미국 감시 인프라의 비밀번호를 53회 하드코딩한 Flock Safety

1 month ago 10

미국 전역의 감시 네트워크를 운영하는 Flock Safety가 ArcGIS API 키를 하드코딩해 53개의 공개 자바스크립트 번들에서 노출시킨 사실이 확인됨
이 키는 약 12,000개 기관의 위치·탐지 데이터를 통합 관리하는 ArcGIS 환경에 접근할 수 있었으며, IP·리퍼러 제한이 없어 누구나 사용할 수 있었음
노출된 데이터에는 경찰차 위치, 드론·바디캠·911 통화·카메라 배치 정보 등 민감한 위치 기반 정보가 포함됨
연구자는 추가로 인증 없이 ArcGIS 토큰을 발급받을 수 있는 두 번째 취약점도 발견했으며, 이는 55일 이상 미패치 상태였음
이 사건은 국가 안보와 개인정보 보호 측면에서 심각한 위험을 드러내며, 미국 의회와 규제기관의 조사가 요구되는 사안으로 지적됨

요약 및 주요 발견

Flock Safety의 ArcGIS API 키가 53개의 공개 웹 자바스크립트 번들에 포함되어 있었으며, 이는 약 50개의 비공개 데이터 레이어에 접근 권한을 부여함
- 해당 키는 기본(Default) API 키로, ArcGIS 계정 생성 시 자동 발급되는 조직 전체 자격증명
- 리퍼러·IP·도메인 제한이 없어 누구나 접근 가능
이 키를 통해 접근 가능한 데이터에는 차량 번호판 탐지, 순찰차 위치, 드론 텔레메트리, 911 통화, 감시 카메라 위치 등이 포함됨
- 약 5,000개 경찰서, 6,000개 커뮤니티, 1,000개 민간 기업의 데이터가 위험에 노출됨
FlockOS는 모든 감시 장비와 데이터를 통합하는 단일 지도 기반 인터페이스로, ArcGIS가 그 기반 역할을 수행
- 노출된 키는 이 통합 지도 계층 전체에 접근할 수 있는 권한을 제공

Flock Safety와 감시 인프라

Flock Safety는 미국 전역에서 차량 번호판 리더기, 드론, 오디오 센서를 운영하며 매달 300억 건 이상의 차량 탐지 데이터를 수집
이 시스템은 FlockOS라는 ArcGIS 기반 플랫폼을 통해 모든 데이터를 하나의 지도에서 통합 관리
노출된 API 키는 이 “One Map” 구조 전체를 해제하는 열쇠 역할을 함

취약점 세부 내용

노출된 자격증명은 Flock Safety의 ArcGIS 환경 전체에 연결된 조직 단위 키였음
- 53개의 공개 엔드포인트에서 동일한 키가 반복적으로 발견됨
- 각 엔드포인트는 독립적으로 ArcGIS 환경에 접근 가능
Esri 문서에 따르면 API 키는 공개 및 비공개 콘텐츠 접근 권한을 정의하며, 배포 전 반드시 범위와 리퍼러를 제한해야 함
- Flock은 이러한 제한을 전혀 적용하지 않음

노출된 데이터 범주

감시 인프라: 경찰·커뮤니티·민간 카메라, 드론, 오디오 센서, 제3자 장비
위치 데이터: 순찰차 GPS, 바디캠, 스마트워치, CAD 이벤트, 순찰 이력
인물·차량 정보: 탐지 알림, 검색 이력, 오디오 경보(총성 감지 포함)
수사 데이터: 핫리스트 탐지, 검색 필터, 지리적 검색 영역
개인식별정보(PII) : 카메라 등록자 이름, 이메일, 전화번호, 주소, 카메라 수량
Flock911 데이터: 실시간 사건 위치, 통화 ID, 녹취 접근 토큰, 오디오 재생 상태
드론 상태 정보: 장비 상태(녹화·충전·오프라인 등) 표시

반복된 자격증명 노출 패턴

동일한 기본 API 키 외에도 인증 없이 ArcGIS 토큰을 발급받는 취약점이 추가로 발견됨
- “Flock Safety Prod”라는 이름의 토큰이 실제 카메라 네트워크 데이터에 접근 가능
- 2025년 11월 13일 최초 제보 후 55일 이상 미패치 상태 유지

속성 Default API Key Flock Safety Prod

접근 항목	50개 비공개 아이템	없음
카메라 네트워크 접근	가능	가능
출처	개발용 JS 번들	인증 없는 토큰 발급
상태	수정 완료 (2025년 6월)	미패치 (55일 이상)

개발 환경이 운영 환경보다 더 넓은 접근 권한을 가지고 있었으며, 외부 접근이 가능했음

국가 안보 및 개인정보 위험

전국 규모의 위치 데이터는 정치인·군 관계자·정보요원 등의 이동 패턴을 노출할 수 있음
- 단순한 위치 공백만으로도 특수작전 개시 여부를 추정할 수 있음
외국 정보기관이 이러한 데이터를 악용할 경우 통신 감청 없이도 작전 정보를 추론할 수 있음
국내적으로는 사생활 침해, 협박, 영향력 행사에 악용될 위험 존재

실제 오남용 사례

조지아주 브라셀턴(2025) : 경찰서장이 Flock 카메라를 이용해 개인을 스토킹한 혐의로 체포
캔자스주 세지윅(2023–2024) : 경찰서장이 전 연인을 228회 추적, 허위 수사 사유 입력
플로리다주 오렌지시티(2024–2025) : 경찰관이 전 연인을 추적, 불법 접근 및 스토킹 혐의로 체포

이 사례들은 감시 시스템이 개인적 목적으로 악용될 수 있음을 보여줌

Flock의 보안 및 컴플라이언스 주장 검증

Flock CEO는 “Flock은 해킹된 적이 없다”고 주장했으나, 이는 취약점이 제보로 발견되어 악용되지 않았기 때문
Flock은 CJIS, SOC 2/3, ISO 27001 등 준수를 주장했지만, 실제로는 기본 API 키가 53개 공개 자산에 포함된 상태였음
이는 단순한 절차적 실패가 아니라 구조적 보안 결함으로 평가됨

권고 사항

시민: 지방정부의 Flock 계약 및 로그 공개 요청
언론인: 기술적 증거를 기반으로 추가 조사 수행
법집행기관: 공급업체의 침투 테스트 결과 및 데이터 접근 범위 확인
정책입안자: 독립 보안 감사 의무화 및 FTC 조사 지원

결론

API 키는 교체되었지만, 국가 감시 인프라의 핵심 접근 자격증명이 53회 노출된 사실은 심각한 보안 경고
단 한 명의 연구자가 이 규모의 접근을 얻을 수 있었다면, 적대적 행위자는 훨씬 더 많은 정보를 수집할 수 있었음
Flock Safety는 단순한 키 유출이 아니라 미국 감시 시스템의 작동 중심부를 노출시킨 것으로 평가됨

Read Entire Article