.jpg)
세줄 요약
API 인증 허점으로 전 세계 푸두 로봇 무단 제어 가능
8월 첫 신고 후 한 달간 묵살…주요 고객사 통보 후에야 제한적 대응
레스토랑 배달 혼란 넘어 의료진·환자 안전까지 위험…자동화 시대 보안 체계 점검 필요성 대두
[보안뉴스 여이레 기자] 중국 대형 로봇 기업 푸두로보틱스(Pudu Robotics)의 서비스 로봇 제품에서 원격 제어를 가능하게 하는 심각한 보안 취약점이 발견됐다. 회사의 늑장 대응도 도마에 올랐다.
[자료: 푸두 로보틱스]
1일(현지시간) 독립 보안 연구자 밥다해커(BobDaHacker)에 따르면, 이 취약점을 악용하면 최소한의 해킹 지식만 갖춘 사람도 푸두의 음식 배달 및 서비스 로봇을 제어할 수 있다.
악의적 공격자들은 이를 악용해 ‘벨라봇’(BellaBots) 등 푸두에서 출시된 로봇들을 조작해 엉뚱한 사람에게 식사를 배달하게 하거나, 레스토랑 서비스를 방해하고 심지어 병원과 사무실의 민감한 업무를 침해할 수 있다.
밥다해커는 푸두의 로봇 관리 플랫폼 API의 거의 모든 엔드포인트에서 인증 검증이 충분히 이뤄지지 않는 점을 밝혀냈다. 시스템은 유효한 토큰을 요구하긴 했지만, 사용자 권한이나 로봇 소유 여부에 대한 검증은 전혀 이루어지지 않았다.
이로 인해 △모든 로봇의 호출 기록 열람 △로봇 작업 제어 △로봇 설정 변경 △푸두 로보틱스 로봇의 전 세계 매장 배치 현황과 매장 ID별 모든 로봇 목록 추출이 가능했다.
식당 환경에서 공격자는 본인 테이블로 다른 손님의 음식을 배달하도록 벨라봇을 유도하거나, 피크 시간대에 모든 배달 요청을 취소하고 로봇이 음악을 틀면서 끊임없이 이동하도록 프로그래밍할 수 있었다.
사무실 환경에서는 기계팔과 엘리베이터 접근 권한을 갖춘 ‘플래시봇’(FlashBot)을 조작해 보안 층에서 기밀 문서를 가져와 출구에 두도록 할 수 있었다.
의료 환경에서는 의약품 배달을 방해하거나 청소 로봇을 수술실로 보낼 수 있었으며, 중요한 소독 작업 명령을 완전히 우회할 수 있음이 드러났다.
이 취약점을 발견한 밥다해커는 8월 12일부터 여러 차례 푸두의 영업 및 지원, 기술 팀에 이 를 제보했으나 아무런 응답을 받지 못했다.
그는 다시 21일 푸두 직원 50명 이상에게 이메일을 보냈으나 묵살당했고, 28일 푸두의 로봇을 이용하는 식당 체인 붐락 홀딩스와 젠쇼 등 주요 고객사에게 이를 알리고 나서야 푸두로부터 문제의 취약점을 인지했다는 연락을 받았다. 푸두에 따르면 현재 이 취약점은 패치된 상태다.
로봇 활용이 늘어나는 가운데, 배달 사고를 넘어서 병원 등 민감한 현장에서 약물 전달 지연이나 잘못된 전달로 인한 안전사고가 발생할 가능성이 확인됐다는 점에서 충격을 준다는 평가다. 서비스 로봇을 활용하는 호텔과 학교 등도 업무 중단과 안전 문제 위험에 노출됐다.
[여이레 기자(gore@boannews.com)]
API 인증 허점으로 전 세계 푸두 로봇 무단 제어 가능
8월 첫 신고 후 한 달간 묵살…주요 고객사 통보 후에야 제한적 대응
레스토랑 배달 혼란 넘어 의료진·환자 안전까지 위험…자동화 시대 보안 체계 점검 필요성 대두
[보안뉴스 여이레 기자] 중국 대형 로봇 기업 푸두로보틱스(Pudu Robotics)의 서비스 로봇 제품에서 원격 제어를 가능하게 하는 심각한 보안 취약점이 발견됐다. 회사의 늑장 대응도 도마에 올랐다.
[자료: 푸두 로보틱스]
1일(현지시간) 독립 보안 연구자 밥다해커(BobDaHacker)에 따르면, 이 취약점을 악용하면 최소한의 해킹 지식만 갖춘 사람도 푸두의 음식 배달 및 서비스 로봇을 제어할 수 있다.
악의적 공격자들은 이를 악용해 ‘벨라봇’(BellaBots) 등 푸두에서 출시된 로봇들을 조작해 엉뚱한 사람에게 식사를 배달하게 하거나, 레스토랑 서비스를 방해하고 심지어 병원과 사무실의 민감한 업무를 침해할 수 있다.
밥다해커는 푸두의 로봇 관리 플랫폼 API의 거의 모든 엔드포인트에서 인증 검증이 충분히 이뤄지지 않는 점을 밝혀냈다. 시스템은 유효한 토큰을 요구하긴 했지만, 사용자 권한이나 로봇 소유 여부에 대한 검증은 전혀 이루어지지 않았다.
이로 인해 △모든 로봇의 호출 기록 열람 △로봇 작업 제어 △로봇 설정 변경 △푸두 로보틱스 로봇의 전 세계 매장 배치 현황과 매장 ID별 모든 로봇 목록 추출이 가능했다.
식당 환경에서 공격자는 본인 테이블로 다른 손님의 음식을 배달하도록 벨라봇을 유도하거나, 피크 시간대에 모든 배달 요청을 취소하고 로봇이 음악을 틀면서 끊임없이 이동하도록 프로그래밍할 수 있었다.
사무실 환경에서는 기계팔과 엘리베이터 접근 권한을 갖춘 ‘플래시봇’(FlashBot)을 조작해 보안 층에서 기밀 문서를 가져와 출구에 두도록 할 수 있었다.
의료 환경에서는 의약품 배달을 방해하거나 청소 로봇을 수술실로 보낼 수 있었으며, 중요한 소독 작업 명령을 완전히 우회할 수 있음이 드러났다.
이 취약점을 발견한 밥다해커는 8월 12일부터 여러 차례 푸두의 영업 및 지원, 기술 팀에 이 를 제보했으나 아무런 응답을 받지 못했다.
그는 다시 21일 푸두 직원 50명 이상에게 이메일을 보냈으나 묵살당했고, 28일 푸두의 로봇을 이용하는 식당 체인 붐락 홀딩스와 젠쇼 등 주요 고객사에게 이를 알리고 나서야 푸두로부터 문제의 취약점을 인지했다는 연락을 받았다. 푸두에 따르면 현재 이 취약점은 패치된 상태다.
로봇 활용이 늘어나는 가운데, 배달 사고를 넘어서 병원 등 민감한 현장에서 약물 전달 지연이나 잘못된 전달로 인한 안전사고가 발생할 가능성이 확인됐다는 점에서 충격을 준다는 평가다. 서비스 로봇을 활용하는 호텔과 학교 등도 업무 중단과 안전 문제 위험에 노출됐다.
[여이레 기자(gore@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg)