[더구루=김예지 기자] LIG넥스원이 미래 성장 동력 확보를 위해 대규모 투자를 단행해 인수한 미국 고스트 로보틱스의 사족보행 로봇 '비전 60(Vision 60)'에서 치명적인 수준의 보안 취약점이 다수 발견됐다. 국내외 방산 로봇 시장 진출 전략에 '비상'이 걸린 셈이다. 특히 비전 60은 한국 군의 '유무인 복합전투체계' 사업 등에도 활용이 기대되는 첨단 자산인 만큼, 해킹을 통한 로봇 통제권 탈취 및 물리적 위험에 대한 우려가 커지고 있다.

24일 스페인 국립 사이버 보안 연구소(INCIBE)에 따르면 고스트 로보틱스의 비전 60 버전 0.27.2에서 총 세 가지의 심각한 보안 취약점이 발견됐다.

가장 심각한 취약점인 CVE-2025-41108은 CVSS v4.0 기준 9.2점의 '치명적(Critical)' 등급을 받았다. 로봇 통신 프로토콜에 암호화와 인증 메커니즘이 부재하다는 것이 핵심이다. 외부 공격자가 손쉽게 통신 트래픽을 캡처하고 복제해 제어 스테이션을 사칭, 로봇의 전체 제어권을 무단으로 탈취할 수 있게 된다. 이미 널리 알려진 MAVLink 프로토콜을 사용한다는 점이 공격 가능성을 더욱 높이는 요인으로 작용한다.

함께 발견된 두 가지 고위험 취약점 역시 간과할 수 없는 문제다. CVE-2025-41109는 CVSS v4.0 기준 8.7점의 '고위험(High)' 등급을 받았다. 로봇의 RJ45, USB Type-C 등 물리적 포트를 통해 연결 시 인증 절차가 없어, 공격자가 물리적으로 접근하기만 하면 네트워크에 침투할 수 있다. 로봇이 기본 인증 없는 ROS 2를 사용하고 있어 데이터 모니터링이 쉬워진다는 분석이다. CVE-2025-41110은 CVSS v4.0 기준 7.0점의 고위험 등급으로, 로봇의 APK 파일 내에서 암호화된 Wi-Fi 및 SSH 자격 증명이 발견됐다. 공격자가 이를 해독하여 로봇에 원격으로 접속하고 최종적으로 로봇의 완전한 제어권을 확보, 물리적 손상까지 가할 수 있는 것으로 드러났다.

LIG넥스원은 지난해 7월 한국투자프라이빗이쿼티와 함께 고스트 로보틱스 지분 60%를 인수하며 최대 주주에 올라 비전 60을 기반으로 첨단 로봇 시장에 진출할 전략을 세운 바 있다. 비전 60은 정찰·감시 등 군·민수용 응용 가능성이 거론되어 왔다. 특히 미국에서는 비전 60이 일선 군사 및 안보 영역의 핵심 자산으로 활용되어 왔다. 미국 공군은 주요 군사시설의 기지 외곽 경계 및 정찰 임무에 비전 60을 실전 투입하며 성능을 평가했고, 미국 육군은 중동 등에서 정찰 및 대(對)드론 방어 능력을 실험했다. 또한 국토안보부(DHS)는 국경 순찰과 수색·구조 작전에 활용을 모색 중이었다. 유럽 주요국에서도 최전방 임무의 핵심으로 계획되었다. 영국 육군은 23 공수 공병 연대를 통해 고위험 지역 정찰, 병력 대신 위험 지역을 수색하는 '눈과 귀' 역할, 인명 피해 위험이 높은 전투 임무 수행 가능성을 평가했다. 나아가 독일 연방군 조달청(BAAINBw) 역시 비전 60을 정찰 및 지뢰 탐지 등의 분야에 도입하여 전력화를 추진하고 있었다.

핵심 플랫폼에서 다수의 심각한 보안 취약점이 확인되면서 운용 신뢰성에 대한 우려가 커졌다. 특히 이번 취약점은 통신 제어권 탈취 등 잠재적 악용 시나리오를 초래할 수 있어 고위험 임무에 투입될 경우 안전·작전상 심각한 영향을 미칠 가능성이 있다. INCIBE는 현재까지 해당 취약점에 대한 공식적인 해결책이 보고되지 않았다고 밝혔다.