현대차 뛰어든 휴머노이드 로봇, 블루투스 해킹에 '속수무책'

인공지능(AI)을 활용한 사이버 공격이 급증하는 가운데 휴머노이드 로봇이 새로운 해킹 표적으로 떠올랐다. 한국 기업의 83%가 AI 관련 보안 사고를 경험한 것으로 나타난 상황에서, 2050년까지 7000조 원 규모로 성장할 휴머노이드 로봇 시장이 심각한 보안 위협에 노출됐다는 경고가 나왔다.

영국 IT 전문매체 더레지스터는 9일(현지시간) 휴머노이드 로봇이 본격 보급되면서 해킹을 통한 물리 형태의 봇넷이 등장할 수 있다는 보안 전문가들의 우려를 보도했다.

사이버 보안 기업 리코디드 퓨처의 조지프 룩 인사이트그룹 리스크 인사이트 이사는 "로봇에 보안을 구축하는 것이 필수"라고 강조했다.


룩 이사는 30억 대 로봇이 사용되는 시대의 최악 시나리오로 "아이로봇 영화에 나오는 것 같은 상황이 벌어져 돌이킬 수 없게 되는 것"이라며 "물리 형태를 갖춘 봇넷이 현실화하고 있다"고 말했다.
지난 9월 말 연구진은 중국 유니트리 로보틱스 휴머노이드 로봇이 사용하는 블루투스 저전력(BLE) 와이파이 구성 인터페이스에서 여러 보안 결함을 악용한 개념증명(PoC) 해킹 기술 세부 내용을 공개했다. 하드코딩된 암호화 키, 간단한 인증 우회, 검증 처리되지 않은 명령 주입 등 취약점이 드러났다.

빅터 마요랄-빌체스, 안드레아스 마크리스, 케빈 피니스테러 연구원은 "특히 우려스러운 점은 이것이 컴퓨터 바이러스처럼 자동으로 퍼져나갈 수 있다는 것"이라며 "감염된 로봇이 블루투스 저전력 범위 내 다른 로봇을 스스로 감염시킬 수 있다"고 밝혔다. 마치 감염자가 다른 사람을 접촉만으로 감염시키는 것처럼, 해킹당한 로봇이 주변 로봇들을 자동으로 해킹한다는 설명이다. 공격자가 장치를 완전히 장악할 수 있는 취약점이다.

룩 이사는 세 가지 요인이 결합해 AI 로봇 시스템의 '완벽한 폭풍'을 만들고 있다고 분석했다. 첫째 로봇 기술이 이미 공장에서 오래 사용됐고 이제 보행 로봇이 개발되고 있다는 점, 둘째 센서와 청각 장치가 서버에 갇힌 AI를 학습시키는 것과 같은 방식으로 학습할 수 있는 수단이 생겼다는 점, 셋째 전 세계 인구 감소와 고령화로 노동력 부족이 발생하면서 생산성 향상을 위해 로봇 기술에 의존하게 됐다는 점을 꼽았다.

인터넷 연결 장치와 마찬가지로 로봇은 해킹, 데이터 유출, 장기 스파이 활동, 지식재산권 절도 같은 사이버 공격에 취약하다. 로봇 사용자뿐 아니라 휴머노이드 로봇을 제조하는 기업과 공급업체도 위험에 노출된다.

리코디드 퓨처는 아직 로봇 기업 침해 사례를 공개 보고하지 않았으나, 위협 분석팀은 방산, 전자, 제조 기업을 겨냥하는 중국 정부 후원 스파이 집단 레드노벰버(마이크로소프트는 스톰-2077로 명명)와 다른 집단을 추적하고 있다.
룩 이사는 "로봇 기업을 겨냥한다는 구체 증거는 없으나 분명히 그들의 수법에 부합한다"며 "중국의 15차 5개년 계획에 해당 산업이 포함돼 있다면 기본으로 사전 경고를 받고 있는 것"이라고 말했다. 최근 5개년 계획은 AI와 스마트 로봇, 경제 성장에서 이들의 역할을 크게 강조하고 있다.


룩 이사는 네오 같은 가정용 도우미 휴머노이드 로봇이 시장에 출시되면 소비자에게도 잠재적 보안 위험이 있다고 지적했다. 소비자가 노트북 구입 후처럼 로봇 소프트웨어를 업데이트할 책임을 지게 될 가능성이 크다는 것이다.

그는 "내 맥을 업데이트하는 것이 내 일이고, 업데이트하지 않아 해킹당하면 내가 문제 발생에 책임이 있다"며 "로봇도 같은 상황이 벌어질 수 있다"고 설명했다.

룩 이사는 휴머노이드 로봇을 보호하기 위해 특별히 설계된 새로운 기업들이 등장할 것으로 전망했다. 이 로봇들은 본질적으로 사물인터넷(IoT) 장치이지만, 내장형 인공지능 시스템을 갖췄다는 점이 다르다. 우유가 떨어지면 알려주는 연결된 냉장고 같은 다른 대형 IoT 기기와 달리, 이 로봇들은 두 발로 걸으며 '눈'과 '귀'를 갖춰 온갖 사악한 목적으로 악용될 수 있다.

그는 휴머노이드 로봇 보안 스타트업이 어떤 모습일지 현재로서는 추측에 불과하다면서도 "스테로이드를 맞은 IoT"가 될 것이라고 예상했다. 휴머노이드 로봇 전용 보안 산업은 향후 10년 안에 등장할 새로운 시장으로 꼽힌다.


한국은 세계 IT 강국이나 로봇 보안 분야에서 구조 문제점을 노출하고 있다. 로봇 전문가들은 국내 로봇 제조사 대부분이 여전히 기능 완성에 개발 역량을 집중하고 보안은 후순위로 미루거나 제품 출시 후 긴급 패치에 의존한다고 지적한다. 2025년부터 2027년까지 유럽연합(EU)의 사이버 복원력 법과 미국의 사이버 신뢰 마크가 시행되면 설계 단계부터 보안을 내재화하지 못한 로봇은 EU와 미국 시장 진출이 불가능해진다. 국내 기업들은 경량화되고 다양한 플랫폼을 지원하는 로봇 전용 보안 에이전트에 대한 투자나 내재화 역량이 현저히 부족한 실정이다. IEC 62443, PSA Certified, ISO 10218 등 국제표준에 대한 기술 대응이 시급하다는 지적이 나온다.


박정한 글로벌이코노믹 기자 park@g-enews.com