아니 땐 굴뚝에 연기 혹은 오비이락? DJI 안드로이드 앱의 비밀

세계 최대 드론 제조사 중 하나인 DJI...안드로이드 제어 앱에서 희한한 기능 나와
멀웨어들이 가지고 있는 기능들 탑재해...DJI는 “드론 비행 안전을 위해 불가피”

[보안뉴스 문가용 기자] 중국의 드론 제조사인 DJI가 최근 자사 앱에서 발견된 취약점들에 대한 입장문을 발표했다. 문제의 취약점들은 프랑스의 보안 업체인 시낙티브(Synacktiv)가 DJI의 안드로이드 애플리케이션인 ‘DJI 고 4(DJI GO 4)’에서 발견한 것으로, 이 앱은 사용자들이 안드로이드 장비로 DJI 드론을 제어할 수 있게끔 개발되었다.

[이미지 = utoimage]

DJI는 화웨이 등과 마찬가지로 중국의 기술 기업으로, 지난 몇 년 동안 사이버 스파이 행위와 관련된 의혹을 받아왔다. 특히 미국 정부 요원들은 DJI가 중국 정부의 스파이 공격을 돕는다고 공공연하게 말하기 시작했다. DJI는 이러한 주장을 부인했고, 미국의 국토안보부나 부즈앨런해밀턴(Booz Allen Hamilton) 모두 DJI 드론으로부터 의심되는 점을 찾아내지 못했다.

시낙티브가 발표한 바에 따르면 ‘DJI 고 4’에는 몇 가지 보안 구멍들이 존재하고 있다고 한다. 특히 이 앱에는 ‘안티디버깅’, ‘난독화’, ‘동적 암호화’, ‘패킹’과 같은 기능들이 있는데, 시낙티브는 “이런 기능들은 주로 멀웨어들이 분석 방해를 위해 가지고 있는 것들”이라고 지적한다. 게다가 벤더가 사용자 허락 없이 업데이트 등의 새로운 소프트웨어를 설치할 수 있게 해주는 기능도 있다. 실제 이 기능을 통해 다운로드가 이뤄진 횟수는 1백만 번이 넘는다고 한다. 이 기능은 구글 플레이도 거치지 않기 때문에 마치 멀웨어의 로더처럼 작동하는 것도 가능하다.

“또한 DJI GO 4는 권한도 꽤나 많이 요구합니다. 연락처와 마이크로폰, 카메라에 대한 접근 권한을 요구하고, 위치 정보, 스토리지, 네트워크 연결 변경 권한 등도 가져가려 합니다. 사실상 사용자 장비에 대한 거의 모든 제어 권한을 요구한다고 볼 수 있습니다. 그러니까 구글의 정책을 완전히 벗어난 업데이트가 가능한 겁니다. 앱이 이런 식으로 설계가 되어 있으면 구글이 미리 확인을 할 수가 없습니다. 개발사는 거의 무한대의 권한을 누릴 수 있고요.”

시낙티브는 DJI 고 4가 모브테크(MobTech)라는 데이터 첩보 플래폼과 관련이 있는 SDK를 사용하고 있다는 것도 이번 분석을 통해 밝혀냈다. 문제의 SDK는 장비의 IMEI, IMSI, SIM 카드 번호를 수집하는 것으로 알려져 있다. “이런 데이터와 드론을 조정하는 것과 무슨 상관이 있을까요? IMSI와 같은 정보는 통신사만 알고 있으면 되는 정보인데 말입니다. 심지어 DJI가 내세우는 프라이버시 정책을 스스로 어기는 것이기도 합니다.”

DJI 고 4 애플리케이션은 배경에서 끊임없이 돌아가고 있었으며, 사용자가 닫아도 네트워크 요청을 생성하고 있는 것으로 나타나기도 했다. DJI 고 4는 iOS 버전도 존재한다. 하지만 난독화 기술과 구글 플레이 우회 원리는 iOS 버전에 없는 것으로 나타났다.

이렇듯 멀웨어로 봐도 무방한 기능이 있다는 사실이 공개되자 DJI를 향한 비판이 이어졌다. 화웨이와 마찬가지로 중국 정부의 스파이 공격을 보조하는 또 다른 사례라는 의혹이 불거져 나왔다. DJI는 “시낙티브가 제기한 의혹은 전부 가설의 취약점들”이라고 반박하며, “그 증거로 실제 익스플로잇 사례가 하나도 없다”고 주장했다. 또한 “최대 3만 달러 규모의 버그바운티를 진행할 정도로 앱 보안에 관심이 높다”고 말했다.

그러면서 “사용자들이 해킹된 버전을 다운로드 받지 않게 하기 위해, 제대로 된 DJI 업데이트를 미리미리 푸시하기 위해 그와 같은 업데이트 매커니즘을 도입했다”고 해명했다. “드론을 공중에 날린다는 건 생각보다 민감한 일입니다. 특히 안전에 관한 까다로운 규정들이 존재하고, 이를 앱을 통해 빠짐없이 구현하는 게 중요합니다. 해킹된 버전으로 드론 비행을 실시할 경우, 사용자가 이러한 규정을 못 지킬 수 있고, 심지어 정상 버전이라도 규정이 제대로 반영된 최신 버전이 아닐 경우에도 문제가 생길 소지가 큽니다. 드론 제어 앱은 이러한 방식으로 운영되는 게 가장 적합하다고 판단했습니다.”

게다가 ‘DJI 고 4’는 드론 비행을 취미로 하는 아마추어들을 위한 앱이라는 점도 강조했다. DJI는 정부 기관에서 사용하는 전문 드론의 경우에는 따로 독자적인 앱이 존재하며 오프라인 업데이트만 가능하도록 설계되어 있다고 밝혔다.

모브테크 요소들이 발견된다는 부분에 관해서 DJI 측은 “취약점이 포함된 버전이 있다는 것이 확인되었을 때까지만 사용했던 것”이라고 해명했다. 또한 모브테크의 SDK 요소가 사용된 이유는 “취미로 드론을 날리는 사용자들 대부분 드론으로 사진과 영상을 찍어 공유하는 활동을 한다”며 “그런 소셜미디어 업로드 및 공유 기능을 탑재하기 위한 것이었다”고 밝혔다.

3줄 요약
1. 중국의 유명 드론 업체 DJI의 안드로이드 앱에서 멀웨어 비슷한 특징들 나타남.
2. 중국 정부의 끄나풀이라는 의혹이 제기됨. 마치 화웨이 사태를 보는 듯함.
3. DJI는 드론 제어를 위한 애플리케이션의 특수성 강조하는 해명 발표함.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)