DJI가 미국 사이버보안 전문기업 온디펜드(OnDefend)가 수행한 독립 보안 평가 결과를 공개했다. 이번 평가는 DJI Air 3S와 Matrice 4E를 대상으로 약 5개월간 진행됐으며, 소프트웨어, 하드웨어, 무선주파수(RF) 영역 전반에서 실제 공격 시나리오를 기반으로 한 검증이 이뤄졌다.

평가 결과 중대(Critical), 고위험(High), 중위험(Medium) 수준의 보안 취약점은 발견되지 않은 것으로 확인됐다. 온디펜드는 미국 국가안보 분야와 주요 기업 고객을 대상으로 보안 서비스를 제공하는 사이버보안 전문기업이다.

이번 평가는 DJI의 의뢰로 진행됐지만, 평가의 독립성을 확보하기 위한 절차가 포함됐다. 일반 소비자용 제품은 DJI에 사전 통보 없이 일반 판매처에서 직접 구매했으며, 산업용 제품 역시 기존 유통 재고를 확보해 시험에 사용했다. 평가에 사용된 모든 제품은 미국 시장에서 실제 유통되는 제품과 동일한 사양이다.

중대·고위험·중위험 취약점 미발견

온디펜드는 이번 평가에서 중대, 고위험, 중위험 수준의 취약점이 단 한 건도 발견되지 않았다고 밝혔다.

평가 결과 미국 외 지역으로 데이터가 전송된 정황은 확인되지 않았다. DJI 비행 제어 애플리케이션에서 확인된 모든 연결은 미국 내 인프라로 연결된 것으로 나타났다.

백도어(Backdoor) 또는 비인가 원격 접근 메커니즘도 발견되지 않았다. 컨트롤러를 대상으로 진행된 탈옥(Jailbreak) 및 펌웨어 변조 시도는 모두 차단된 것으로 확인됐다.

설명되지 않은 무선주파수 송신도 확인되지 않았다. 탐지된 모든 신호는 확인 가능한 시스템 기능에서 발생한 것으로 분석됐다. FCC 제출 문서에 명시되지 않았던 일부 전파 방출 역시 은닉 통신 채널(Covert Channel)이 아니라 신호 생성 과정에서 발생하는 일반적인 기술적 특성으로 확인됐다.

공급망 변조 정황이나 비인가 하드웨어 변경 사례도 발견되지 않았다.

저위험 항목 10건·관찰 사항 13건 확인

다만 평가 과정에서는 총 10건의 저위험(Low-Risk) 항목과 13건의 관찰 사항이 확인됐다. 해당 항목들은 복잡한 모바일 및 임베디드 시스템에서 일반적으로 발견되는 수준의 사항으로, 주로 애플리케이션 보안 설정, 세션 관리, 무선 통신 보안 강화와 관련된 내용이었다.

온디펜드는 이들 항목이 드론의 안전한 운용이나 기밀 정보의 광범위한 노출로 이어질 현실적인 위험을 초래하지 않는다고 평가했다. DJI는 평가 기간 동안 온디펜드와 협력해 개선 방안을 검토했으며, 남아 있는 사항은 향후 소프트웨어 업데이트를 통해 순차적으로 반영할 계획이다.

온디펜드는 ‘온디펜드 2026 DJI 보안 평가(OnDefend 2026 DJI Security Assessment)’ 보고서에서 “평가 기간 동안 Air 3S 및 Matrice 4E 드론 시스템에서 숨겨진 백도어의 존재를 뒷받침할 명확한 증거는 발견되지 않았으며, 미국 외 지역으로의 데이터 전송이나 시스템 탈취 또는 무기화로 이어질 수 있는 실행 가능한 경로도 확인되지 않았다”고 평가했다.

또한 “중대 또는 고위험 수준의 취약점 역시 발견되지 않았다”며 “국가안보 수준의 신뢰성을 지속적으로 유지하기 위해서는 향후 펌웨어와 소프트웨어 업데이트, 하드웨어 및 칩 무결성에 대한 지속적인 검증이 권장된다”고 설명했다.

아담 웰시(Adam Welsh) DJI 글로벌 정책 총괄은 “이번 평가는 DJI 제품을 대상으로 수행된 가장 포괄적인 독립 보안 검증”이라며 “DJI가 지속적으로 강조해온 제품 보안성과 데이터 처리 방식의 투명성을 다시 한번 확인해주고, FCC Covered List 지정의 근거가 된 우려가 기술적 검증 결과에 의해 뒷받침되지 않는다는 점 역시 보여준다”고 말했다.

이어 “DJI는 사실에 기반한 정책 결정이 이뤄져야 한다고 믿으며, 이러한 이유로 독립 보안 평가를 의뢰했다”며 “현재 진행 중인 이의 제기 절차의 일환으로 FCC가 이번 평가 결과를 면밀히 검토해 주기를 기대하며, 앞으로도 관계 당국과 건설적으로 협력해 나갈 것”이라고 밝혔다.

소프트웨어·하드웨어·RF 전 영역 검증

이번 평가는 2025년 10월부터 2026년 3월까지 데이터 주권(Data Sovereignty), 하드웨어 취약점, 드론 시스템 악용 가능성 등 국가안보 관점의 주요 우려 사항을 중심으로 진행됐다.

온디펜드는 DJI Fly 및 Pilot 2 애플리케이션에 대한 정적·동적 보안 분석, 일반 모드 및 로컬 데이터 모드에서의 네트워크 트래픽 분석, 중간자 공격(Man-in-the-Middle), 인증서 우회, 권한 상승, 탈옥 시도 등 다양한 공격 시나리오 기반 검증을 수행했다.

하드웨어 영역에서는 자체 보유한 검증 기술을 활용해 분해 분석(Teardown), 무선주파수 분석, 실리콘 레벨 분석을 진행했다. 1MHz~6GHz 전 대역 무선주파수 스캐닝, PCB 분해 및 부품 검증, 공급망 무결성 검증, 신호 재전송(Replay)·재밍(Jamming)·신호 주입(Injection) 공격 시험도 포함됐다.

온디펜드는 미국 군 및 정부 기관 출신 전문가들로 구성된 공격형 보안(Offensive Security) 전문 조직으로, 소프트웨어·하드웨어·공급망 전반에 걸친 국가안보 및 기술 무결성 위험 요소를 식별하는 데 특화된 역량을 보유하고 있다. 특히 AI 기반 이미징 기술과 실리콘 레벨 분석 기술을 활용해 비인가 데이터 전송 경로, 위조 부품, 문서화되지 않은 하드웨어 변경 사항 등을 식별할 수 있는 독자적인 검증 체계를 운영하고 있다.

이번 평가 결과는 평가 기간 동안 사용된 소프트웨어, 펌웨어 및 하드웨어 버전을 기준으로 도출됐다. 온디펜드는 향후 제품 업데이트에 맞춰 지속적인 독립 검증이 이뤄질 필요가 있다고 권고했다.

FCC Covered List 지정 둘러싼 논란

DJI는 2025년 12월 FCC Covered List에 포함됐다. DJI는 해당 지정 과정에서 구체적으로 문서화된 보안 취약점이 제시되지는 않았다며 이의를 제기한 바 있다. 회사는 그동안 투명하고 증거 기반의 기술 검토가 필요하다는 입장을 밝혀왔다.

DJI 드론은 미국 내 공공 안전, 농업, 인프라, 영상 제작 산업 전반에서 사용되고 있다. DJI에 따르면 미국 내 드론을 활용하는 1,800개 이상의 주 및 지방 법 집행기관 가운데 80% 이상이 수색·구조 활동, 사고 재구성, 범죄 현장 기록, 전술 지원 등의 업무에 DJI 드론을 활용하고 있다.

또한 드론을 활용하는 기업 사용자 가운데 43%는 DJI 제품 사용이 제한될 경우 사업 운영에 심각한 영향을 받거나 사업 지속 자체가 어려워질 수 있다고 응답했다. DJI는 항공 촬영, 뉴스 취재, 다큐멘터리 제작 분야에서도 업계 표준으로 널리 활용되고 있다.

이번 독립 보안 평가는 FCC Covered List 지정 이후 DJI가 제기해온 기술 검증 필요성과 맞물려 공개됐다. 온디펜드는 중대·고위험 취약점과 백도어, 미국 외 데이터 전송 정황이 확인되지 않았다고 평가하면서도, 향후 펌웨어·소프트웨어 업데이트와 하드웨어 및 칩 무결성에 대한 지속적인 검증이 필요하다고 권고했다.

이준문 기자/jun@newstap.co.kr

ⓒ 뉴스탭(https://www.newstap.co.kr) 무단전재 및 재배포금지