서 이 정도 규모의 결함이 공개된 것은 이번이 처음입니다. 연구진은 2025년 5월부터 유니트리 로보틱스에 연락을 시도했지만, 여러 차례 실패한 소통 시도 끝에 회사는 지난 7월부터 응답을 중단한 것으로 알려졌습니다.
이러한 협력 부족은 결국 취약점의 공개로 이어졌습니다. 마크리스는 이전에 유니트리 Go1 모델에서도 백도어를 발견했었다고 언급하며, 이러한 결함의 근원에 대해 부주의한 개발의 결과인지 아니면 의도적인 구현인지에 대한 의문을 제기했습니다. 또한, 알리아스 로보틱스(Alias Robotics)의 설립자인 빅터 마요랄-빌체스(Victor Mayoral-Vilches)는 유니트리 로봇이 오디오, 비디오, 공간 정보를 포함할 수 있는 텔레메트리 데이터를 중국 서버로 전송하고 있다고 주장했습니다. 마요랄-빌체스는 이 장치들이 전 세계적으로 널리 사용되고 있지만, 많은 사용자들이 그 사용과 관련된 위험을 인식하지 못하고 있다는 점을 강조했습니다.
이러한 논란 속에서 전문가는 즉각적인 보호 조치로 사용자들에게 로봇을 격리된 Wi-Fi 네트워크에만 연결하고 블루투스 연결을 비활성화할 것을 권고하고 있습니다. 이 문제는 개인적인 우려에만 국한되지 않습니다. 2025년 8월, 타이베이시는 도시 순찰을 위해 Go2 모델을 배치하여 데이터 보안에 대한 의문을 제기했습니다. 2025년 5월 5일, 미국 하원 대중국 전략 경쟁 특별 위원회는 국방부 장관, 상무부 장관 및 연방통신위원회 의장에게 서한을 보내 유니트리가 “국가 안보에 대한 커지는 위협”을 제기한다고 경고했습니다. 이 회사의 로봇은 이미 교도소, 경찰, 미군 기지와 같은 민감한 환경에 배치된 것으로 알려져 있으며, 백도어의 존재와 원격 감시 가능성 때문에 일부 관찰자들은 이를 ‘카메라 달린 트로이 목마’라고 부르고 있습니다. 현재까지 유니트리 로보틱스는 어떠한 공식적인 입장도 발표하지 않고 있습니다.
편집자 노트¶
이번 유니트리 로보틱스의 로봇에서 발견된 치명적인 보안 취약점은 단순한 기술적 결함을 넘어설 수 있는 광범위한 의미를 내포하고 있습니다. 일반 사용자들에게 '블루투스 저에너지(BLE) 시스템의 취약점을 통해 루트 권한을 탈취한다'는 설명은 다소 어렵게 들릴 수 있으나, 이는 마치 로봇에 달린 문을 열 수 있는 열쇠가 모두에게 공개되어 있고, 심지어 이 열쇠를 위조하는 것도 매우 쉽다는 의미와 같습니다. 'unitree'라는 하드코딩된 문자열을 암호화하는 것만으로 접근을 허용하는 방식은 보안의 기본 원칙조차 지키지 않은 매우 부실한 설계로, 이는 로봇이 공격자에게 완전히 장악당할 수 있는 치명적인 구멍을 제공합니다. 이 취약점을 통해 로봇은 원격에서 조종될 수 있고, 심지어 다른 로봇으로 감염을 퍼뜨려 거대한 '좀비 로봇 봇넷'을 형성할 수도 있습니다.
이 뉴스는 우리 일상에 로봇이 점점 더 깊숙이 들어오는 현 시점에서 로봇 보안이 얼마나 중요한지를 극명하게 보여줍니다. 이제 로봇은 단순한 가전제품을 넘어 우리 주변을 이동하고 데이터를 수집하며 때로는 공공 안전에도 기여합니다. 만약 여러분의 가정에 있는 로봇 청소기나 반려 로봇이 해킹되어 개인 정보를 수집하거나, 심지어 의도치 않은 행동을 한다고 상상해보십시오. 이번 사건은 특히 유니트리 로봇이 군사 시설이나 경찰 등 민감한 환경에도 배치되어 있다는 점에서 국가 안보에 대한 심각한 위협으로도 해석될 수 있습니다. '카메라 달린 트로이 목마'라는 표현처럼, 이 로봇들이 은밀하게 중요 정보를 외부로 유출할 가능성은 간과할 수 없는 문제입니다. 이는 우리가 로봇 기술의 편리함만을 좇을 것이 아니라, 그 안에 내재된 보안 위험과 윤리적 문제에 대한 깊이 있는 성찰이 필요함을 시사합니다.
유니트리 로보틱스가 연구진의 연락 시도에 묵묵부답으로 일관한 점은 이번 문제의 심각성을 더욱 키웁니다. 이는 기업의 무능력이나 부주의를 넘어, 잠재적으로 더 심각한 의도적 백도어 설치 의혹으로까지 이어질 수 있습니다. 이번 사례는 로봇 제조사들이 단순한 기능 구현을 넘어 제품의 생명 주기 전반에 걸친 보안 강화에 책임감을 가져야 함을 보여주는 중요한 전환점이 될 것입니다. 앞으로 로봇 기술이 발전하고 보급될수록, 로봇의 설계 단계부터 보안을 최우선으로 고려하고, 투명한 취약점 공개 및 대응 체계를 구축하는 것이 중요해질 것입니다. 또한, 로봇을 사용하는 국가 및 기관들은 이러한 보안 리스크를 면밀히 평가하고 적절한 규제와 사용 지침을 마련해야 할 필요성이 더욱 커질 것입니다.