미국 온라인 테크 매체 Ars테크니카가 인간의 생명을 위협할 GPS 결함 취약점 발견 소식을 전했다.
보안 기업 비트사이트(BitSight)가 중국산 GPS 추적기인 마이코더스 MV720(Micodus MV720)에서 취약점 6가지를 발견했다고 발표했다. 일부 취약점은 마이코더스의 다른 제품에서도 똑같이 발견되었다.
연구팀은 169개국 기기에서 이번 취약점이 발견되었으며, 마이코더스 MV720 장착 기기 중 총 42만 대에 피해를 줄 수 있다고 경고했다. 6가지 취약점 모두 각종 해킹 공격에 악용될 수 있는 심각한 보안 취약점으로 확인됐다. 그중 한 가지 취약점은 해커가 원격으로 모바일 애플리케이션과 지원 서버 간의 통신 내용을 가로채거나 요청 사항을 변경할 수 있는 것으로 드러났다.
그 외에도 해커가 GPS 트래커의 키에 접근하는 모바일 앱의 인증 메커니즘 결함과 기기 통신 내용 원격 감시에 맞춤형 IP 주소를 악용할 수 있는 취약점도 발견되었다.
마이코더스 MV720은 정비 기관과 구사 기관, 법률 집행 기관, 항공기 제조사, 선박, 제조 기업 등 다양한 주요 기관에서도 사용 중인 것으로 알려졌다. 또, 연구팀은 해당 제품이 20달러 안팎에 널리 판매되었으며, 누구나 쉽게 구매할 수 있다는 점도 우려했다.
연구팀은 마이코더스 MV720 취약점 발견 후 미국 사이버인프라안보국(CISA)에 문제를 즉시 알렸다. 이후 CISA는 공식 성명을 통해 “MV720 트래커의 취약점으로 해커 세력이 사용자 위치와 이동 경로, 연료 공급 중단 명령 등에 악용할 수 있다”라고 경고했다.
비트사이트 연구팀은 연구 보고서를 통해 “현재 마이코더스 MV720 GPS 추적기를 사용 중이라면, 취약점 수정 완료 전까지 사용을 중단할 것을 권고한다. 또, 모델 종류를 떠나 마이코더스의 제품을 사용 중이라면, 시스템 아키텍처의 보안 문제에 각별히 주의해야 한다”라고 전했다.
이어, “마이코더스의 GPS 트래커는 최악의 상황에서 사용자의 생명을 위협할 수도 있다. 예를 들어, 해커가 트래커의 취약점을 악용해, 상업용 혹은 긴급 교통수단의 연료 공급을 차단할 수 있다. 혹은 GPS 정보를 악용해 위험한 고속도로에서 주행 도중 차량이 멈추도록 명령을 내릴 수 있다. 혹은 해커 세력이 트래커로 몰래 사용자 개인을 추적하거나 기기 장애 복구를 빌미로 금전 갈취를 시도할 수 있다”라며, 문제의 심각성을 강조했다.
한편, 마이코더스 측은 보안 취약점과 관련한 사항을 일절 언급하지 않았다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
