관리 메뉴

사진은 권력이다

DJI 드론 앱 DJI GO 4에 개인 데이터 수집 기능과 앱 강제 설치 기능이 들통나다 본문

IT/가젯/IT월드

DJI 드론 앱 DJI GO 4에 개인 데이터 수집 기능과 앱 강제 설치 기능이 들통나다

썬도그 2020. 7. 28. 10:15

요즘 미국의 화웨이를 때리는 이유는 미국이 중국 손을 잡고 WTO에 가입하게 하면 경제가 성장하고 한국처럼 경제 성장 과정에서 민주화 요구가 강해져서 자연스럽게 민주주의 국가로 전환될 줄 알았습니다. 그런데 미국의 예상과 달리 중국 공산주의는 여전히 건재하고 경제만 성장했습니다. 문제는 경제 성장을 통해서 번 돈을 미국에 필적할만한 무기 개발과 국방비에 쏟아붓고 있습니다. 

세계 경제 1위이자 군사력 1위인 미국을 위협하려고 하자 미국 정부는 중국 손을 비틀고 있습니다. 가끔 트럼프니까 이런 반중국 행동을 한다고 하지만 지금 미국 민주당은 트럼프의 반중국 정책에 같이 손을 잡고 있습니다. 바이든이 대통령이 돼도 중국을 견제하는 움직임은 계속될 것입니다. 

지금 미국 정부는 화웨이 네트워크 장비에 백도어 칩이 들어가 있어서 미국인과 여러 국가의 개인 정보나 중요한 기밀 정보를 중국으로 보낸다고 의심을 하고 있습니다. 실제 심어져 있는지 아닌지는 중요하지 않습니다. 군사적 적군이 중국 제품에 대한 강한 경계심을 보이고 있습니다. 이에 화웨이는 메르켈독일 총리를 훔쳐본 것이 미국 NSA라면서 미국 너님들도 믿지 못해야 하는 것 아니냐고 말하고 있습니다.

중국이 간과한 것이 있는데 미국과 독일과 캐나다와 호주와 일본은 혈맹이자 군사 공동체입니다. 아버지가 내 일기장을 보는 것과 전쟁이 나면 서로 싸워야 하는 적대적 관계에 있는  이웃 집 아저씨가 내 일기장을 보는 것은 다릅니다. 따라서 미국의 NSA 정보기관은 이해하지만 중국 정부는 이해할 수 없습니다. 물론 미국의 NSA의 우방국에 대한 해킹 시도도 좋다고 할 수 없지만 중국과는 차원이 다릅니다. 

게다가 중국은 신뢰가 높은 나라가 아닙니다. 중국은 지적재산권을 무시하고 불법 복제 영화나 제품을 마구잡이로 만듭니다. 저작권 개념이 없는 나라입니다. 세계 짝퉁 시장의 80%를 중국과 홍콩이 차지하고 있습니다. 여기에 한국같이 만만한 나라는 경제 보복으로 다스리려고 하죠. 한국 정부가 안보는 미국, 경제는 중국이라고 해서 친중국정책을 여전히 펼치고 있지만 서서히 중국과의 경제 관계를 줄여 나가야 할 것입니다. 중국보다는 한국에 호의적인 남아시아 국가들이 더 나을 것입니다. 

  DJI 드론 앱 DJI GO4에 개인정보를 빼내는 기능과 앱 강제 설치 기능이 들어있다?

세계적인 동영상 플랫폼인 틱톡이 개인 정보를 중국에 있는 서버에 전송한다는 소리에 전 세계가 발칵 뒤집어졌습니다. 중국이라는 국가가 신뢰도가 높은 나라면 가져가던 말던 신경을 안 썼겠지만 중국은 군사적 적국이자 신뢰도가 낮은 나라입니다. 이에 인도는 틱톡 및 중국 앱 사용을 금지시켰고 미국도 틱톡에 대한 경계령을 내렸습니다. 이에 틱톡은 본사를 영국으로 이전하는 것을 알아보고 있습니다. 

그런데 틱톡보다 더 심한 문제가 DJI에서 발생했습니다. DJI는 드론계의 애플이라고 불리는 드론 시장 점유율 1위 업체입니다. 이 DJI는 중국 기업으로 다양하고 성능 좋으면서도 가성비 좋은 매빅 시리즈와 스파크 팬텀 4 같은 다양한 드론을 제조하고 있습니다. 이 DJI 드론을 이용하기 위해서는 DJI GO4라는 앱을 설치해야 합니다. 

7월 12일 보안 업체인 Synacktiv가 DJI GO4를 리버스 엔지니어링으로 분석을 해 봤습니다. 그런데 안드로이드용 DJI GO4에서 악성코드와 유사한 난독 처리기가 들어가 있는 걸 발견합니다. 이상하다 생각한  Synacktiv는 소스 코드까지 분석을 했습니다. 

분석을 해보니 DJI GO4에는 사용자의 개인정보를 수집하는 기능과 함께 임의의 코드를 설치하고 실행하는 기능까지 들어가 있었습니다. Synacktiv에 따르면 DJI GO4의 최신 버전인 4.3.36 이번 버전에서는 사용자의 개인 정보를 수집해서 중국 분석 기업인 MobTech에 보내는 Mob SDK가 포함되어 있었습니다. Mob SDK는 스마트폰의 화면 크기, 밝기, WLAN 주소, MAC 주소, BSS-ID, 블루투스 주소, 직업, 이름, IMEI, IMSI, SIM 카드 단말기 제조 번호, SD 카드 정보, OS 커널 버전 등의 다양한 정보를 수집할 수 있는 기능이 있었습니다. 

물론 필요한 정보는 가져가도 괜찮죠. 그러나 DJI 드론이 왜 사용자 스마트폰 고유번호와 SIM 카드 번호까지 가져갑니까? 최신 버전은 이런 기능이 없어진 것을 보면 눈치를 채고 수정한 듯하네요. 4.122에서 4.3.25 버전의 충돌 보고서 모듈인  Bugly도 IMEI, IMSI, SIM 카드 단말기 제조 번호, 와이파이 인터페이스의 MAC 주소, SSAID 등을 수집했습니다. 

어느 정도는 이해는 합니다. 충돌이 일어나면 최대한 사용자 정보를 많이 알아야 다음 버전 업데이트할 때 도움이 되니까요. 그러나 너무 과도하게 개인 정보를 가져가네요. 더 심각한 것은 안드로이드 DJI GO4는 앱을 종료해도 몰래 자동으로 다시 시작해서 사용자의 개인 정보를 수집이 가능하게 해 놓은 것입니다. 

여기에 중국 소셜 미디어 기업인 웨이보가 개발한 Weibo SDK를 통한 자동 업데이트 기능도 탑재되어 있습니다. 이 기능을 이용하면 구글의 인증을 받지 않은 앱을 다운로드할 수 있다고 Synacktiv은 말하고 있습니다. 그럼 DJI 드론 앱 사용자는 어떻게 해야 하나? 최신 버전으로 업데이트를 하면 개인 정보 유출을 막을 수 있습니다. 

그나저나 애플 아이폰용 앱은 보안이 튼튼해서인지 이런 행동을 못하는데 만만한 안드로이드 앱은 이렇게 뒷구멍으로 개인 정보를 뽑아갈 수 있었네요.

https://www.dji.com/newsroom/news/dji-statement-on-recent-reports-from-security-researchers

 

DJI Statement On Recent Reports From Security Researchers

DJI takes the security of its apps and the privacy of customer data seriously. Nothing in these reports of hypothetical vulnerabilities contradicts other research that has found no evidence of unexpected data transmission.

www.dji.com

보안 기업인 Synacktiv의 이런 지적에 DJI는 DJI는 앱의 보안 및 고객 데이터의 프라이버시를 중시하고 있다면서 우려 스러운 사항이 발견되었지만 악용 사례는 없다면서 Mob Tech에 전송하는 기능이나 Bugly 구성 요소는 제거했다고 말하고 있습니다. 이번 사태에 대해서 구글은 Synacktiv의 내용을 토대로 조사를 하고 있다고 하네요.

어떻게 결론 날지 모르지만 DJI 드론 앱이 개인정보 취득했다는 증거가 나오면 DJI에게는 큰 타격이 될 것입니다.

출처 https://www.synacktiv.com/en/publications/dji-android-go-4-application-security-analysis.html

 

0 Comments
댓글쓰기 폼