중국산 차량 도난방지용 GPS, 보안 취약…“원격 조작될 수도”

한동훈
2022년 07월 23일 오후 5:16 업데이트: 2022년 07월 23일 오후 5:47

중국 ‘마이코더스(MiCODUS)’의 MV720 제품
전 세계 150만대에 설치돼…6가지 보안 취약점
국내서도 정부기관·에너지 분야에 사용 중인 것으로 나타나

중국산 GPS 위치추적장치에서 심각한 보안 취약점이 발견됐다는 사이버 보안업체 보고서가 나왔다. 한국에서도 해당 장비가 사용된 것으로 알려져 대책 마련이 필요해 보인다.

미국 사이버 보안 스타트업 비트사이트(Bit Sight)는 최근 발표한 보고서를 통해 중국산 차량용 GPS 위치추적장치에서 제3자가 차량 일부 기능을 원격으로 조작할 수 있는 등 6가지 심각한 보안 취약점이 발견됐다고 밝혔다(보도자료 링크).

문제가 된 제품은 중국 기업 ‘마이코더스(MiCODUS)’가 출시한 차량 도난 방지용 모델 MV720이다. 현재 169개국에서 150만 대가 기업과 개인 고객에 팔렸다. 정부기관과 경찰, 군대, 심지어 원자력 발전소에서도 사용 중인 것으로 알려졌다.

보고서에 따르면, MV720는 온라인 쇼핑몰에서 저렴한 가격에 손쉽게 구할 수 있어 큰 인기를 얻고 있지만, 취약점이 악용될 경우 제3자가 원격 조작으로 차량의 위치추적은 물론 경로 기록을 살펴보거나 주행 중인 차량의 연료 공급을 차단하는 것도 가능하다.

비트사이트의 페드로 엄베리노 선임 보안연구원에 따르면 “이러한 취약성을 악용하는 것은 어렵지 않은 일”이며, 기술 특성상 마이코더스가 생산하는 다른 모델 역시 동일한 취약성을 지녔을 우려가 있다.

미국의 사이버 보안 전문가 리처드 클라크는 “중국이 미국 내 차량을 원격 조작할 수 있게 되면 문제”라며 “개인의 안전과 국가안보 차원에서 안전한 사물인터넷(IoT) 인프라의 중요성이 더욱 부각됐다”고 말했다.

기사과 관련 없는 자료 사진. 프랑스 파리에서 열린 한 해킹 대회에 출전한 참가자. 2013.3.16 | THOMAS SAMSON/AFP via Getty Images=연합뉴스

아직까지는 취약점들이 실제 공격에 사용되지는 않은 것으로 보이지만, 더 심각한 문제는 중국 제조사 측에서 이를 해결할 의지를 보이고 있지 않다는 점이다.

비트사이트는 작년 9월부터 중국 제조사인 마이코더스에 접촉해 보안 또는 기술 담당자와 대화를 요구했으나, 거부당하고 있다고 밝혔다.

지난 5월에는 미국 국토안보부 산하 사이버보안및인프라국(CISA)에서도 마이코더스에 연락했지만 상황은 그대로다.

비트사이트는 마이코더스에서 보안 패치를 제공하기 전까지 MV720 GPS 위치추적장비를 즉시 비활성화할 것을 권고했다.

차량 도난 방지용 GPS 위치추적장치는 화물용 트럭, 스쿨버스, 군용·경찰·관용 차량 등을 감시하고 도난으로부터 보호하기 위해 전 세계에서 사용되고 있다. 차량 위치 데이터 수집과 더불어 운전자의 운전패턴, 연료사용 현황 등의 지표 관리도 가능하다.

조지 W. 부시 행정부에서 백악관 사이버 보안 책임자를 지냈던 클라크는 해당 GPS 추적장치가 “중국 정부에 의해 악의적으로 사용될 수 있다”고 말했다.

그는 “(중국 기업이) 고의로 그런 제품을 설계했을 가능성은 적지만, 중국 기업은 중국 공산당의 명령을 따르는 것이 법으로 의무화돼 있기 때문에 주의를 기울여야 한다”며 “MV720은 중국산 스마트 장비의 또 다른 사례”라고 했다.

미국 국토안보부 산하 사이버보안및인프라국(CISA)이 발표한 보도자료. 중국기업 마이코더스(MiCODUS)의 GPS 위치추적장치 MV720의 보안 취약점에 대한 내용이 담겼다. | 화면 캡처

비트사이트의 보고서에 따르면, 이번에 문제가 지적된 마이코더스 MV720 위치추적장치가 한국에서도 정부기관과 에너지 분야에 사용되는 것으로 나타났다. 다만 정확히 어느 부서의 어떤 장비인지는 확인되지 않았다.

에포크타임스는 중국 마이코더스에 이번 보고서와 관련해 논평을 요청했다. 이 회사의 영업 매니저는 이메일 답변서에서 “MV720은 ‘일반적인 차량용 GPS 추적장치’라며 업체로서 “이 제품을 불법 행위에 이용한 적은 한 번도 없다”고 답변했다.

* 이 기사는 도로시 리, 뤄야 기자가 기여했습니다.