Wired '이번 주 보안 뉴스' 공개… 5,000달러 Yarbo 로봇 잔디깎이 원격 탈취 취약점, ShinyHunters의 Instructure 캔버스 랜섬웨어·메타 인스타 DM 종단간 암호화 폐지·폴란드 5개 지자체 정수장 침투
Wired가 매주 정리하는 보안·프라이버시 뉴스 라운드업의 헤드라인으로 5,000달러짜리 Yarbo 로봇 잔디깎이의 보안 취약점이 다뤄졌다. 200파운드 무게에 잔디깎이뿐 아니라 블로어, 제설기, 엣저 기능을 겸하는 이 로봇은 한 보안 연구자가 다수의 취약점을 발견해 The Verge에 제보한 것으로 보도됐다.
발견된 결함을 통해 공격자는 로봇을 원격으로 탈취할 수 있고, 카메라 피드 접근, 소유주 이메일 주소·Wi-Fi 비밀번호·집 위치 정보까지 추출할 수 있는 것으로 확인됐다. Yarbo 대변인은 The Verge에 "진단 환경은 공개적으로 접근 불가능하다(diagnostic environment is not publicly accessible)"고 답했지만, 보안 연구자와 기자는 탈취된 로봇이 기자에게 돌진하는 시연으로 회사 입장을 반박했다. 이후 회사는 적어도 한 가지 결함에 대한 수정 작업을 진행 중이라고 밝혔다.
같은 라운드업에서 다뤄진 또 다른 사건은 교육 테크 기업 Instructure가 랜섬웨어 공격을 받은 뒤 학습 플랫폼 Canvas가 목요일 '유지보수 모드(maintenance mode)'로 전환된 일이다. ShinyHunters를 자처한 해커들이 책임을 주장했고, 미 전역의 학생들은 기말고사 일정 직전 학습 플랫폼 중단으로 직접적인 영향을 받았다.
또 보안 연구자들은 수천 개의 '바이브 코딩(vibe coded)' 앱이 공개 인터넷에 그대로 노출돼 기업·개인의 민감 정보가 드러난 사례들을 보고했다. Wired는 "바이브 코딩이 가능하다고 해서 반드시 그렇게 해야 한다는 의미는 아니다"라며 보안적 함의를 짚었다.
미국 국토안보부(DHS)는 미니애폴리스에서 Renee Good과 Alex Pretti가 살해된 사건 이후 미 이민 단속 전술을 비판한 캐나다인 남성의 위치 데이터·계정 활동을 확보하기 위해 구글에 소환장을 발부했다. 해당 남성은 10년 넘게 미국을 방문하지 않은 상태이며, 미국시민자유연맹(ACLU)은 이번 주 그를 대신해 DHS를 상대로 진정을 제기했다.
마크 저커버그의 메타는 5월 8일자로 인스타그램 DM의 종단간 암호화(end-to-end encryption) 지원을 중단했다. 메타는 2023년 메신저에 기본 종단간 암호화를 도입한 뒤 인스타그램에는 옵트인 형태로 암호화를 제공하고 향후 기본값으로 전환하겠다고 밝힌 바 있다. 그러나 올해 3월 충분한 사용자가 옵트인하지 않았다는 이유로 옵션 자체를 제거하기로 결정했고, 프라이버시·보안 전문가들은 이번 후퇴가 전 세계 종단간 암호화 정책에 악영향을 줄 수 있다고 우려를 표했다.
트럼프 행정부는 새 대테러 전략 문건을 공개하며 카르텔, 이슬람주의 테러 단체와 함께 '폭력적 좌익 극단주의자(violent left wing extremists)'를 3대 위협으로 규정했다. 메모는 무정부주의자·반파시스트들을 이 범주에 포함하고 그들의 이념이 '반미국적(anti-American)'이며 '급진적으로 친(親)트랜스젠더(radically pro-transgender)'라고 표현했다. 또 "그들이 무고한 이를 다치게 하거나 죽이기 전에 운영적으로 무력화하기 위해 헌법적으로 가능한 모든 수단을 동원하겠다"고 명시했다.
르몽드, 가디언, 슈피겔 등이 참여한 언론 컨소시엄은 러시아 군 정보국(GRU)으로 이어지는 파이프라인 의혹이 있는 모스크바 바우만 국립공과대학교 내부의 '4과(Department 4)'와 관련된 문건을 공개했다. 보도에 따르면 Fancy Bear와 연관된 GRU 정보 장교들이 4과에서 해킹 기술을 가르치며 학생들은 침투 테스트를 의무적으로 수행한다. 일부 졸업생은 우크라이나 전력망·동계 올림픽 공격과 전 세계에 수십억 달러 규모 피해를 입힌 NotPetya 멀웨어 사건과 연결된 Sandworm 조직에도 합류한 것으로 알려졌다.
폴란드 국내 정보기관 ABW는 지난해 폴란드 5개 도시의 정수장 네트워크가 해커들에 의해 침투당했다고 경고했다. 일부 사례에서는 공격자가 시설의 물리적 운용에 영향을 줄 수 있는 산업 제어 시스템에까지 접근했으며, ABW는 이를 "식수 공급 연속성에 대한 직접적 위험(direct risk)"으로 규정했다. 보고서는 특정 국가 지원 해커를 지목하지는 않았지만, 폴란드를 향한 해킹이 "특히 러시아 연방 특수 서비스에 의해" 격화되고 있다고 평가했다.