DJI, 비행 제어 앱 소프트웨어 보안 강화
2017년 8월 28일 - DJI가 자사 비행 제어 앱인 ‘DJI GO’와 ‘DJI GO 4’에 보안이 한 층 강화된 최신 펌웨어를 공개했다. 이번 업데이트에는 인터넷으로 데이터를 송신하는 앱 내 보안 강화 내용이 포함돼있다.
DJI는 이번 업데이트를 공개하면서 DJI 보안 기준에 부합하지 못하는 일부 타사 플러그인이 삭제됐다고 강조했다. 현재 DJI 앱은 라이브 스트리밍, 사진 공유, DJI 스토어 주문 결제 등을 포함한 원활한 서비스 제공을 위해 타사 플러그인을 사용한다.
이번에 제거된 타사 플러그인 중 하나는 제이푸시(JPush)다. 제이푸시는 iOS 앱에 2016년 3월 설치, 안드로이드 앱에는 2017년 4월 설치된 플러그인으로 동영상 파일이 DJI 항공 영상 및 사진 공유 커뮤니티 사이트인 SkyPixel에 업로드에 성공했을 때 푸시 알림을 보내는 역할을 해왔다.
제이푸시는 사용자 고유의 ID를 부여해 사용자가 SkyPixel에 동영상을 업로드할 때 SkyPixel에게 사용자의 ID를 전달한다. 업로드가 완료되면 SkyPixel은 사용자의 ID를 다시 제이푸시 서버로 돌려보내 사용자의 DJI GO 또는 DJI GO 4 앱에 “업로드 완료” 알림이 뜨도록 한다. DJI는 사용자들이 대용량의 동영상 파일을 올리면서 동시에 다른 작업을 할 수 있도록 JPush의 플러그인을 사용해왔다.
최근 DJI의 소프트웨어 보안 부서와 외부 전문가들은 이 과정에서 제이푸시가 해당 업무에 필요 없는 데이터 패킷도 수집해 자사 서버로 전송한다는 사실을 발견하고 즉시 플러그인을 삭제하는 조치를 취했다.
DJI에 따르면 수집된 데이터 패킷은 사용자의 안드로이드 기기에 설치된 앱 목록을 포함한다. DJI는 이러한 방식의 "데이터 수집 또는 전송을 허가한 바가 없으며 데이터에 접근한 적도 없다"고 밝혔다. 제이푸시는 DJI 앱에서 영구적으로 삭제됐으며, DJI는 고객의 데이터를 더욱 안전하게 보호하며 원활한 앱 업데이트를 제공할 수 있는 새로운 방법을 개발할 예정이다.
DJI는 iOS용 '핫 패칭(hot-patching)' 플러그인인 jsPatch와 안드로이드용 Tinker도 삭제했다고 밝혔다. 이 두 플러그인은 앱 자체를 업데이트할 필요 없이 앱 내의 일부 요소만 업데이트할 수 있도록 도와주는 플러그인이다. 애초 임시 비행 금지 구역이나 위험한 버그 등 비행 보안 문제점에 빠르게 대응할 수 있도록 적용됐으나 모든 앱 업데이트 요소가 빠짐없이 검사 과정을 거칠 수 있도록 해당 플러그인도 제거됐다고 DJI는 알렸다.
DJI는 DJI GO 및 DJI GO 4 내의 기타 플러그인들을 지속적으로 검사할 계획이다. 또한 새로운 타사 플러그인을 적용할 경우 현재보다 더 강화된 심사를 진행할 것을 예고했다.
현재 DJI 앱에 적용되는 플러그인은 라이브 스트리밍을 위한 유튜브 및 페이스북, 앱 오작동을 보고하는 버글리(Bugly), DJI 온라인 스토어 결제 시 사용하는 알리페이 및 타오바오다. DJI는 이후에도 소프트웨어 보안을 위협하는 플러그인이 발견될 시 즉시 제거할 것이라고 말했다.
DJI는 새로운 기능을 개발할 때의 소프트웨어 보안의 중요성을 강조하기 위해 개발자들을 위한 내부 교육 프로그램을 시행했으며, 더욱 엄격한 코드 검토와 테스트 과정을 도입했다.
DJI는 또한 외부 연구원들로부터 DJI 제품 및 앱 발전에 더 많은 도움을 받기 위한 소프트웨어 취약점 신고 포상제 ‘버그 바운티 프로그램’과 잠재적인 보안 문제를 신속하게 발견하고 해결하기 위한 연구 및 학술적 지원 프로그램을 도입했다.
DJI 관계자는 “하드웨어 생산 기업 DJI의 목표는 제품을 사용할 때 최고의 경험을 제공하는 것이다. 수익을 위해 사용자 데이터를 판매하는 행위는 DJI의 사업 모델에 포함되지 않는다”라며 “DJI가 데이터를 수집하는 목적은 버그를 고치고, 더욱 신속한 고객 서비스를 제공하고, 앱 업데이트를 통해 안전한 현지 비행 정보화 설정을 제공함으로써 더욱 원활한 사용자 경험을 선사하기 위함이다”고 밝혔다.
DJI는 DJI 서버와 비행 로그 동기화, SkyPixel에 사진 및 동영상 업로드, 수리 점검을 위해 사용자가 직접 DJI에 드론 전달하며 데이터를 공유에 동의하지 않는 이상 드론 비행 중 생성된 비행 로그, 사진, 동영상 데이터에 접속하지 않는다고 강조했다.
업데이트는 안드로이드와 iOS 플랫폼에서 진행할 수 있다. iOS 앱스토어나 구글 플레이스토어에 접속해 최신 앱 버전을 다운로드하는 것을 권장한다. DJI GO 4 버전은 현재 iOS 4.1.7, 안드로이드 4.1.5.3 버전으로 업데이트됐다. DJI GO 버전은 현재 iOS 3.1.15, 안드로이드 3.1.11 버전으로 업데이트됐다.
