.jpg)
속도에 집착한 개발 경쟁, 휴머노이드 로봇을 ‘움직이는 취약점’으로
[보안뉴스 김형근 기자] 최근 인간형 휴머노이드 로봇 산업이 성장하고 있는 가운데 사이버 보안 침해가 새로운 문제로 등장했다.
[자료: gettyimagesbank]
미국 모건스탠리나 뱅크오브아메리카 등은 휴머노이드 로봇 제조 비용이 점차 하락하면서 2050년까지 수억 대가 보급될 수 있다고 전망했다.
보안 가업 레코디드퓨처 위협 연구 전문팀 인식트그룹 소속 조셉 루크 이사는 “중국이 15차 5개년 계획에서 ‘물리적 실체화된 AI’(embodied AI) 부문을 주도하겠다고 명시하는 등 각국이 이 분야를 주시하고 있다”고 밝혔다.
더 심각한 이유: 휴머노이드 로봇 자체에 내재된 “조용한 위험”
우리나라에선 ‘피지컬AI’라는 표현을 더 많이 쓴다. 단순히 디지털 환경에서 정보를 처리하거나 가상 작업을 수행하는 기존 AI를 넘어, 물리적 몸체를 가지고 현실 세계와 상호작용하며 학습하는 AI를 말한다.
레코디드퓨처는 2024년 가을부터 로봇 산업을 표적으로 한 국가 주도 공작으로 추정되는 공격을 다수 포착해 추적했다.
로봇 산업에 대한 사이버 첩보 활동은 새롭거나 특이한 공격 방식이 아니라, 첨단 제조업 및 고부가가치 기술 산업을 표적으로 하는 것과 유사한 국가 연계 침투 활동의 양상을 보인다.
공격에 사용된 악성코드 역시 다크크리스탈랫(DcRAT), 어싱크랫(AsyncRAT) 같은 일반적 오픈소스 정보 탈취 악성코드가 주를 이루며, 이는 민감한 지적 재산 탈취를 목적으로 한다.
루크 이사는 반도체 및 첨단 전자 산업을 표적으로 한 사례를 언급하며 공격자들이 공급망 내부에도 침투하려 할 가능성이 높다고 경고했다.
제조업체에 대한 위험보다 더 심각한 것은 휴머노이드 로봇 자체에 내재된 위험이다.
로봇 보안 기업 앨리어스 로보틱스 설립자 빅토르 마요랄-빌체스는 저가형 로봇을 판매하는 중국 유니트리(Unitree)의 로봇 제품에서 심각한 취약점을 시연했다.
연구팀은 시연에서 유니트리 로봇의 루트 권한을 확보했을 뿐만 아니라, 블루투스 범위 내 있는 다른 다수 로봇까지 웜처럼 감염시킬 수 있음을 보였다.
마요랄-빌체스는 대다수 로봇 제조사가 CVE와 같은 기본적 사이버 보안 용어나 표준조차 모르고 있다며 업계의 미숙함을 지적했다.
중국, 개발 속도에만 매달려 보안은 관심 안 둬
로봇은 센서, 액추에이터, 계산 시스템 등으로 구성된 ‘시스템의 시스템’이기 때문에 제어 루프의 속도가 1000분의 1초 차이로도 영향을 미친다.
마요랄-빌체스는 로봇 시스템에서 100밀리초 지연은 충돌, 추락, 인명 안전 위험을 초래할 수 있다고 설명한다.
문제는 데이터 통신 보안의 필수 요소인 강력한 인증 및 암호화가 제어 루프의 속도를 저해한다는 점이다.
결국 대부분 로봇 제조 업체들은 속도를 위해 보안을 희생하고 있으며, 이는 안전을 운에 의존하는 위험으로 이어지고 있다.
마요랄-빌체스는 “현재 보안 강화 로봇 운영 체제(SROS) 같은 보안 확장 기술이 개발 중이지만 제로트러스트와 같은 핵심 보안 원칙을 완전히 수용하기에는 아직 미성숙한 단계”라고 진단했다.
[김형근 기자(editor@boannews.com)]
[보안뉴스 김형근 기자] 최근 인간형 휴머노이드 로봇 산업이 성장하고 있는 가운데 사이버 보안 침해가 새로운 문제로 등장했다.
[자료: gettyimagesbank]
미국 모건스탠리나 뱅크오브아메리카 등은 휴머노이드 로봇 제조 비용이 점차 하락하면서 2050년까지 수억 대가 보급될 수 있다고 전망했다.
보안 가업 레코디드퓨처 위협 연구 전문팀 인식트그룹 소속 조셉 루크 이사는 “중국이 15차 5개년 계획에서 ‘물리적 실체화된 AI’(embodied AI) 부문을 주도하겠다고 명시하는 등 각국이 이 분야를 주시하고 있다”고 밝혔다.
더 심각한 이유: 휴머노이드 로봇 자체에 내재된 “조용한 위험”
우리나라에선 ‘피지컬AI’라는 표현을 더 많이 쓴다. 단순히 디지털 환경에서 정보를 처리하거나 가상 작업을 수행하는 기존 AI를 넘어, 물리적 몸체를 가지고 현실 세계와 상호작용하며 학습하는 AI를 말한다.
레코디드퓨처는 2024년 가을부터 로봇 산업을 표적으로 한 국가 주도 공작으로 추정되는 공격을 다수 포착해 추적했다.
로봇 산업에 대한 사이버 첩보 활동은 새롭거나 특이한 공격 방식이 아니라, 첨단 제조업 및 고부가가치 기술 산업을 표적으로 하는 것과 유사한 국가 연계 침투 활동의 양상을 보인다.
공격에 사용된 악성코드 역시 다크크리스탈랫(DcRAT), 어싱크랫(AsyncRAT) 같은 일반적 오픈소스 정보 탈취 악성코드가 주를 이루며, 이는 민감한 지적 재산 탈취를 목적으로 한다.
루크 이사는 반도체 및 첨단 전자 산업을 표적으로 한 사례를 언급하며 공격자들이 공급망 내부에도 침투하려 할 가능성이 높다고 경고했다.
제조업체에 대한 위험보다 더 심각한 것은 휴머노이드 로봇 자체에 내재된 위험이다.
로봇 보안 기업 앨리어스 로보틱스 설립자 빅토르 마요랄-빌체스는 저가형 로봇을 판매하는 중국 유니트리(Unitree)의 로봇 제품에서 심각한 취약점을 시연했다.
연구팀은 시연에서 유니트리 로봇의 루트 권한을 확보했을 뿐만 아니라, 블루투스 범위 내 있는 다른 다수 로봇까지 웜처럼 감염시킬 수 있음을 보였다.
마요랄-빌체스는 대다수 로봇 제조사가 CVE와 같은 기본적 사이버 보안 용어나 표준조차 모르고 있다며 업계의 미숙함을 지적했다.
중국, 개발 속도에만 매달려 보안은 관심 안 둬
로봇은 센서, 액추에이터, 계산 시스템 등으로 구성된 ‘시스템의 시스템’이기 때문에 제어 루프의 속도가 1000분의 1초 차이로도 영향을 미친다.
마요랄-빌체스는 로봇 시스템에서 100밀리초 지연은 충돌, 추락, 인명 안전 위험을 초래할 수 있다고 설명한다.
문제는 데이터 통신 보안의 필수 요소인 강력한 인증 및 암호화가 제어 루프의 속도를 저해한다는 점이다.
결국 대부분 로봇 제조 업체들은 속도를 위해 보안을 희생하고 있으며, 이는 안전을 운에 의존하는 위험으로 이어지고 있다.
마요랄-빌체스는 “현재 보안 강화 로봇 운영 체제(SROS) 같은 보안 확장 기술이 개발 중이지만 제로트러스트와 같은 핵심 보안 원칙을 완전히 수용하기에는 아직 미성숙한 단계”라고 진단했다.
[김형근 기자(editor@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.png)
.png)
.gif)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
