이석원 기자
DJI가 판매하는 드론이 발하는 무선 신호를 가로채고 디코딩해 DJI 드론을 조종하는 인물 위치를 파악할 수 있다는 게 보안 연구팀에 의해 밝혀졌다. 규제 당국이 드론을 식별하고 악용을 방지하기 위한 드론아이디(DroneID)가 암호화되지 않았으며 누구나 가로챌 수 있다고 지적됐음에도 불구하고 드론아이디는 드론 GPS 좌표 뿐 아니라 소유자 GPS 좌표도 전송하는 것으로 지적됐다.
드론아이디는 보통 에어로스코프(AeroScope)로 제공되는 공항과 원자력 발전소 등 정부 관련 시설이나 인프라 정비 시설 등 중요한 시설 주변을 비행하는 의심스러운 드론을 식별하는 무인 항공기 감지 시스템이다. 보안 분야 심포지엄인 NDSS 중 CISPA 연구팀은 DJI 드론으로부터 전송된 데이터는 암호화되지 않았기 때문에 누구나 액세스할 수 있고 조종사 프라이버시를 침해하고 있다고 지적했다.
연구팀은 드론아이디 데이터를 수신하고 디코딩하기 위한 프로토타입 툴을 개발해 깃허브에 공개하고 있다. 또 연구팀은 드론아이디 취약성에 대해 지적하고 있으며 서비스 거부부터 임의 코드 실행까지 16개 취약성을 발견했다. 16개 취약성 중 14개는 스마트폰 등 장치에서 비행 중 드론을 충돌시키는 등 악용이 가능하다고 말한다. 연구팀은 드론아이디 취약성을 DJI 미니2나 최신 DJI 매빅3 등 펌웨어나 드론 본체, 컨트롤러간 무선 신호를 연구해 밝혔다.
한편 DJI 측 관계자는 드론아이디는 현재와 같은 운용 방법을 의도해 개발됐다며 원래 DJI가 드론아이디를 개발한 건 미국 정부가 드론을 추적하기 위한 시스템을 요청했기 때문에 이 시스템은 누구나 쉽게 조종사 위치와 드론 식벽자를 보낼 수 있다고 밝혔다. 더구나 미연방항공국 요건은 드론 원격 ID가 암호화되어 있지 않을 뿐 아니라 스마트폰 등으로 인근 모든 인물이 접근할 수 있어야 한다고 덧붙였다.
이 문제는 DJI 드론에만 국한되지 않으며 미연방항공국이 모든 소비자용 드론에 대해 DJI와 비슷한 원격 ID 요구 사항을 의무화하면 유사 문제가 모든 제조업체에서 발생할 수 있다는 지적이다. 하지만 DJI 드론이 조종사 위치에 대한 정보를 계속 보내고 있다는 걸 소비자에게 알리지 않았다는 건 분명하다.
보도에선 드론아이디 가로채기로 조종사 위치를 확인하는 건 일반 사용자 프라이버시에 대한 우려 뿐 아니라 우크라이나와 러시아간 분쟁에서 DJI 드론을 조종하고 정찰을 수행하는 군인 안전을 위험에 빠뜨릴 수 있다고 지적한다. 따라서 분쟁지대나 전투 지역에서 드론 사용 방법에 큰 영향을 미칠 수 있을 것으로 추정하고 있다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
