세계 1위 중국산 드론 앱에 보안 취약점 발견…미 안보우려 커져

보안연구업체 "DJI 앱, 개인정보 과도 수집·구글 우회해 업데이트"
"미국인 정보 중국 당국에 넘겨질 수 있다"…DJI "해킹 방지 목적" 해명

중국에 본사를 둔 세계 최대 드론 제조사 DJI(다장)의 드론 조종 애플리케이션에 보안 취약점이 발견됐다고 미국 뉴욕타임스(NYT), 인터넷매체 사이버스쿠프 등이 23일(현지시간) 보도했다.

프랑스, 미국의 보안연구업체인 사이낵티브와 그림은 이날 공개한 보고서를 통해 DJI의 구글 안드로이드 운영체계용 앱에 보안 취약점이 있다고 밝혔다.

이들은 이 앱이 사용자 휴대전화에서 단말기고유식별번호(IMEI), 국제모바일가입자식별번호(IMSI), 심(SIM) 카드 시리얼 번호 등 드론 운영에 불필요한 개인 정보를 수집하고 있다고 지적했다.

또한 DJI는 구글을 거치지 않고 직접 앱을 업데이트할 수 있는데, 이는 안드로이드의 개발자용 서비스약관에 위배될 소지가 있다고 보고서는 설명했다.

앱 사용자들은 업데이트 내용을 파악하기 어려운 것으로 드러났다.

보고서는 앱이 종료된 이후에도 계속 작동한다고 덧붙였다.

사이낵티브 측은 "사용자가 앱의 기능을 모르는 상황이라면 앱은 매우 위험할 수 있다"고 지적했다.

다만 이들 취약점이 해커들의 휴대전화 침투를 가능하게 하는 '백도어'에 이르지는 않는다고 설명했다.

DJI 측은 해커들이 앱에 침투해 드론의 비행 범위 제한 등을 무력화하지 못하도록 사용자 앱을 직접 업데이트하고 있다고 해명했다.

브렌던 슐먼 DJI 대변인은 본사의 직접 업데이트와 관련해 "드론의 고도 제한과 지오펜싱(위치정보 서비스) 등 안전조치를 무효화하는 것을 막아준다"고 설명했다.

' />
구글 측은 이번 보고서 내용을 검토하고 있다고 밝혔다.

DJI의 아이폰용 앱에는 이런 보안 취약점이 발견되지 않았다고 NYT는 전했다.

이번 발견은 중국의 기술 굴기를 견제하려는 미국이 '안보 위협'을 내세우며 중국 기술업체들에 규제 등 압박을 가해온 와중에 나왔다.

앞서 미 내무부는 지난해 10월 안보 우려를 이유로 긴급대응 업무 외에는 DJI 드론 사용을 금지했으며, 국방부도 DJI 드론 사용을 금지했다.

미국은 중국 당국이 자국 기술의 보안 결함을 활용해 미국인들의 정보를 손에 넣을 수 있다고 주장하고 있다.

미 국가방첩안보센터(NCSC)의 윌리엄 에바니나 소장은 "모든 중국 기술 업체는 중국 법에 따라 자신들이 수집하거나 자체 네트워크에 저장된 정보를 중국 당국에 넘길 의무가 있다"며 "미국인들은 중국산 앱에 저장된 자기 사진, 생체정보, 위치정보 등 데이터가 중국 국가안보 기관에 넘겨질 수 있다는 점을 유념해야 한다"고 강조했다.

/연합뉴스