[보안뉴스 문가용 기자] 보안 업체 체크포인트(Chek Point)의 전문가들이 DJI에서 만든 드론을 공격해 사용자의 계정 정보를 하이재킹하는 방법을 개발해냈다. 이를 통해 드론을 제어하는 것은 물론 사용자의 계정과 관련된 여러 민간 정보에 접근할 수 있다고 한다.
연구원들이 개발한 건 일종의 XSS 공격이다. 이 공격은 DJI 드론의 고객들 수천 명이 사용하고 있는 DJI 포럼을 통해 실시된다. 여기서 식별 토큰을 가로채고, 이를 활용해 해당 사용자인 것처럼 로그인을 하는 식이다.
결국 이 공격은 드론 기계를 직접 공격하는 게 아니라 그 드론의 클라우드 네트워크의 취약점을 노리는 것이다. 체크포인트의 연구원들은 “클라우드가 이중 인증 및 향상된 인증 원리를 가지고 있었다면 공격이 훨씬 어려웠을 것”이라고 지적했다. 또한 “망분리만 제대로 되어 있었어도 사용자 포럼을 통해 드론 장비를 장악하는 일이 벌어지지도 않았을 것”이라고 덧붙였다.
