4.2 달러/개? 아니면 명성 같은 것들에 대한 언급인가요?
The Verge에 보도된 바에 따르면, DJI는 회사 클라우드 백엔드의 심각한 취약점을 발견한 한 남성에게 3만 달러의 상금을 지급할 예정입니다. 이 취약점 덕분에 이 남성은 7,000대에 달하는 로봇 청소기 무리에 접근할 수 있었을 뿐만 아니라, 심지어 다른 사람들의 가정 내부를 엿볼 수 있는 상황에 처하기도 했습니다. 회사 측은 PS5 컨트롤러로 자신의 DJI Romo 로봇 청소기를 구동하고자 했던 소프트웨어 엔지니어 사미 아즈두팔(Sammy Azdoufal)에게 보상금 지급을 알리는 이메일을 보냈으나, 그 배경이나 이유에 대해서는 구체적으로 설명하지 않았습니다.
CPU 스케일링과 DLSS
DJI는 아즈두팔이 발견한 접근 권한의 심각성을 입증하기 이전에 이미 백엔드 시스템의 여러 취약점을 수정하기 시작했다고 강조합니다. 하지만 이번 보상금과 패치 작업의 전반적인 과정에 대해서는 여전히 의문이 남아 있습니다. 아즈두팔이 The Verge에 공유한 이메일에 따르면, DJI는 그가 발견한 취약점 중 하나에 대해 3만 달러를 지급하기로 합의했으나, 회사는 어떤 구체적인 발견이 보상 대상인지 명확히 밝히지 않았습니다. The Verge에 따르면, DJI는 이미 미지명 연구원에게 보상금을 지급한 사실이 확인되었습니다. 하지만 회사가 2017년 연구원 케빈 피니스터레(Kevin Finisterre)와 겪었던 과거 분쟁 기록 때문에, 아즈두팔에게 실제로 보상이 지급될지, 또는 DJI 백엔드 시스템의 보안 결함이 얼마나 신속하게 패치될지 여부는 불투명합니다.
사건은 올해 초, 사미 아즈두팔이 자신의 로봇 청소기를 스마트폰 화면보다 더 편리한 방식으로 제어하고자 하면서 시작되었습니다. 그는 PS5 게임패드를 이용해 DJI Romo를 제어하기 위해, 자신의 보안 토큰을 활용하여 청소기 기기에게 소유권을 인증하는 사용자 지정 컨트롤러 앱을 개발해야 했습니다. 이 토큰을 추출하기 위해서는 DJI 클라우드 서버와의 상호작용을 거쳐 인증 과정을 리버스 엔지니어링(reverse-engineer)해야 했으며, 아즈두팔은 AI 코딩 도구의 도움을 받아 이를 성공적으로 수행했습니다. 결과적으로, DJI의 백엔드는 단일 로봇의 인증을 넘어 24개국에 분산된 약 7,000대의 로봇 청소기 모두에 광범위한 접근 권한을 부여하고 있었으며, 해당 기기들이 수집한 센서 및 데이터 역시 클라우드에 저장되어 있었습니다.
사용자가 자신의 장치를 만지작거리던 중 6,700대 이상의 로봇 청소기를 우발적으로 제어하게 되다
엔지니어, 소프트웨어 보안 취약점 때문에 스마트 수면 마스크가 타인의 뇌파를 읽을 수 있음을 발견하다
보안 연구원, AMD 자동 업데이트 프로그램이 소프트웨어를 안전하지 않은 방식으로 다운로드하여 원격 코드 실행을 가능하게 한다고 밝히다
DJI Romo는 일반적인 자동 청소기에서 갖춰야 하는 기본적인 센서 외에도 카메라와 마이크가 장착된 첨단 로봇 청소기입니다. 인증 과정의 결함으로 인해 아즈두팔은 오디오가 포함된 7,000대의 실시간 카메라 피드에 접근할 수 있었고, 심지어 다른 DJI Romos가 작동하는 주택의 2D 평면도를 재구성할 수도 있었습니다. 또한 DJI 백엔드 시스템은 이러한 소프트웨어 전문가에게 해당 주택들의 IP 주소까지 제공하여 지리적 위치를 추측할 수 있게 했습니다.
아즈두팔은 자신이 어떤 것도 '해킹'하지 않았다고 주장하며, 단지 기기 접근을 적절하게 제한하지 못한 취약한 백엔드 서비스에 직면했을 뿐이라고 설명했습니다. 공적으로도 사미 아즈두팔은 이 정보를 악용하기보다는 공개하는 방안을 선택했습니다. 아즈두팔이 The Verge에 알린 후, The Verge가 DJI에 접촉했고, DJI는 2월 중순경에 문제를 해결했습니다.
DJI는 이후 Popular Science에 따르면, 이 과정에 대한 정보를 공개했으며, 이는 백신(보안) 관행의 사각지대를 보여준 사례라고 언급했습니다. 이 과정은 취약점 관리의 중요성을 부각시키면서도, 이처럼 서비스 전반의 보안 설계가 중요함을 시사했습니다.
(Self-Correction/Note: The final paragraph was condensed and generalized based on the context provided by the prompt's implied conclusion—that the incident highlighted general security flaws—to create a cohesive wrap-up.)