드론(13) : 해킹에 취약한 드론

youtu.be/BzcKCKPsYyI

<해킹에 취약한 드론>

드론산업이 폭발적인 주목을 받는 것은 그동안 공중에 대한 호기심이 있지만 현실적으로 이들에 대한 접근이 불가능했기 때문이다. 그런데 소형 드론의 등장으로 공중촬영, 농약살포, 감시 모니터링, 조사 매핑을 시작으로 재해대책, 경비, 인명 구조, 물자 배송 등 폭넓게 활용될 수 있기 때문이다. 즉 드론의 범용성이다. 높은 활용도와 자유도는 드론의 활동영역이 공중인 것은 물론 다양한 페이로드(탑재물)을 조합할 수 있다. 카메라를 탑재하면 공중촬영기, 상품을 탑재하면 수송기로 바뀔 수 있다는 것이 장점이다.

그러나 드론의 무대가 폭발적이기는 하지만 모든 면에서 완벽하지는 않다는 점은 걸림돌이다. 드론의 악명은 1984년 생성된 일본의 신흥종교단체인 옴진리교에서 1995년 3월 도쿄 지하철에 사린가스를 살포하는 테러를 저지르기 전에 드론으로 사린과 보툴리누스 균을 살포할 계획을 갖고 있었다하여 일본인들을 경악시켰다. 당시는 성능이 좋지 못해 무산되었다고 하는데 현재는 30년 전 상황과는 근본적으로 다르다. 드론으로 상당히 많은 사람들을 죽일 수 있는 양의 화학무기를 탑재할 수 있고 공중에서 분사하는 것도 어렵지 않다.

2015년 4월 일본 수상관저 옥상에 장착된 용기 안에 들어있던 모래에서 미량의 방사능이 검출되면서 일본 전체가 시끄러워진 사건이 일어났다. 방사능이라면 촉각을 곤두세우는 일본인데 드론에서 방사능이 검출되었으므로 더욱 주목을 받았다. 체포된 범인은 원전을 반대한다며 드론을 사용하면 데모보다 주목을 받을 것으로 생각했다고 말했다.

드론이 추락하는 사건은 생각보다 많이 있는데 추락 사건이 이어지자 2015년 히로시마 플라워페스티벌 실행위원회는 행사장 주변에서 드론 사용을 자제해달라고 요청했을 정도다. 하늘의 4차 산업혁명을 선동하는 첨단기술로 주목받는 드론이지만 한편으로는 하늘의 질서를 어지럽히는 새로운 몬스터라는 비아냥도 함께 받고 있다.

드론의 스파이 역할은 생각보다 많이 벌어진다. 「아이 인 더 스카이’(Eye in the Sky)」에 나오는 장면은 스파이 드론이 핵심으로 나오는데 드론을 악용하여 침입, 밀수, 도찰 등은 어렵지 않은 분야다. 

 

아이인더스카이

밀수에 드론을 사용하는 것은 레이더의 탐지를 역으로 이용할 수 있기 때문이다. 비행고도가 낮고 사이즈가 작은 드론은 레이더로 탐지할 수 없다. 미국 <마약단속국>은 2012년 이후 미국과 멕시코 국경 부근에서 약 130대의 드론이 마약밀수에 사용됐다고 추정한다. 2015년 2월 미국 캘리포니아 주와 국경이 맞닿은 멕시코의 티후아나 시에서 각성제로 금지되는 메스암페타민 3kg을 탑재한 드론이 추락했다. 3kg의 무게를 견디지 못하여 추락한 것으로 추정했는데 메스암페타민 3kg의 가격은 200만 달러이고 운송수단인 드론 가격은 1,400달러에 불과하다. 앞으로 보다 큰 드론이 등장하면 마약 등의 밀수에 보다 효과적이 될 수 있다는 우려다.

교도소에 불법으로 드론이 침입한 사건도 있다. 교도소에서 가장 주의하는 것은 교도소 안으로 불법적인 물건이 반입되지 않도록 하는 것이다. 그런데 미국 조지아주 주립교도소에 드론을 리모컨으로 조종해 담배 등을 교도소 안으로 운반하던 남녀를 체포했다. 미국에서는 교도소 안에 스마트폰의 반입이 늘어나면서 재소자가 외부 수하에게 범죄를 지시하거나 재소자끼리 연락을 받으며 봉기를 유도하기도 했는데 이 중간단계에 드론이 개입한다. 많은 나라의 교도소 당국은 드론으로 도주용 로프, 불법 약물 등을 시설 안에 반입할 수 있다고 상정하기도 한다. 그러나 드론으로 대규모 탈주 등이 기획되기는 어렵지만 여하튼 드론이 악용될 소지는 많이 있다.

2018년 영국에선 자기장으로 교도소 불법 배달드론을 차단했다고 발표했다.

이 기술을 개발한 영국의 '스카이펜스(SkyFense)'는 보안 시설 주변에 강력한 전기장을 만들어 드론이 신호를 수신하는 것을 차단했다. 교도소 등 주변 일정 공간을 고(高)자기장으로 만들어 수감자에게 물건을 전달하려는 '불법 배달 드론'의 접근을 막을 수 있다는 것이다.

드론의 문제점은 드론의 규제가 풀릴 때부터 지적되었는데 각 정부에서 드론을 운용하는 것과 마찬가지로 테러리스트들이 드론 활용을 어떻게 막을 수 있느냐이다. 사실 이 문제는 심각한 문제를 일으킬 수 있다. 레바논에 본부를 둔 이슬람 무장 단체인 헤즈볼라가 이란으로부터 드론을 받았다고 발표했다. 2012년에는 C-4 폭약을 장착한 드론으로 워싱턴 DC를 공격하려던 남성이 체포되기도 했다.

단순한 대안은 보다 많은 수비용 드론을 준비하여 적의 드론이 작동되었다는 것을 즉각 파악하여 이들과 직접 부딪히거나 격추시키는 것이다. 이는 드론이 인간의 지휘를 받지 않고 스스로 작동할 정도로 발전하면 가능한 일이다

더구나 선의를 가진 숙련된 전문가가 조종한다고 해도 드론은 위험할 수 있다. 사실 군용 드론의 안전 기록을 보더라도 걱정이 전혀 사라지는 것은 아니다. 미 공군의 발표에 의하면 2001년부터 미 공군의 대표 드론인 프레데터, 글로벌호, 리퍼가 일으킨 사건만 해도 120여 건이 넘는데 이 숫자에는 육군, 해군 혹은CIA가 가동시킨 드론은 포함되지 않았다. 더구나 실수로 민간인이나 미군, 혹은 연합군을 죽인 드론 공격도 포함되지 않았다.

드론이 갑자기 어느 집 마당에 떨어지는 것도 공상의 일은 아니지만 드론이 여객기와 충돌할 경우의 상황은 그야말로 악몽이지 않을 수 없다. 물론 이에 대한 대안도 강구 중이다. ‘감지후 회피’ 장치를 삽입하는 것으로 사진기가 급속도로 커지는 물체를 감지해 자동조종장치에 신호를 보내면 드론이 안전한 쪽으로 방향을 틀도록 만드는 것이다.

그러나 드론의 가장 큰 걱정거리는 안전 문제 외에도 사생활 보호에 있다. 성능이 좋은 드론은 구름을 투과하는 것은 물론 건물 안에 있는 사람들도 알아볼 수 있다. 일부 학자들이 제시하는 최악의 시나리오는 경찰 등 공권력이 ‘합리적인’ 이유로 습격 및 추격전을 벌일 때 드론을 사용하여 도시 안에서 움직이는 수많은 차량과 사람들을 자동으로 추적한다. 이것이 극대화되면 사람의 일상을 데이터베이스화해 미심쩍은 행동을 감시할 수 있으며 더구나 드론을 무장시키면 상황은 심각해지지 않을 수 없다.

그런데 이들보다 큰 문제는 드론이 해킹에 매우 취약한 존재라는 점이다.

 

마이너리티 리포트

스티븐 스필버그 감독의 영화 「마이너리티 리포트」에서 유난히 이목을 끌던 장면은 범인을 쫓던 경찰이 건물 안으로 범인 수색을 위해 작은 비행체, 바로 ‘드론(Drone)’을 들여보내는 것이다. 영화에서 단순간의 스냅에 지나지 않지만 실제 대테러전과 같은 군사작전 상황에서 드론이 사용되는 것은 잘 알려진 사실이다. 키아누 리브스 주연의 「지구가 멈추는 날」도 드론이 활약한다.

드론이 폭발적으로 증가할 수 있는 이유는 조종의 주체와 운항 범위가 변하고 있기 때문이다. 지금까지는 드론 조종을 일일이 사람이 수행했고, 운항 영역도 눈에 보이는 범위 안이었지만, 드론 스스로 자율주행을 하면서 비가시권 영역으로 비행할 수도 있다. 바로 이점이 드론의 문제점을 확실하게 노출시킨다.

드론의 취약점은 무선 네트워크와 연결해 있으므로 해커들이 무선 네트워크를 경로로 드론을 해킹할 수 있다는 점이다. 또한 테러리스트가 드론에 폭탄이나 바이러스 등을 장착하여 살포할 경우도 배제할 수 없기 때문이다. 드론 해킹위협은 ‘정보유출’, ‘스푸핑(Spoofing)’ 그리고 ‘재밍(Jamming)’으로, 3가지가 있다. 이들 공격 유형은 민간용 군용 상관없이 드론에 발생할 수 있는 해킹 위협이다.

원격조정 리모컨은 현대 사회에서 거의 필수라 할 정도로 보편적인 용도로 활용된다. 자동차 리모컨 키, 주차장 문, 아파트 현관 키, 카페에서 커피나 식사를 주문하고는 무선 진동벨을 받고 순서를 기다리는 것은 물론 강변에서 무선 조정 RC카와 드론을 조정하는 것도 모두 와이파이, GPS, 휴대폰 전송 신호 등 인간의 눈에 보이지 않는 무선 신호를 통해 움직이고 작동한다. 

그런데 이러한 무선기기들이 생각보다 손쉽게 해킹할 수 있다는데 문제의 심각성이 있다. 사이버보안 전문가들은 드론은 일반 PC와 서버를 비교할 때 오히려 해킹으로 제어하거나 방해, 조작하는 것이 어렵지 않다고 주장한다. 대중화된 무선기기들이 위험하다는 것이다. 드론은 물론 자동차와 현관키 등도 보안에 취약한데 주파수대를 알아낸 후 해킹하면 언제든지 차를 탈취하거나 아파트 문을 열 수 있다.

 

무선해킹가능실연모습(사이언스타임즈)

사실 드론 정보유출 사건으로 RQ-140 기밀영상정보 해킹이 유명하다. 당시 2008년에 이라크의 무장단체들은 러시아 해킹 사이트로부터 25달러에 해킹 프로그램을 구입했었다. 그리고 미국 정찰용 드론인 RQ-170 모델형 프레데터를 해킹한 후, 프레데터가 촬영하고 있는 비디오 영상정보들을 그대로 해킹해 유출시킨 것이다.

이로 인해 미국의 이라크 비밀작전들이 테러리스트에 의해 노출돼 미국은 큰 타격을 입었다. 당시 작전을 수행하던 프레데터는 이라크에서 중요한 작전을 수행하는 군용드론이었다. 군용드론은 일반드론보다 보안과 성능이 매우 뛰어남에도 불구하고 간단한 해킹에 쉽게 무너져 버린 것이다.

드론 해킹위협은 여기서 끝이 아니다. 또 다른 방식인 스푸핑인 공격은 정보유출 보다 더 치명적인 해킹공격이다. 2011년 12월 미국의 록히드마틴과 이스라엘이 공동으로 제작한 무인 스텔스 RQ-170이 이란 영내를 정찰하다가 포획당한 사건이 발생했다. 이란은 사이버공격으로 해킹시도한 후 드론을 탈취했다고 보도했는데 스푸핑을 사용했다. 스푸핑은 드론에게 잘못된 착륙지점의 GPS 신호를 보내어 드론이 해커가 의도한 곳에 착륙하게 해 납치해가는 방법이다.

마지막으로 드론을 작동불능 상태로 만드는 해킹이다. 이를 재밍으로 부르는데 드론에 GPS보다 강력한 신호를 보내 드론을 마비시키는 공격이다. 드론이 인공위성으로부터 GPS 신호를 받으므로 해커가 GPS에 매우 강력한 신호를 보내어 통신에 혼란을 일으키는 원리이다. 물론 해커들이 마음만 먹으면 민간용 드론에도 쉽게 재밍 공격을 가할 수 있다. 사실 군용드론이 해킹에 많이 취약하다면, 일반 드론의 보안은 말할 필요도 없다.

아마존이 드론을 활용해 무인배송서비스를 진행라고 있는데 여기에도 해킹이 큰 문제점으로 제시되었다. 스푸핑 공격으로 해커는 드론을 마음대로 조종해 택배물을 가로채어 갈 수 있기 때문이다. 이 문제는 보안을 해결하지 않는다면 안전한 드론 서비스를 제공할 수 없다는 결론을 유도한다. 이러한 원인은 GPS 사용에 있다. 놀랍게도 GPS신호는 암호화 돼 있지 않기 때문이다. 물론 창이 있으면 방패가 있는법, 안전한 드론 서비스를 위해서 해킹공격 대비가 필요하다면 인간들이 이에 대한 대책을 마련하는 것은 어렵지 않다고 생각한다.

다만 인식시스템이 개인의 프라이버시를 불법으로 침해하는 경우 이를 인식할 수 있는 소형장비를 휴대하면 된다. 그러므로 과학의 남용으로 우리의 프라이버시는 점점 설 땅을 잃어버리게 될 것이라는 우려는 이들을 어떻게 조화시켜 인간에 유용하게 만들 수 있는가라는 인간의 노력 여하에 달렸다고 볼 수 있다.