“中 드론, 보안 취약…DJI도 제재해야” 헤리티지 보고서

이은주
2020년 08월 21일 오전 11:37 업데이트: 2020년 08월 21일 오후 4:49

미국 정부가 화웨이 등 중국 기술기업에 제재를 부과한 가운데, 중국 DJI(大疆∙다장)도 제재대상에 추가해야 한다는 주장이 나왔다.

DJI사의 드론이 수집한 정보가 중국 공산당(중공) 정부의 손에 들어갈 수 있다는 우려에서다.

중국 선전(深 )시에 본사를 둔 DJI는 세계 최대의 상업용 드론 생산업체로 미국에서도 선풍적인 인기를 끌고 있다.

미국 싱크탱크 헤리티지 재단이 지난 19일(현지 시각) 발표한 보고서에 따르면, DJI 드론이 수집한 정보에 중요 사회기반시설과 시(市) 지도자들의 정확한 위치, 동선, 교류 등의 민감한 정보들이 포함됐다.

헤리티지 재단의 선임연구원이자 보고서 공동저자인 로라 리스는 에포크타임스에 “중국법 때문에 중국기업은 중공 정부의 자료 요청을 거부할 수 없다”면서 “수집된 정보를 볼 때 이런 정보가 베이징에 넘겨지는 것은 위험하다”고 경고했다.

중국은 지난 2017년 6월 국가정보법을 통과시키고 모든 중국 국민과 기업은 정부가 요청하면 자료를 제공하도록 의무화했다.

이에 헤리티지 재단은 DJI의 보안 취약점과 중국 신장지역 위구르족 무슬림의 인권 탄압에 연루된 사실 등을 언급하며 이들 기업이 특별 면허를 취득하지 않는 한 ‘거래제한 명단’(Entity List)에 올려야 한다고 촉구했다.

거래제한 명단은 미 상무부가 국가안보를 위협한다고 판단되는 기업의 미국 수출을 제한하는 무역 블랙리스트로, 명단에 오른 기업은 미국 기술에 대한 접근이 차단된다.

드론 연구기관인 ‘드론 인더스트리 인사이트’에 따르면, 지난해 10월 기준 DJI의 미국 드론 시장 점유율은 77%에 달했다. 이어 미국 거대 기술기업 인텔(3.7%), 중국 드론 제조사 유닉(3.1%) 순이었다. 2위 인텔과 비교했을 때 상당한 격차다.

헤리티지 보고서에 의하면 현재 미국에는 38만5천대 이상의 상업용 드론이 운용되고 있다. 이는 미 연방항공국(FAA)이 보고한 지난 2016년 기준 5만대 대비 33만5천대나 대폭 증가한 것이다.

이런 가운데 DJI 드론 상당수를 미 정부기관이 사용하고 있는 것으로 나타났다.

미국 바드(Bard)대 드론연구센터가 지난 3월 발표한 보고서에 따르면 경찰, 소방서 등 공공안전기관 1578곳에서 드론을 구입했다. 이 중 970여 곳에서 DJI 또는 유닉(Yuneec) 제품을 사용했다.

국가안보 우려의 목소리가 나오자 미 국방부와 내무부는 중국산 드론의 사용을 금지했다.

앞서 미 국토안보부(DHS)도 지난 2017년 DJI가 중요한 인프라 및 법 집행 정보를 중공 정부와 공유한다며 정보 유출 가능성을 경고했다. DHS는 지난해 5월에도 중국산 드론에 대한 사용을 재차 경고한 바 있다.

아울러 헤리티지 재단은 DJI 드론의 보안상 결함을 지적하며 프랑스 보안 업체 시낙티브(Synacktiv)와 미국 디지털 보안 업체 리버루프 시큐리티가 각각 발표한 연구 자료를 언급했다.

시낙티브는 구글 안드로이드 운영체계용 앱 ‘DJI 고 4’를 역설계한 결과, DJI가 많은 양의 개인 정보를 수집하고 있는 것으로 파악했다.

시낙티브는 지난 7월 보고서를 통해 “앱이 사용자의 심(SIM) 카드 번호, 단말기고유식별번호(IMEI), 국제모바일가입자식별번호(IMSI) 등 드론 비행과 관련되지 않은 정보를 수집하고 있다”고 지적했다. 이는 “DJI가 개인정보 보호법을 위반하는 것”이라고도 했다.

이어 “이런 정보는 정보기관이나 악의적인 사람들이 개인을 추적하거나 도청하는 데 사용할 수 있다”고 경고했다.

시낙티브는 또 DJI 소프트웨어가 사용자의 휴대전화에 강제 업데이트를 요구한 다음 모든 명령을 실행할 수 있다는 사실을 발견했다.

앱을 작동하려면 카메라, 위치, 연락처 등에 대한 접근 권한을 부여해야 하는데, DJI가 강제 업데이트를 통해 접근이 가능하도록 한 것이다.

아울러 사용자가 앱 사용을 중단한 뒤에도 배경에서 앱이 실행되고 있었으며, 네트워크 요청을 생성하는 등 보안 취약점을 발견했다.

이에 보고서는 “중국의 서버들이 사용자의 휴대전화를 완전히 통제하고 있다”고 판단했다.

별개의 조사에서도 DJI의 보안 취약점이 드러났다.

리버루프 시큐리티가 DJI의 또 다른 앱 DJI Mimo를 검토한 결과, 앱 사용자 동의 없이 중국 서버에 안전하지 않은 방법으로 정보를 전송한 사실이 밝혀졌다.

리버루프 시큐리티가 지난 5월 발표한 보고서에 따르면 해당 앱의 이용 약관에는 DJI가 중공 정부와 사용자 정보를 공유할 수 있다고 명시돼 있다.

앱을 설치하면 사용자의 위치, 메시지, 와이파이 상태 등 정보 접속을 요구하기 때문에 우려가 되는 상황이다.

헤리티지 재단은 “이번 발견은 DJI 기술을 사용하는 회사와 정부기관만이 아니라 중요한 인프라를 확보하기 위해 노력하는 정책 입안자들까지도 우려해야 한다”고 전했다.

한편, DJI는 관련 논평 요청에 응하지 않았다.