5유로짜리 블루투스 트래커가 7,800억 원 군함 위치를 24시간 노출시킨 사건

엽서 속에 숨겨진 추적기 한 개가 군함을 위험에 빠뜨리다

2024년, 네덜란드 해군이 충격적인 보안 사고를 경험했습니다. 누군가 단돈 5유로짜리 블루투스 추적기를 엽서 안에 몰래 숨겨 군함으로 우편 발송했고, 해당 장치가 배 내부에서 24시간 동안 신호를 발신하면서 외부에서 실시간 위치 추적이 가능한 상태가 됐습니다. 해당 함정의 가치는 약 5억 유로(약 7,800억 원)에 달합니다.

어떻게 가능했을까? — 블루투스 트래커의 작동 원리

Apple AirTag, Tile, Samsung SmartTag 같은 소형 블루투스 추적기는 GPS 모듈 없이도 위치 추적이 가능합니다. 원리는 간단합니다.

1. 장치가 지속적으로 블루투스 신호를 발신합니다.
2. 주변을 지나는 수십억 대의 스마트폰이 해당 신호를 감지하고 위치 데이터를 클라우드에 익명으로 전송합니다.
3. 추적기 소유자는 앱에서 실시간 위치를 확인할 수 있습니다.

문제는 이 '크라우드소싱 네트워크'가 군함 안에서도 완벽하게 작동했다는 점입니다. 군 장병들의 스마트폰이 중계기 역할을 하면서 위치 정보가 외부로 유출된 것입니다.

이 사건이 주는 충격적인 교훈

첨단 해킹 없이도 군사 기밀이 유출된다

기존의 사이버 공격은 네트워크 해킹, 악성코드 배포, 피싱 등 고도의 기술이 필요했습니다. 그러나 이번 사건은 일상에서 누구나 살 수 있는 소비자 제품 하나로 최고 수준의 보안 시설을 무력화했다는 점에서 충격적입니다.

물리적 보안의 새로운 위협

기존 보안 검사는 금속 탐지기, X레이 스캐너 등을 통해 무기류 반입을 차단하는 데 초점을 맞춰왔습니다. 하지만 블루투스 트래커는 동전 크기의 플라스틱 조각에 불과하며, 우편물 검사에서 걸러내기 매우 어렵습니다. 이 사건은 물리적 보안의 패러다임 전환을 요구합니다.

스마트폰이 보안 위협을 증폭시킨다

아이러니하게도, 군 장병들의 스마트폰이 보안 구멍을 만들었습니다. 스마트폰 없는 환경을 강제하는 것도 현실적으로 어렵기 때문에, 이 딜레마는 군뿐 아니라 기업 보안 담당자들에게도 심각한 과제입니다.

IT 커뮤니티와 개발자에게 주는 인사이트

• IoT 기기 설계 시 보안 내재화(Security by Design) 가 필수입니다. 추적기 제조사들은 무단 추적을 방지하는 알림 기능을 강화하고 있지만, 여전히 한계가 있습니다.
• 블루투스/BLE 프로토콜을 활용하는 개발자라면 자신이 만드는 기기가 의도치 않게 위치 추적 도구로 악용될 수 있다는 점을 인지해야 합니다.
• 기업 및 기관의 보안 정책 은 디지털 위협뿐 아니라 소비자 IoT 기기의 물리적 반입에 대한 규정도 포함해야 합니다.
• 제로 트러스트(Zero Trust) 접근법 을 물리적 보안에도 적용해야 할 시대가 왔습니다 — 엽서 한 장도 신뢰하지 마세요.

마치며

5유로짜리 장치가 7,800억 원 규모의 군함을 위협했다는 사실은, 보안이 얼마나 비대칭적인 게임인지를 여실히 보여줍니다. 공격자는 최소한의 비용으로 최대한의 위협을 가할 수 있는 반면, 방어자는 모든 가능성을 차단해야 합니다. 이 사건이 군과 기업, 개발자 모두에게 물리적 보안의 새로운 취약점을 재인식하는 계기가 되길 바랍니다.

📰 원본 기사: Tom's Hardware — Bluetooth tracker hidden in a postcard and mailed to a warship