GPS를 이용해 스마트폰 등 위치를 특정할 수 있는 GPS 트래커는 어린이나 애완동물, 자동차 위치를 파악하기 위해 사용하는 장치다. 저렴한 건 2만원 가량으로 아마존 등에서 구입할 수 있다. 그런데 보안 기업인 어베스트소프트웨어에 따르면 GPS 트래커 중 60만 대가 도청이나 스푸핑 공격에 취약하다고 한다.
GPS 트래커는 GPS 모듈에서 취득한 위치 정보를 통신 모듈로 전송하고 소유자 위치를 포착할 수 있게 해준다. GPS 트래커 자체는 간단하고 저렴하지만 일부는 SOS 버튼을 누르면 전화 기능을 이용하거나 내장 스피커로 소리를 재생할 수 있는 것도 있다. GPS 트래커가 전송한 위치 정보는 클라우드에 올라가 웹앱이나 스마트폰 앱을 통해 볼 수 있다.
어베스트 산하 네트워크 보안 연구팀(Avast Threat Labs)에 따르면 GPS 트래커에서 처리 과정, 클라우드간 트래픽 앱과 클라우드간 트래픽 분석을 위해 중국산 T8 미니를 구입했다고 한다. 이 제품은 열쇠 고리 크기 GPS 트래커로 SOS 버튼과 스피커, 마이크를 탑재해 양방향 통신이 가능한 모델이다.
웹앱에 로그인하면 위치 정보를 볼 수 있는데 구글맵에서 GPS 트래커 장소와 제조식별번호, 온라인 상태 여부, 배터리 잔량, 위치 정보 취득 일시, 정지 시간 등이 표시된다. 하지만 웹앱 버전 로그인 폼은 암호화 통신인 HTTPS 프토로콜이 아닌 HTTP 프로토콜로 볼 수 있다. 설명서에는 기본 로그인 아이디와 GPS 트래커 제조식별번호의 기본 암호가 무려 123456으로 설정되어 있다고 적혀 있다. 또 놀랍게도 사용자 아이디에 사용자명을 등록하려면 구입한 소매점을 문의해야 한다고 나와 있다. 제조식별번호와 123456 비밀번호로 설정되어 있는 건 소매점에서 접근할 수 있는 게 분명하다고 설명한다.
다시 말해 사용자 계정 정보가 암호화되지 않고 인터넷을 통해 전송된다는 얘기다. 기본 암호를 바꾸지 않는다면 악의적 공격자가 GPS 트래커를 손쉽게 납치할 가능성이 있다는 지적이다. 이 취약점 탓에 공격자는 GPS 트래커 위치 정보를 쉽게 알아볼 수 있을 뿐 아니라 원격으로 SOS 기능을 이용해 양방향 통신 기능을 활성화, 공격자 장치에서 도청을 할 수 있다.
어베스트 측은 또 GPS 트래커의 제조식별번호를 분석했다. 이에 따르면 웹앱에 표시되는 제조식별번호는 11자리 숫자로 되어 있다. 15자리가 필요한 표준에 준거하지 않는다는 얘기다. 어베스트가 조사를 계속한 결과 표시되는 건 진짜 제조식별번호가 아니라 어디까지나 이를 바탕으로 만들어진 ID 밖에 없다는 걸 발견했다.
어베스트 측은 처음 4자리가 1703으로 되어 있는 ID 100만건을 검색해 이 중 60만 개 장치가 기본 암호 123456으로 실행 중이라는 사실을 밝혀냈다. 적어도 16만 7,000대는 온라인 상에서 위치 정보 검색을 할 수 있었다고 한다. 또 동일 시스템이나 API를 이용하기 때문에 이 문제는 T8 미니 뿐 아니라 30종류 GPS 트래커에서 확인됐다고 한다. 이 같은 문제에 대해 어베스트는 GPS 트래커 업체에 지난 6월 통보했지만 9월 시점까지 어떤 업체에서도 답장은 없었다고 한다. 관련 내용은 이곳에서 확인할 수 있다.