[엠투데이 이정근기자] DJI가 미국 사이버보안 전문기업 온디펜드가 수행한 독립 보안 평가 결과를 공개했다. 이번 평가는 DJI Air 3S와 Matrice 4E를 대상으로 진행됐으며, 소프트웨어와 하드웨어, 무선주파수 영역을 포함한 전반적인 보안 검증이 약 5개월 동안 이뤄졌다.
평가 결과 중대, 고위험, 중위험 수준의 보안 취약점은 발견되지 않았다. 온디펜드는 실제 공격 시나리오를 기반으로 제품을 검증했으며, 데이터 전송, 백도어, 원격 접근, 무선 신호, 공급망 변조 가능성 등을 주요 항목으로 살폈다.
이번 평가는 DJI 의뢰로 진행됐지만, 제품 확보 과정에서 독립성을 확보하는 방식이 적용됐다. 일반 소비자용 제품은 DJI에 사전 통보하지 않고 일반 판매처에서 직접 구매했으며, 산업용 제품은 기존 유통 재고를 확보해 시험에 사용했다. 평가 대상 제품은 미국 시장에서 실제 유통되는 제품과 동일한 사양이었다.
온디펜드 평가에서 미국 외 지역으로 데이터가 전송된 정황은 확인되지 않았다. DJI 비행 제어 애플리케이션에서 확인된 연결은 모두 미국 내 인프라로 연결된 것으로 나타났다. 백도어나 비인가 원격 접근 메커니즘도 발견되지 않았으며, 컨트롤러를 대상으로 한 탈옥과 펌웨어 변조 시도는 모두 차단된 것으로 확인됐다.
무선주파수 영역에서도 설명되지 않은 송신은 확인되지 않았다. 탐지된 신호는 확인 가능한 시스템 기능에서 발생한 것으로 분석됐고, FCC 제출 문서에 포함되지 않았던 일부 전파 방출도 은닉 통신 채널이 아니라 신호 생성 과정에서 나타나는 일반적인 기술적 특성으로 판단됐다. 공급망 변조나 비인가 하드웨어 변경 사례도 발견되지 않았다.
다만 평가 과정에서 10건의 저위험 항목과 13건의 관찰 사항은 확인됐다. 해당 항목은 복잡한 모바일 및 임베디드 시스템에서 일반적으로 발견되는 수준으로, 주로 애플리케이션 보안 설정, 세션 관리, 무선 통신 보안 강화와 관련된 내용이었다. 온디펜드는 이들 항목이 드론의 안전한 운용이나 기밀 정보의 광범위한 노출로 이어질 현실적인 위험을 초래하지 않는다고 평가했다.
DJI는 평가 기간 동안 온디펜드와 협력해 개선 방안을 검토했으며, 남아 있는 사항은 향후 소프트웨어 업데이트를 통해 순차적으로 반영할 계획이다.
온디펜드는 ‘온디펜드 2026 DJI 보안 평가’ 보고서에서 평가 기간 동안 Air 3S와 Matrice 4E 드론 시스템에서 숨겨진 백도어의 존재를 뒷받침할 명확한 증거가 발견되지 않았다고 밝혔다. 또한 미국 외 지역으로의 데이터 전송이나 시스템 탈취, 무기화로 이어질 수 있는 실행 가능한 경로도 확인되지 않았다고 평가했다.
아담 웰시 DJI 글로벌 정책 총괄은 이번 평가가 DJI 제품을 대상으로 수행된 가장 포괄적인 독립 보안 검증이라고 밝혔다. 그는 이번 결과가 DJI 제품의 보안성과 데이터 처리 방식의 투명성을 다시 확인한 것이라며, FCC Covered List 지정의 근거가 된 우려가 기술적 검증 결과로 뒷받침되지 않는다는 점도 보여준다고 말했다.
이번 평가는 2025년 10월부터 2026년 3월까지 데이터 주권, 하드웨어 취약점, 드론 시스템 악용 가능성 등 국가안보 관점의 주요 우려를 중심으로 진행됐다. 온디펜드는 DJI Fly와 Pilot 2 애플리케이션의 정적·동적 보안 분석, 일반 모드와 로컬 데이터 모드의 네트워크 트래픽 분석, 중간자 공격, 인증서 우회, 권한 상승, 탈옥 시도 등을 검증했다.
하드웨어 검증도 함께 이뤄졌다. 온디펜드는 분해 분석, 무선주파수 분석, 실리콘 레벨 분석을 수행했으며, 1MHz부터 6GHz까지 전 대역 무선주파수 스캐닝과 PCB 분해 및 부품 검증, 공급망 무결성 검증, 신호 재전송·재밍·신호 주입 공격 시험도 진행했다.
DJI는 2025년 12월 FCC Covered List에 포함됐으나, 해당 지정 과정에서 구체적으로 문서화된 보안 취약점은 제시되지 않았다고 밝혔다. DJI는 이에 대해 이의를 제기했으며, 투명하고 증거 기반의 기술 검토를 요청해 왔다.
DJI 드론은 현재 미국 내 공공 안전, 농업, 인프라, 영상 제작 산업 전반에서 활용되고 있다. 미국 내 드론을 활용하는 1,800개 이상의 주 및 지방 법 집행기관 가운데 80% 이상이 수색·구조, 사고 재구성, 범죄 현장 기록, 전술 지원 등에 DJI 드론을 사용하고 있다. 또한 드론을 활용하는 기업 사용자 중 43%는 DJI 제품 사용이 제한될 경우 사업 운영에 심각한 영향을 받거나 사업 지속 자체가 어려워질 수 있다고 응답했다.
Copyright ⓒ M투데이 무단 전재 및 재배포 금지
