중국 유명 드론 제조사인 DJI가 자사가 관리하는 웹사이트 암호화 통신 내역을 중간에서 공격자들이 손쉽게 훔쳐보거나 조작할 수 있는 방법을 4년 동안이나 고치지 않고 방치했던 것으로 드러났다. 사실상 스스로 보안 약점을 공개한 것이나 다름없다.
미국 지디넷, 영국 더레지스터 등 외신에 따르면 보안 연구원 케빈 피니스테르는 DJI가 제조한 드론이 HTTPS(SSL) 프로토콜을 활용해 암호화 통신하는데 필요한 개인키 정보를 개발자 커뮤니티인 깃허브에 공개했다.(☞관련자료 링크)
심각한 점은 DJI가 직접 관리하는 앞서 개인키와 함께 아마존웹서비스(AWS) 계정과 펌웨어용 AES 방식 암호화키까지 깃허브를 통해 스스로 공개했었다는 사실이다.
SSL 프로토콜을 활용한 암호화 통신에 쓰이는 개인키가 유출되면 공격자가 웹서버 내에 저장된 정보를 유출시키거나 감시하고, 피싱 등 기능을 가진 악성 웹사이트로 연결을 시도할 수도 있다.
보안 취약점이라기보다는 DJI 스스로가 보안약점을 키운 것이고, 이를 외부 연구원이 발견해 대대적으로 공개한 것이다.
피니스테르 연구원은 "만약 공격자가 이런 정보를 악용해 DJI가 관리하는 내부 인프라에 침투하면 데이터를 유출시키거나 시스템을 마음대로 조작하는 등의 일을 자유롭게 할 수 있게 된다"고 말했다.
지난 8월 DJI는 자사 드론과 드론 운영시스템에 대한 취약점을 찾아내면 이를 확인해 보상을 지급하는 버그바운티를 운영했다. 이 과정에서 여러 외부 보안 연구원들이 초대를 받아 취약점을 찾아 제출하고, 이를 패치가 이뤄지기 전까지 비공개로 하는 조건으로 보상금을 받았다.
피니스테르는 이 버그바운티에서 이러한 약점들에 대한 처리절차가 제대로 이뤄지지 않았다고 주장했다. 그는 "DJI가 관리하는 서버 인증 허용 관련 이슈에 대해 문의했지만 DJI로부터 답변을 듣는데 수 주일이 걸렸다"고 지적했다.
그는 버그바운티 최고 상금인 3만달러를 지급받는 것으로 DJI측과 얘기가 됐으나 '책임 있는 공개(terms of non-disclosure agreement)' 원칙을 따르기를 거부하면서 협상이 결렬됐다.
이후 이 연구원은 DJI의 대응이 미흡하다는 이유로 자신이 발견한 약점(개인키 혹은 암호화키)을 깃허브에 공개했다.
이 약점을 활용하면 DJI가 관리하는 AWS 계정에서 손상된 드론 이미지, 영수증, 기타 개인정보 등을 확인할 수 있었다고 그는 설명했다.
DJI는 이로부터 2주 뒤에 소스코드 유출, 서버 이슈 등에 대해 문제가 있다는 사실을 확인을 받았다. 연구원은 암호화 되지 않은 드론 비행기록, 여권, 운전면허증, 신분증 등이 암호화 되지 않은 형태로 들어가 있다는 내용을 제출한 보고서에 포함시켰다.
이 연구원은 "다만 새로운 비행기록과 개인정보 등은 오픈SSL을 통해 기본적인 암호화가 진행되고 있었다"고 설명했다.
DJI는 이 같은 약점이 존재했는지, 자사 서버에 해당 해커가 무단으로 접속을 시도했는지 여부 등에 대해 외부 보안회사를 고용해 조사를 수행하는 중이다.
이에 대한 DJI의 공식 입장은 다음과 같다.
DJI는 최근 유저들의 개인정보가 포함된 당사 서버에 내 승인되지 않은 접속에 대해 조사중입니다.
당사 서버에 승인받지 않는 접속을 시도한 해커는 DJI 버그 바운티 프로그램을 통한 포상금 획득과 관련해 당사 직원과 나눈 대화 내용을 온라인에 금일 공개했습니다.
DJI는 고객들의 데이터 보안을 최우선 가치로 여기고 있으며 이번 일과 관련하여 사설 사이버 보안 업체를 고용해 서버 내 승인되지 않은 접속이 미칠 영향에 대한 철저한 조사를 시작했습니다.
DJI는 최근 ‘보안 대응 센터’를 오픈하고 개인정보나 안전에 위협이 될 수 있는 소프트어웨어의 취약점을 보고하는 보안 전문가에게 포상금을 지급하는 버그바운티 프로그램을 운영해왔습니다.
DJI는 프로그램에 참가하는 보안 전문가들에게 당사의 기밀 정보를 보호하는 한편, 내부 분석을 통한 대응책이 마련될 때까지 관련 내용을 누설하지 않겠다는 내용을 담은 표준 약관 준수를 요구하고 있습니다.
이번에 문제가 된 해커는 DJI가 제시한 표준 약관에 따르기를 거부하는 한편 몇 차례에 걸친 DJI의 포상금 제안에도 불구하고 자신의 요구사항을 얻어내기 위한 협박을 시도했습니다.
관련기사
- 한미 미사일지침, 우주발사체·드론 제약은 그대로2017.11.19
- 두바이 경찰, 호버바이크 타고 범인 잡는다2017.11.19
- 아마존, 자율주행차서 드론 충전하는 특허 취득2017.11.19
- 드론도 탈옥시킨다…해커 vs 제조사 '전쟁'2017.11.19
DJI는 데이터 보안을 매우 중요하게 생각하고 있으며 앞으로도 제품 품질 향상을 위해 최선을 다할 것입니다. DJI는 버그바운티 프로그램 발표 이후 현재까지, 표준 계약 조건에 동의하고 보안 취약점을 보고한 12명 내외의 보안 전문가들에게 수 천 달러의 포상금을 지불한 바 있습니다.
DJI ‘보안 대응 센터’ 및 버그 신고 관련 보다 자세한 사항은 security.dji.com에서 확인하실 수 있습니다.
