2020-04-09 13:10 (목)
해커 "DJI, 지난 수년 간 고객 데이터 공개된 채 방치"...DJI는 다른 입장 표명해
상태바
해커 "DJI, 지난 수년 간 고객 데이터 공개된 채 방치"...DJI는 다른 입장 표명해
  • 김형우 기자
  • 승인 2017.11.21 09:50
이 기사를 공유합니다

z.jpg

▲ 사진 출처 : 위키미디어 커먼즈

'드론(무인기)계의 애플'이라고 불리는 중국 디제이아이(DJI, Dà-Jiāng Innovations Science and Technology)의 고객 데이터가 지난 수년 간 공개된 사이버 공간에 남아 있었다는 사실이 밝혀졌다. 하지만 업체 관계자는 해커가 버그바운티 규약을 무시했다고 반박하고 있다.

버그 현상금 사냥꾼이자 사이버 보안 연구자인 케빈 피니스터리는 DJI가 AWS 보안 자격 증명과 SSL 키를 포함한 고객 데이터를 깃허브(GitHub) 플랫폼에 남겼다는 사실을 밝혔다. 피니스터리는 해당 데이터가 지난 4년 동안 공개된 장소에 저장돼 있었다고 주장했다.

AWS 보안 자격 증명은 사용자를 확인하고 확인된 사용자에게 특정 리소스에 대한 요청 및 액세스 권한을 부여하는 데 사용되며 SSL 키는 브라우저와 웹 서버 간에 암호화된 링크를 설정해 그 사이에서 모든 데이터가 전달됐는지 확인하는 보안 기술이다.

피니스터리는 DJI의 이런 행동은 사이버 공격자가 DJI의 시스템을 손상시키고 데이터를 도용할 잠재적 위험을 높인다고 말했다. 그는 자신이 정당한 방식으로 DJI가 제안한 버그 현상금 프로그램에 참여해 이와 같은 사실을 밝혀냈다고 말했지만, DJI는 피니스터리가 해커라고 주장했다.

DJI 북미 기업 커뮤니케이션 책임자인 아담 리스버그는 "해당 데이터 중 일부를 입수한 해커가 DJI 보안 대응 센터와 연락해 '버그 현상금'을 청구한 내용을 온라인에 게재했다"고 발표했다.

피니스터리는 이 회사로부터 컴퓨터 사기와 남용에 관한 법(CFAA) 위반 혐의라며 협박을 받았다고 주장했다. 그는 "나는 위험을 감수하고 일하는 버그 현상금 사냥꾼이며, 이런 협박은 내 발언의 자유를 포함한 많은 권리를 침해한다"고 덧붙였다.

한편 DJI 측은 “최근 유저들의 개인정보가 포함된 당사 서버내에 승인되지 않은 접속에 대해 철저히 조사중이다. DJI는 최근 ‘보안 대응 센터’를 오픈하고 개인정보나 안전에 위협이 될 수 있는 소프트웨어의 취약점을 보고하는 보안 전문가에게 포상금을 지급하는 버그바운티 프로그램을 운영해왔다”며 “DJI는 프로그램에 참가하는 보안 전문가들에게 당사의 기밀 정보를 보호하는 한편, 내부 분석을 통한 대응책이 마련될 때까지 관련 내용을 누설하지 않겠다는 내용을 담은 표준 약관 준수를 요구하고 있다. 하지만 이번에 문제가 된 해커는 DJI가 제시한 표준 약관에 따르기를 거부하는 한편 몇 차례에 걸친 DJI의 포상금 제안에도 불구하고 자신의 요구 사항을 얻어내기 위한 협박을 시도했다”고 주장했다.

이어 “DJI는 데이터 보안을 매우 중요하게 생각하고 있으며 앞으로도 제품 품질 향상을 위해 최선을 다할 것이다. DJI는 버그바운티 프로그램 발표 이후 현재까지 표준 계약 조건에 동의하고 보안 취약점을 보고한 12명 내외의 보안 전문가들에게 수 천 달러의 포상금을 지불한 바 있다”며 “DJI ‘보안 대응 센터’ 및 버그 신고 관련 보다 자세한 사항은 security.dji.com에서 확인하실 수 있다”고 전했다.