제조사가 설정한 디폴트 세팅의 한계 또 드러나
새로운 기술 등장할 때마다 새로운 취약점도 덩달아 등장

[보안뉴스 문가용] IBM의 현직 보안 전문가인 닐스 로데이(Nils Rodday)는 최근 고가의 경찰 수색용 드론을 단돈 20달러에 해킹하는 방법을 발견하고 이를 공개했다. 물론 해당 드론의 제조사에게 미리 통보가 간 상태였고, 제조사도 픽스를 마련 중에 있다고 한다. 하지만 로데이는 “고치기가 쉽지 않을 것”이라고 와이어드(Wired)와의 인터뷰를 통해 밝히기도 했다.


닐스 로데이는 IBM 소속이긴 하지만 이번 드론 해킹 연구는 네덜란드의 대학과 함께 진행했다. 연구 대상이 된 드론은 네덜란드 경찰이 사용하는 무인항공기(UAV)로, 주로 감시목적을 띠고 시장에 나온 것이었다. 가격은 2만 달러가 넘는다고 로데이는 설명한다. “이는 소비자용 드론보다 월등히 높은 가격인데요, 회전자 혹은 로터가 8개나 달려있고 2.9kg까지 물건을 탑재할 수 있으며 30분 이상 공중에 머무를 수 있기 때문입니다.” 즉, 최첨단에 속하는 모델이었다는 것. 하지만 정확한 모델명은 업체와의 협의 때문에 밝힐 수 없다는 입장이다.

로데이가 주목한 건 드론의 엑스비(Xbee) 라디오칩에 있는 텔레메트리 모듈이 활용되는 방식이었다. 이 모듈은 컴퓨터 앱을 통해 전송된 와이파이 명령을 낮은 주파수의 전파로 변환해 드론에 있는 또 다른 엑스비 칩으로 전송한다. 그렇기 때문에 아주 멀리서도 드론의 조종이 가능하게 되는 것이다. 그렇다면 이를 어떻게 해킹해야 할까? 먼저 로데이는 두 개의 엑스비 칩을 구매했다. 당연히 컴퓨터는 이미 있었다. 컴퓨터를 제외한 엑스비 칩 두 개와 몇몇 부수적인 준비물을 총 합한 가격은 대략 20$.

그런 후 제일 먼저 와이파이 연결을 가로채 합법적인 사용자인 것처럼 드론을 속이는 데 성공했다. 이게 가능했던 건 와이파이 연결이 이미 널리 알려진 취약점을 그대로 가지고 있었기 때문이다. 또한 로데이가 가지고 있던 엑스비 칩으로 드론에게 임의의 명령을 보내는 것도 성공했다고 전달한다. “두 번째 부분이 가능했던 건 드론 제조사가 엑스비 칩에 내장되어 있는 암호화 기능을 사용하지 않는 걸 디폴트로 설정했기 때문입니다.”

로데이는 “해당 제조사뿐 아니라 모든 하이엔드 드론에 해당하는 이야기라고 생각한다”고 설명했다. “더 나아가서는 새로운 기술이 등장하는 때에 약점도 제일 많이 세상에 나타난다는 현상에 대해서도 생각해 봐야 합니다.” 마치 환절기 때 감기가 유행하는 것처럼 이행기의 취약점은 분야를 막론하고 나타나기 때문에 새로운 기술이 시장에 등장할 때마다 보안업계는 경계부터 해야 한다.

드론 해킹은 PC 해킹, 모바일 해킹 시대를 지나치고 있는 보안 업계에 당면한 ‘차세대 위협 요인’으로서 작용할 가능성이 크다. 드론은 어떻게 해킹을 당할 수 있으며, 또 어떻게 방어해야 하는가, 드론과 관련된 또 다른 이슈로는 무엇이 있을까 등 차세대 먹을거리이자 동시에 위협거리인 드론을 집중 탐구하는 컨퍼런스 및 학술세미나, 해킹 시연이 3월 16~18일 일산 킨텍스에서 열리는 세계보안엑스포&전자정부솔루션페어 2016에서 진행될 예정이다.
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>