정용환 기자
다양한 주파수 대역에 대응하고 무선으로 모든 기기를 제어할 수 있는 오픈소스 하드웨어인 플리퍼 제로(Flipper Zero)는 지나치게 성능이 뛰어나다는 이유로 브라질 규제 당국에 의해 수입이 억류되거나 아마존에서 판매가 금지되는 등 조치를 받았다. 캐나다에서도 플리퍼 제로 수입과 판매, 사용이 금지될 예정이었지만 캐나다 정부가 수입, 판매, 사용 금지 조치를 철회한다고 발표했다.
플리퍼 제로는 광범위한 주파수 대역과 NFC, 블루투스, 적외선 통신 등 다양한 무선 규격을 지원하는 오픈소스 기기다. 플리퍼 제로는 무선 기기 신호를 분석하고 저장할 수 있어 이 기기 하나만으로 차고 문을 여닫거나 전자 잠금장치를 해제하거나 적외선 리모컨 대용으로 사용할 수 있다.
플리퍼 제로는 무선 기기 신호를 분석하고 저장할 수 있어 다양한 무선 기기를 대신할 수 있다. 그 중에서도 플리퍼 제로로 자동차 스마트키를 복제하는 방법이 주목받았고 플리퍼 제로로 테슬라 전기차를 훔치는 방법까지 고안됐다.
또 플리퍼 제로를 사용해 아이폰을 사용 불가능하게 만드는 공격이나 전력량계를 파괴하는 공격 등이 나오면서 플리퍼 제로 자체를 위험시하는 움직임도 나타났고 급기야 브라질 규제 당국이 수입을 억류하거나 아마존에서 판매가 금지되는 등 조치가 이어졌다. 이에 이어 캐나다에서도 플리퍼 제로 수입과 판매, 사용을 금지하겠다는 방침이 발표된 바 있다.
하지만 3월 20일 캐나다 무선기기 및 정보기기 규제를 담당하는 ISED(Innovation, Science and Economic Development Canada)가 캐나다 정부의 플리퍼 제로에 대한 입장을 명확히 설명했다. ISED 측은 자동차 절도에 무선기기를 불법적으로 사용하는 것을 금지한다고 밝혔지만 플리퍼 제로 자체를 규제하는 게 아니라 플리퍼 제로 불법 취급을 금지할 것이라고 설명했했다. ISED 측은 플리퍼 제로 같은 기기 사용을 합법적 행위자에게만 제한하는 게 목적이라며 불법 행위자에 의한 수입과 소지, 판매, 사용은 허용되지 않는다고 밝혔다. ISED는 이미 캐나다 기업, 온라인 소매업체, 자동차 업계와 협력해 이 문제에 대처하고 있으며 가까운 시일 안에 구체적인 계획을 발표할 예정이라고 덧붙였다.
한편 ISED가 플리퍼 제로에 대한 입장을 표명하기 바로 전인 3월 19일 플리퍼 제로 개발사인 플리퍼디바이스(Flipper Devices)는 캐나다 정부의 플리퍼 제로 금지가 부당하다며 불법화에 반대하는 청원 운동을 시작했다. 이 청원을 통해 회사 측은 플리퍼 제로 금지 움직임에 맞서려면 커뮤니티 협력이 필요하다고 주장했다. 또 무선 프로토콜을 해킹하는 데 플리퍼 제로가 필수는 아니라며 와이어가 있으면 PC 사운드카드만으로도 433MHz 무선 신호를 수신하고 디코딩할 수 있다며 플리퍼 제로 외에도 무선을 해킹할 수 있는 방법이 많다고 주장했다.
파블로 조브나 플리퍼디바이스 CEO도 이런 제안은 보통 보안이 어떻게 작동하는지 잘 모르는 이들에 의해 이뤄진다며 플리퍼 제로를 금지해도 자동차 절도 문제를 해결하는 데 전혀 도움이 되지 않는다고 밝혔다.
ISED는 시장 유통에 영향을 미치지 않고 불법 행위자가 플리퍼 제로를 입수하는 것만 막는 걸 목표로 하고 있지만 구체적인 방법은 불분명하다는 지적이다. 일부 보도에서는 캐나다 정부가 플리퍼 제로 구매를 라이선스 형태로 전환할 가능성이 있다고 전하고 있다.
일부 보안 연구원은 플리퍼 제로를 활용해 자동차 스마트키 롤링 코드를 우회하는 롤백 공격이라고 불리는 방법을 고안해 화제가 되기도 했다. 이는 스마트키에서 연속 무선 신호를 포착하는 방식인데 플리퍼디바이스는 이런 종류 공격을 실제로 수행하기는 매우 어렵다고 주장했다. 또 캐나다 정부에 대해선 취약점을 발견하기 위해 사용할 수 있는 도구를 불법화하는 대신 자동차 제조사에 보안상 결함을 수정하도록 하는 데 중점을 둬야 한다고 지적했다.
또 다른 보안 전문가는 플리퍼 제로를 사용하면 사용자가 자동차에 대한 롤백 공격 등 잘 알려진 공격을 직접 시도해보며 그 메커니즘을 이해할 수 있는 가능성이 있지만 악의적인 목적으로 차량 절도를 시도하는 개인에게 플리퍼 제로는 효과적인 수단이 아니라고 말한다. 이유는 플리퍼 제로 무선 범위가 제한적이기 때문이라며 플리퍼 제로로 스마트키 신호를 포착하려면 스마트키 근처에 있어야 하며 원격지에서 표적을 겨냥한 차량 절도에는 적합하지 않다고 밝히고 있다. 관련 내용은 이곳에서 확인할 수 있다.
이원영 기자
이석원 기자
