테크레시피

DJI 안드로이드용 앱, 사용자 데이터 수집 등 보안 문제

세계 최대 드론 업체인 DJI가 제공하는 드론용 앱 DJI GO4의 안드로이드 버전에 사용자 개인 정보를 빼내는 기능과 구글 인증을 안 받은 앱을 다운로드할 수 있는 기능이 탑재되어 있다는 경고가 나왔다.

DJI GO 4는 매빅 시리즈와 스파크, 팬텀4 등 DJI 드론을 조작하거나 드론으로 촬영한 영상을 관리할 수 있게 해주는 응용 프로그램이다. 지난 7월 12일(현지시간) 보안기업 사이낵티브(Synacktiv)가 DJI GO 4를 리버스엔지니어링한 결과 안드로이드용 버전에선 악성코드와 유사한 난독 처리가 되어 있는 걸 발견했다고 밝혔다. 의심스럽게 생각한 분석팀은 소스 코드를 조사한 결과 안드로이드 버전에는 사용자 개인 정보를 수집하는 기능으로 임의 코드를 설치하고 실행하는 기능이 탑재되어 있던 걸 밝혀냈다는 것.

사이낵티브에 따르면 최신 버전인 4.3.36 이전 버전에선 사용자 개인 정보를 수집하고 중국 분석 기업인 몹테크(MobTech)에 보내는 SDK(Mob SDK)가 포함되어 있다는 것이다. 이 SDK는 스마트폰 화면 크기와 밝기, WLAN 주소, MAC 주소, BSS-ID, 블루투스 주소, 직업명, IMEI, IMSI, SIM카드 단말기 제조 번호, SD카드 정보, 운영체제 언어와 커널 버전 등 다양한 정보를 얻을 수 있다. 또 버전 4.122에서 4.3.25 사이 내장된 충돌 보고서 모듈인 버글리(Bugly)도 IMEI와 IMSI, SIM카드 단말 제조 번호, 와이파이 인터페이스 MAC 주소, SSAID 등을 수집하고 있었다고 한다.

또 안드로이드 버전 DJI GO 4는 응용 프로그램을 종료하려고 하면 자동으로 재시작하는 사양도 탑재했다. 이에 따라 사용자 측 응용 프로그램을 닫은 것처럼 인식했음에도 백그라운드에서 개인 정보를 수집하는 게 가능하다. IMEI와 IMSI, SIM카드 단말 제조 번호 등 정보는 드론 조작 영상 관리에 관계없이 이런 정보를 수집하는 건 DJI 개인 정보 보호 정책 범위 밖에서 첩보기관이나 악의적인 누군가가 개인을 특정해 통신을 도청하는 행위에 이르게 할 수 있다는 게 사이낵티브의 주장이다.

또 DJI GO 4는 중국 소셜미디어 기업 웨이보가 개발한 웨이보 SDK를 통한 자동 업데이트 기능을 탑재하고 있으며 이 기능을 이용하면 구글 인증을 안 받은 응용 프로그램을 다운로드할 수 있다. DJI GO 4에 표시되는 업데이트는 상세 설명란에 DJI가 임의로 갱신하기 때문에 업데이트를 가장한 다른 응용 프로그램을 설치하도록 유도할 수 있다는 주장이다.

DJI GO 4는 연락처와 마이크, 카메라. 위치 정보, 스토리지, 네트워크 연결 변경 등 권한을 요구하기 때문에 이런 사양을 악용한 증거는 존재하지 않지만 악용이 가능하다는 것이다. 보안 기업인 그림(GRIMM)은 사이낵티브의 보고를 확인하고 이 보고에 전적으로 동의한다고 밝혔다.

이런 지적에 대해 DJI는 자사는 응용 프로그램 보안과 고객 데이터 프라이버시를 중시한다면서 전형적인 소프트웨어에 대한 우려 사항이 발견됐지만 이 관심사가 지금까지 악용된 흔적이 존재하지 않는다며 이번 보고서에서 언급된 몹테크와 버글리 구성 요소는 과거 보안 결험이 지적됐을 때 제거했지만 악용됐다는 보고가 없었다고 밝혔다. 또 자사가 버그 포상금 프로그램을 운영하는 유일한 대형 드론 제조사로서 모든 연구자에게 자사 제품에 대한 보안 우려 사항을 책임지고 공개하는 걸 장려하고 있다고 답했다.

사이낵티브 조사에 따르면 응용 프로그램 난독화와 자동 업데이트 기능 등은 DJI GO 4 안드로이드 버전에만 존재하며 iOS 버전에는 없다. 사이낵티브는 안드로이드 버전은 100만 회 이상 다운로드됐다는 점과 법 집행 기관도 DJI 드론을 사용하는 경우가 있다는 점을 들어 응용 프로그램을 중요한 목적에는 이용하지 않아야 한다고 주의가 필요하다고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.

추천기사