최근에는 애플 에어태그 등 GPS를 이용한 트래커가 널리 보급되고 있지만 GPS 트래커를 악용한 스토킹 피해 등도 문제가 되고 있다. 보안 기업 빅사이트와 미국 정부 기관인 CISA 조사에 따르면 전 세계 각국에서 사용되고 있는 중국제 차량용 GPS 트래커에 누군가에게 행동을 추적받거나 원격 조작으로 엔진이 끊길 위험이 있다는 게 분명해졌다고 한다.
차량용 GPS 트래커는 기업이나 단체가 보유한 차량 현재 위치나 주행 속도, 이동 경로 등을 확인하거나 차량 도난 징후 감지를 위해 사용되고 있다. 일부는 도난당하면 연료를 원격 조작으로 차단하는 기능도 탑재되어 있는 것도 있다.
빅사이트와 CISA는 전 세계 각국 기업과 정부 기관, 개인 등이 사용하는 차량용 GPS 트래커에 6가지 취약성이 존재하고 있다고 보고했다. 이번 취역성이 발견된 건 중국 심천에 위치한 제조사 마이코두스(MiCODUS)가 만든 GPS 트래커(MiCODUS MV720)다. 이 제품은 알리익스프레스나 이베이 등을 통해 구입할 수 있으며 1개당 3만 원대 이하로 누구나 간편하게 입수할 수 있다.
발견된 취약점은 GPS 트래커 본체와 차량 추적을 위한 웹 대시보드에 존재한다. 가장 심각한 결함 CVE-2022-2107은 하드코딩된 마스터 암호 취약점. 이 제품은 GPS 트래커 완전 제어와 차량 현재 위치, 과거 이동 기록에 대한 액세스, 차량에 대한 원격 연료 차단을 가능하게 하는 마스터 비밀번호를 안드로이드 앱 코드에 직접 임베디드하며 코드를 파내면 누구나 마스터 암호를 찾을 수 있다고 한다.
또 기본 비밀번호는 123456으로 설정되어 있고 사용자가 기기 비밀번호를 바꾸는 않는다면 누구나 이 비밀번호로 액세스할 수 있다. 빅사이트가 샘플 1,000대를 조사한 결과 실제로 95%가 암호를 바꾸지 않았고 기본 암호로 액세스 가능했다고 한다. 또 대시보드에 로그인한 사용자가 다른 GPS 트래커 데이터에 액세스할 수 있는 취약점과 사용자가 암호 없이 SMS 명령을 보낼 수 있는 취약점 등이 발견됐다.
이런 취약점을 악용하면 사업가나 정치인 같은 위치 정보가 동의 없이 추적되고 프라이버시 침해 외에도 범죄 행위에 악용될 수 있다. 또 공격자가 원격 조작으로 연료 차단을 수행해 차량을 움직이려면 몸값을 달라거나 상용 차량이나 긴급 차량을 멈추게 해 공급망이나 경찰 대응을 늦추고 고속도로 등 위험 장소에서 정차할 위험이 있다는 경고다. 빅사이트 측은 이 제품 외에도 마이코두스가 개발한 다른 GPS 트래커에도 비슷한 취약점이 존재할 수 있다는 점을 시사하고 있다.
빅사이트에 따르면 마이코두스 GPS 트래커는 전 세계 유수 에너지 관련 기업이나 항공 우주 기업, 기술 기업, 해운업자, 미국 주 당국, 유럽 국가 중앙 정부나 법 집행 기관, 남미와 동유럽 군대, 원자력 발전소 등에 전개되어 있으며 현재 전 세계 169개국 150만 대 이상 차량에 탑재되어 있다고 한다. 그 중에서도 우크라이나는 유럽 전역에서 가장 많은 마이코두스 GPS 트래커를 갖고 있어 국영 교통 시스템이나 키이우 주요 은행에서도 사용하고 있다고 한다. 빅사이트가 공개한 전 세계에 존재하는 마이코두스 GPS 트래커를 보면 유럽 외에도 아프리카, 남미, 호주, 중동, 아시아 등 전 세계 각국에 분포하고 있다.
빅사이트는 2021년 9월 이런 취약점에 대해 마이코두스에 연락했지만 보고서를 게시하기 전 취약점을 수정하려는 시도는 없었다고 한다. 취약성 심각도와 수정 패치가 없기 때문에 빅사이트 측은 사용자 위험을 줄이기 위해 가능하면 빨리 장치를 제거하라고 경고했다. 관련 내용은 이곳에서 확인할 수 있다.