“내 드론이 납치됐어요”…‘드론 해킹’ 보안 취약점을 막아라!

2011년 12월, 아프가니스탄 국경을 날며 조용히 정찰 임무를 수행하던 미군의 드론 RQ-170 센티넬이 이란에 의해 나포됐습니다. 록히드마틴사와 이스라엘이 공동으로 제작한 무인 스텔스기인데요. 이란은 드론 포획을 자랑스럽게 발표했고, 미군은 해당 드론은 자체 기기 결함으로 추락한 것이라며 포획은 아니라고 부인했습니다.

■ 무인 정찰 하랬더니 빼앗겼네?…영화 같은 드론 해킹

이란군이 드론을 나포한 방법은 GPS 조작을 통한 전자해킹이었습니다. 이란은 드론의 GPS 연결을 차단해 자동 비행모드로 전환하도록 하고 다시 암호화되지 않은 GPS 주파수를 찾도록 조작해 이란 영토로 유도하는 수법을 쓴 것으로 알려졌습니다.

영화에서나 일어날 법한 일, 이제는 현실에서도 빈번하게 벌어지고 있습니다. 2008년 이라크 반군이 미군 드론의 정찰 영상을 해킹에 함께 그 영상을 감상(?)해왔든가 하면, 2016년 멕시코 마약 조직은 미국 국경수비대의 드론을 해킹해 밀입국을 노리기도 했습니다. 드론은 '무인 정찰'이라는 군사·치안 분야에서 전략적 가치가 뛰어나지만, 그만큼 허망하게 빼앗기는 일도 벌어지고 있습니다.


일부 중동국가들은 미군 드론을 해킹한 실적을 과시한다
■ 민간 드론 시장 급성장…해킹 노출 마찬가지

군사 드론만 문제일까요? 드론은 이제 더이상 '신문물'이 아닐 정도로 대중화됐습니다. 민간에서도 빠르게 보급되어왔는데요. 국내만 하더라도 지난 2016년 706억 원 규모에서 지난 6월 기준 4천595억 원으로 급성장했습니다. 드론은 개인 취미활동에서, 소방구조, 경찰의 교통 감시 등 다양한 분야에서 활용되고 있습니다. 민간 분야의 드론 역시 해킹 공격에 노출되어있다는 겁니다.

GPS '스푸핑(Spoofing)'. 대표적인 드론 해킹 기술인데요. '속인다'는 뜻처럼 드론에게 가짜 GPS 신호를 보내 해커가 의도한 곳으로 이동시키는 방법입니다. 도심 속 드론을 이용해 테러를 기획하는 과격한 상황까지는 아니더라도, 세계적인 유통업체 아마존의 택배 드론이 배송하다 누군가에게 도둑맞는 상황은 충분히 우려될 수 있습니다.

■ 정부 발표 '드론 보안 가이드'…늦었지만 이제부터 시작

드론 택배 서비스 '프라임에어' 상용화를 눈앞에 두고 있는 아마존은 일찌감치 드론 해킹 방지 기술에 많은 공을 들여왔습니다. 아마존은 여러 대의 드론이 서로 정보를 주고받아 위치, 방향, 고도 등을 대조했을 때 정보가 일치하지 않으면 해킹된 것으로 판단해 드론이 기지로 돌아오거나 착륙하도록 하는 기술 등을 개발해왔는데요. 우리나라는 어떨까요?

정부가 제시한 드론 보안 대응방안 7항목

과기정통부가 오늘(1일) 민간 분야 '드론 사이버보안 가이드'를 발표했습니다. 내용은 아직 기초적인 수준인데요. 민간 드론 시장이 급성장하는 상황에서, 현실로 다가온 보안 이슈에 이제 겨우 첫걸음을 뗀 셈입니다. 다소 늦은 감은 있지만, '안전인증 제도'만 있는 상태에서 보안 관련 지침이 나왔다는 건 반길 일입니다.

가이드에는 드론과 주요 시스템에 예상되는 보안 위협 시나리오와 함께 보안 요구사항을 제시했는데요. 앞으로 모든 드론은 고유 식별번호를 보유해야 하고, 제어통제권을 상실한 경우 지정된 지점의 자동회귀 기능과 위험요소 탐지 시 자동 착륙 기능이 있어야 합니다.

과기부는 이를 바탕으로 내년 강제성을 띤 '보안 기준'을 마련할 예정인데요. 내년 인증심사부터는 아예 보안 항목을 추가할 계획도 있습니다. 하지만 미국 의회가 드론보안법 발의한 단계까지 진행한 것과 비교하면 우리나라 드론 보안은 아직 숙제가 많습니다.