반도체 전문 온라인 매거진 - 올포칩

민간용 드론 및 창의적인 카메라 기술 분야의 글로벌 리더 DJI가 미국 사이버보안 전문기업 온디펜드(OnDefend)가 수행한 독립 보안 평가 결과를 전격 공개했다. 이번 평가는 DJI Air 3S와 Matrice 4E를 대상으로 약 5개월간 진행됐으며 소프트웨어, 하드웨어, 무선주파수(RF) 영역 전반에 걸쳐 실제 공격 시나리오를 기반으로 한 고강도 검증이 이뤄졌다. 검증 결과 시스템 탈취나 무기화로 이어질 수 있는 중대(Critical), 고위험(High), 중위험(Medium) 수준의 보안 취약점은 단 한 건도 발견되지 않은 것으로 확인되며 제품의 강력한 보안 신뢰성을 입증했다.

연방통신위원회 커버드 리스트 지정 우려 해소와 업계의 기술적 검증 요구

DJI는 지난 2025년 12월 미국 연방통신위원회(FCC)의 커버드 리스트(Covered List)에 포함됐으나, 지정 과정에서 구체적으로 문서화된 보안 취약점이 제시되지는 않았다. 이에 DJI는 해당 결정에 이의를 제기하며 투명하고 증거에 기반한 기술 검토를 지속적으로 요청해 왔다. 업계 전문가들은 현재 미국 내 공공 안전, 농업, 인프라 등 산업 전반에서 DJI 드론의 의존도가 매우 높은 만큼, 막연한 우려가 아닌 철저한 독립 기술 검증 결과에 기반한 사실 중심의 정책 결정이 이루어져야 한다고 지적한다. 실제 미국 내 법 집행기관의 80% 이상이 구조 활동 등에 DJI 제품을 활용 중이며, 기업 사용자의 43%는 사용 제한 시 사업 지속이 어려워질 수 있다고 응답한 바 있다.

다양한 공격 시나리오 대응 및 실리콘 레벨 분석의 기술적 특징

이번 평가는 데이터 주권과 하드웨어 취약점 등 국가안보 관점의 주요 우려 사항을 중심으로 진행됐다. 온디펜드는 DJI Fly 및 Pilot 2 애플리케이션에 대한 정적·동적 보안 분석을 비롯해 로컬 데이터 모드에서의 네트워크 트래픽 분석, 중간자 공격(Man-in-the-Middle), 인증서 우회, 권한 상승 등의 검증을 수행했다. 하드웨어 영역에서는 분해 분석과 함께 1MHz~6GHz 전 대역 무선주파수 스캐닝, PCB 분해, 실리콘 레벨 분석을 적용했다. 이를 통해 미국 외 지역으로의 데이터 전송 정황이 전혀 없으며 모든 연결이 미국 내 인프라로만 연결됨을 확인했다. 또한 백도어나 비인가 원격 접근 메커니즘이 존재하지 않고, 신호 재전송이나 재밍 및 신호 주입 공격 시도 등도 완벽히 차단됨을 입증했다.

공격형 보안 검증을 통한 데이터 투명성 증명과 무인 항공기 시장 리드 비전

평가를 수행한 온디펜드는 미국 군 및 정부 기관 출신 전문가들로 구성된 공격형 보안 전문 조직으로, 독자적인 검증 체계를 통해 공급망 변조나 비인가 하드웨어 변경 사례가 없음을 확정했다. 평가 과정에서 확인된 10건의 저위험 항목과 13건의 관찰 사항은 일반적인 임베디드 시스템 수준의 내용으로 광범위한 정보 노출 위험이 없는 것으로 평가됐으며, DJI는 향후 펌웨어 업데이트를 통해 이를 순차적으로 보완할 계획이다.

아담 웰시 DJI 글로벌 정책 총괄은 "이번 평가는 DJI 제품을 대상으로 수행된 가장 포괄적인 독립 보안 검증"이라며 "DJI가 강조해온 제품의 보안성과 데이터 처리의 투명성을 다시 한번 확인해주고, FCC Covered List 지정의 근거가 된 우려가 기술적 검증 결과에 의해 뒷받침되지 않는다는 점을 보여준다"고 강조했다. DJI는 이번 기술 검증 데이터를 바탕으로 글로벌 무인 항공기 및 이미징 기술 생태계 내에서 보안 표준을 선도하고 관계 당국과의 건설적인 협력을 지속적으로 리드해 나갈 방침이다.