‘지구가 멈추는 날’ 영화에서 드론을 원격조정하는 장면이 나온다. 원격으로 조정해서 대형 외계로봇을 공격하지만, 로봇이 빔을 발사하고 비행기를 해킹해 아군 탱크를 공격한다. 이제 드론 해킹은 영화 속에서만 볼 수 있는 공상과학 이야기는 아니다. 이미 실제로 일어나고 있는 일이다.

드론은 무선 네트워크와 연결해 있고 해커들은 무선 네트워크를 경로로 드론을 해킹할 수 있다. 참고로 사이버보안 전문가에 따르면 드론은 일반 PC와 서버를 비교할 때 오히려 해킹이 더 쉽다고 한다. 그럼 드론은 해킹에 얼마나 취약할까.

드론 해킹위협은 ‘정보유출’, ‘스푸핑(Spoofing)’ 그리고 ‘재밍(Jamming)’으로, 3가지가 있다. 이들 공격 유형은 민간용 군용 상관없이 드론에 발생할 수 있는 해킹 위협이다.

드론 정보유출 사건으로는 RQ-140 기밀영상정보 해킹이 있다. 미국에서 개발한 최신 드론인 RQ-140이 러시아의 해킹사이트에서 26달러에 구매한 악성프로그램을 사용해 드론 촬영 영상을 해킹해서 유출 시킨 사건이다.

당시 2008년에 이라크의 무장단체들은 러시아 해킹 사이트로부터 해킹 프로그램을 구입했었다. 그리고 미국 정찰용 드론인 RQ-170 모델형 프레데터를 해킹한 후, 프레데터가 촬영하고 있는 비디오 영상정보들을 그대로 해킹해 유출시켰다.

이로 인해 미국의 이라크 비밀작전들이 테러리스트에 의해 노출돼 미국 안보는 큰 타격을 입었다. 당시 작전을 수행하던 프레데터는 이라크에서 중요한 작전을 수행하는 군용드론이었다. 군용드론은 일반드론보다 보안과 성능이 매우 뛰어나다. 그럼에도 간단한 해킹에 쉽게 무너져 버린 것이다. 군용드론도 해킹에 많이 취약하다면, 일반드론의 보안은 말할 필요도 없다.

군용드론 해킹위협은 여기서 끝이 아니다. 또 다른 방식인 스푸핑인 공격은 정보유출 보다 더 치명적인 해킹공격이다. 2011년 12월 미국의 록히드마틴과 이스라엘이 공동으로 제작한 무인 스텔스 RQ-170이 이란을 영내를 정찰하다가 포획 당한 사건이 발생했다. 이란은 사이버공격으로 해킹시도한 후 드론을 탈취했다고 보도했다.

드론 탈취 해킹방법은 스푸핑인 것으로 조사됐다. 스푸핑은 드론에게 잘못된 착륙지점의 GPS 신호를 보내어 드론이 해커가 의도한 곳에 착륙하게 해 납치해가는 방법이다. 이 사건으로 미국의 최첨단 드론 제조기술이 외부로 유출됐다. 실제로 이란 정부는 드론 납치 후 얼마 지나지 않아 납치한 드론 기술을 가지고 역분석해 생산해 나갈 것이라고 말을 했었다. 이로부터 몇 년 뒤 중국에서는 RQ-170과 유사한 드론이 생산하는 것이 포착되었고 이란은 2014년 4월에 RQ-170과 유사한 드론 개발 테스트를 완료 했다고 보도했다.

마지막으로 드론을 작동불능 상태로 만드는 해킹 유형이 있다. 해커는 해킹만으로 드론을 작동불능 상태로 만들 수 있다. 재밍은 이러한 공격의 대표적이 유형이다. 재밍은 드론에 GPS보다 강력한 신호를 보내 드론을 마비시키는 공격이다. 드론은 인공위성으로부터 GPS 신호를 받는데, 해커는 GPS에 매우 강력한 신호를 보내어 통신에 혼란을 일으키는 원리이다. 이란은 미국의 정찰용 드론들을 총이 아닌 사이버무기로 공격해 무력화 시킬 수 있다고 말했다. 물론 해커들이 마음만 먹으면 민간용 드론에도 쉽게 재밍 공격을 가할 수 있다. 도시 한복판에 재밍 공격으로 드론이 하늘에서 떨어질 시 인명 피해뿐만 아니라 충돌로 인한 재산 피해도 발생할 수 있다.

재밍 공격은 국내에서 발생해서 드론 3가지 위협 중에 가장 크게 알려졌다고 볼 수 있다. 2012년 5월 10일에 인천 송도에서 드론 시험도중에 갑작스런 재밍 공격으로 드론이 추락하는 사고가 발생했다. 이 사고로 원격 조종사 1명이 사망하고 일반인 2명이 크게 부상당했다. 한국정부는 당시 재밍공격을 북한이 일으킨 것으로 추정하고 있다.

드론 해킹 공격에 대비 필수

2013년 12월 아마존은 ‘프라임에어’ 배송서비스를 위해 드론을 개발하고 있고 2019년까지 이를 가능케 하겠다고 발표했다. 프라임에어는 드론을 이용해 고객이 주문 후 30분 만에 물건을 받을 수 있는 프리미엄 배송서비스이다.

아마존이 드론을 활용해 배송한다고 발표하자 다른 IT업체들도 드론을 활용해서 무인배송서비스를 개발하고 있다. 그러나 해킹공격위협으로 서비스가 긍정적이지 만은 않다. 스푸핑 공격으로 해커는 드론을 마음대로 조종해 드론의 택배물을 가로채어 갈 수 있기 때문이다.

4차산업혁명시대에는 아마존의 프라임에어처럼 드론을 활용한 서비스들을 많이 볼 수 있을 것이다. 군사로만 활용했던 드론이 민간분야에서 큰 주목을 받고 있는 셈이다. 그런데 드론을 활용한 안전한 서비스 제공을 위해서는 보안은 필수이다.

보안을 해결하지 않는다면 안전한 드론 서비스를 제공할 수 없다. 현재 드론보안 수준은 첨단 군사용 드론들도 해킹에 당할 정도로 취약하다. 이러한 원인은 GPS 사용에 있다. GPS신호는 암호화 돼 있지 않다. 그래서 GPS 신호를 공격해서 드론을 쉽게 해킹할 수 있는 것이다. 가령 GPS 신호는 쉽게 위변조 할 수 있는데, 해커는 GPS 신호를 위조한 후 드론에게 잘못된 정보를 전달해 스푸핑과 같은 공격을  감행할 수 있다.

인터넷에서는 민간용 GPS 해킹을 위한 가이드가 공유되고 있다. 이는 누구든지 마음만 먹으면 가이드를 보고 드론을 해킹할 수 있음을 의미한다. 안전한 드론서비스를 위해서 해킹공격 대비가 필요하다. 안전한 드론서비스 제공방안으로는 보안기술이 적용한 GPS 개발이 필요하다.