미국 감시 인프라의 비밀번호를 53회 하드코딩한 Flock Safety

 (nexanet.ai)
1P by GN⁺ 17시간전 | ★ favorite | 댓글 1개
  • 미국 전역의 감시 네트워크를 운영하는 Flock Safety가 ArcGIS API 키를 하드코딩해 53개의 공개 자바스크립트 번들에서 노출시킨 사실이 확인됨
  • 이 키는 약 12,000개 기관의 위치·탐지 데이터를 통합 관리하는 ArcGIS 환경에 접근할 수 있었으며, IP·리퍼러 제한이 없어 누구나 사용할 수 있었음
  • 노출된 데이터에는 경찰차 위치, 드론·바디캠·911 통화·카메라 배치 정보 등 민감한 위치 기반 정보가 포함됨
  • 연구자는 추가로 인증 없이 ArcGIS 토큰을 발급받을 수 있는 두 번째 취약점도 발견했으며, 이는 55일 이상 미패치 상태였음
  • 이 사건은 국가 안보와 개인정보 보호 측면에서 심각한 위험을 드러내며, 미국 의회와 규제기관의 조사가 요구되는 사안으로 지적됨

요약 및 주요 발견

  • Flock Safety의 ArcGIS API 키가 53개의 공개 웹 자바스크립트 번들에 포함되어 있었으며, 이는 약 50개의 비공개 데이터 레이어에 접근 권한을 부여함

    • 해당 키는 기본(Default) API 키로, ArcGIS 계정 생성 시 자동 발급되는 조직 전체 자격증명
    • 리퍼러·IP·도메인 제한이 없어 누구나 접근 가능

  • 이 키를 통해 접근 가능한 데이터에는 차량 번호판 탐지, 순찰차 위치, 드론 텔레메트리, 911 통화, 감시 카메라 위치 등이 포함됨

    • 5,000개 경찰서, 6,000개 커뮤니티, 1,000개 민간 기업의 데이터가 위험에 노출됨

  • FlockOS는 모든 감시 장비와 데이터를 통합하는 단일 지도 기반 인터페이스로, ArcGIS가 그 기반 역할을 수행

    • 노출된 키는 이 통합 지도 계층 전체에 접근할 수 있는 권한을 제공

Flock Safety와 감시 인프라

  • Flock Safety는 미국 전역에서 차량 번호판 리더기, 드론, 오디오 센서를 운영하며 매달 300억 건 이상의 차량 탐지 데이터를 수집
  • 이 시스템은 FlockOS라는 ArcGIS 기반 플랫폼을 통해 모든 데이터를 하나의 지도에서 통합 관리
  • 노출된 API 키는 이 “One Map” 구조 전체를 해제하는 열쇠 역할을 함

취약점 세부 내용

  • 노출된 자격증명은 Flock Safety의 ArcGIS 환경 전체에 연결된 조직 단위 키였음

    • 53개의 공개 엔드포인트에서 동일한 키가 반복적으로 발견됨
    • 각 엔드포인트는 독립적으로 ArcGIS 환경에 접근 가능

  • Esri 문서에 따르면 API 키는 공개 및 비공개 콘텐츠 접근 권한을 정의하며, 배포 전 반드시 범위와 리퍼러를 제한해야 함

    • Flock은 이러한 제한을 전혀 적용하지 않음

노출된 데이터 범주

  • 감시 인프라: 경찰·커뮤니티·민간 카메라, 드론, 오디오 센서, 제3자 장비
  • 위치 데이터: 순찰차 GPS, 바디캠, 스마트워치, CAD 이벤트, 순찰 이력
  • 인물·차량 정보: 탐지 알림, 검색 이력, 오디오 경보(총성 감지 포함)
  • 수사 데이터: 핫리스트 탐지, 검색 필터, 지리적 검색 영역
  • 개인식별정보(PII) : 카메라 등록자 이름, 이메일, 전화번호, 주소, 카메라 수량
  • Flock911 데이터: 실시간 사건 위치, 통화 ID, 녹취 접근 토큰, 오디오 재생 상태
  • 드론 상태 정보: 장비 상태(녹화·충전·오프라인 등) 표시

반복된 자격증명 노출 패턴

  • 동일한 기본 API 키 외에도 인증 없이 ArcGIS 토큰을 발급받는 취약점이 추가로 발견됨
    • “Flock Safety Prod”라는 이름의 토큰이 실제 카메라 네트워크 데이터에 접근 가능
    • 2025년 11월 13일 최초 제보 후 55일 이상 미패치 상태 유지
속성 Default API Key Flock Safety Prod
접근 항목 50개 비공개 아이템 없음
카메라 네트워크 접근 가능 가능
출처 개발용 JS 번들 인증 없는 토큰 발급
상태 수정 완료 (2025년 6월) 미패치 (55일 이상)
  • 개발 환경이 운영 환경보다 더 넓은 접근 권한을 가지고 있었으며, 외부 접근이 가능했음

국가 안보 및 개인정보 위험

  • 전국 규모의 위치 데이터는 정치인·군 관계자·정보요원 등의 이동 패턴을 노출할 수 있음
    • 단순한 위치 공백만으로도 특수작전 개시 여부를 추정할 수 있음
  • 외국 정보기관이 이러한 데이터를 악용할 경우 통신 감청 없이도 작전 정보를 추론할 수 있음
  • 국내적으로는 사생활 침해, 협박, 영향력 행사에 악용될 위험 존재

실제 오남용 사례

  • 조지아주 브라셀턴(2025) : 경찰서장이 Flock 카메라를 이용해 개인을 스토킹한 혐의로 체포
  • 캔자스주 세지윅(2023–2024) : 경찰서장이 전 연인을 228회 추적, 허위 수사 사유 입력
  • 플로리다주 오렌지시티(2024–2025) : 경찰관이 전 연인을 추적, 불법 접근 및 스토킹 혐의로 체포

이 사례들은 감시 시스템이 개인적 목적으로 악용될 수 있음을 보여줌

Flock의 보안 및 컴플라이언스 주장 검증

  • Flock CEO는 “Flock은 해킹된 적이 없다”고 주장했으나, 이는 취약점이 제보로 발견되어 악용되지 않았기 때문
  • Flock은 CJIS, SOC 2/3, ISO 27001 등 준수를 주장했지만, 실제로는 기본 API 키가 53개 공개 자산에 포함된 상태였음
  • 이는 단순한 절차적 실패가 아니라 구조적 보안 결함으로 평가됨

권고 사항

  • 시민: 지방정부의 Flock 계약 및 로그 공개 요청
  • 언론인: 기술적 증거를 기반으로 추가 조사 수행
  • 법집행기관: 공급업체의 침투 테스트 결과 및 데이터 접근 범위 확인
  • 정책입안자: 독립 보안 감사 의무화 및 FTC 조사 지원

결론

  • API 키는 교체되었지만, 국가 감시 인프라의 핵심 접근 자격증명이 53회 노출된 사실은 심각한 보안 경고
  • 단 한 명의 연구자가 이 규모의 접근을 얻을 수 있었다면, 적대적 행위자는 훨씬 더 많은 정보를 수집할 수 있었음
  • Flock Safety는 단순한 키 유출이 아니라 미국 감시 시스템의 작동 중심부를 노출시킨 것으로 평가됨
GN⁺ 17시간전  [-]
Hacker News 의견들

  • Flock을 좋아하지는 않지만, 기사에서 주장하는 내용에는 의심스러움이 있음
    대부분의 스크린샷이 실제 API 응답이 아니라 클라이언트 측 JavaScript 코드로 보임
    버그 바운티 커뮤니티에서는 Google Maps API 키 유출이 흔한 오탐(false positive) 사례로, 단순히 결제용일 뿐 데이터 접근 권한은 없음
    ArcGIS도 다르다는 증거는 기사에서 제시되지 않음

    • 지도 보안은 사실상 불가능함
      정부나 엔지니어링 분야에서 지도를 널리 공유해야 하고, 조금만 찾아보면 유료 레이어에도 접근할 수 있는 방법을 쉽게 찾을 수 있음
      프로젝트가 끝나도 키를 폐기하지 않는 이유는 기존 링크가 모두 깨져 연구나 계획 수립에 지장을 주기 때문임
      대학생들도 학교 협약을 통해 다양한 지도 데이터를 접할 수 있고, 결국 그 데이터는 사실상 공개 상태가 됨
      21세기에는 프라이버시 유지가 거의 불가능해지고 있음

  • Flock의 문제는 보안 수준이 아니라, 그들의 존재 자체에 있음
    누군가의 위치를 지속적으로 추적하는 것은 합리적인 감시가 아니라 불합리한 수색에 해당함

    • 누군가가 하루 24시간 나를 따라다니며 사진과 이동 경로를 기록한다면 그건 명백한 스토킹
      그런데 Flock의 행위는 본질적으로 다르지 않음, 단지 덜 눈에 띌 뿐임
    • 지난 수십 년간의 사례를 보면, 결국 헌법 차원의 프라이버시 권리가 명시되어야 한다는 생각이 듦

  • 공공 카메라 피드는 공공의 자산이므로 공개되어야 함

    • 공공 서비스를 표방하는 기관이 운영하는 카메라라면 특히 그렇다고 생각함
      다만, 이런 공개가 결국 감시 국가를 크라우드소싱하는 결과가 되지 않을까 하는 우려도 있음
    • 이런 시스템은 스토킹 앱을 더 쉽게 만드는 기반이 되기도 함

  • 상식적인 세상이라면 이런 일은 회사가 파산하고 경영진이 구속되는 결과로 이어졌을 것임

  • 번호판 인식기를 혼란시키는 적대적 기술 실험 영상을 공유함
    단, 모든 지역에서 합법은 아니므로 법을 확인해야 함
    YouTube 링크

  • 혹시 자신의 도시에서 Flock 카메라를 철거시킨 사례가 있는지 궁금함
    우리 지역은 1년 반 전쯤 설치되었고, 인근 도시들도 거의 동시에 도입했음

    • 나는 오리건주 Eugene과 Springfield에서 Flock 계약을 성공적으로 취소시킨 커뮤니티 조직자 중 한 명임
      현재는 포틀랜드 인근 도시들과 주 의회 작업 그룹과 협력해 관련 법안을 추진 중임
      Flock이 경찰 부서를 조종하는 방식은 놀라울 정도임
      예를 들어 Lexipol이라는 회사는 경찰 정책 문서를 판매하면서 동시에 Police1이라는 플랫폼을 운영함
      Police1은 경찰이 Flock 구독을 위한 보조금을 찾도록 돕고, Flock은 거기에 적극적으로 등장함
      결국 경찰은 Lexipol에서 정책을 사고, 그 정책은 Flock에 매우 우호적
      Flock은 경찰과 시 관계자들에게 동일한 홍보 문구를 반복적으로 주입함
      YCombinator 출신의 Flock Safety는 제품과 사업에 대해 매우 오해를 불러일으키는 주장을 하고 있음
    • 워싱턴주 Redmond에서도 Flock 비활성화 성공 사례가 있었음
      관련 기사
    • 아리조나 Sedona, 오리건 Bend, 텍사스 Hays County, Lockhart 등에서도 계약 해지 또는 거부 사례가 있음
      Sedona 사례, Bend 기사, Hays County 기사, Lockhart 기사
      우리 도시에서도 캠페인을 진행 중이며, Flock의 이름이 알려질수록 여론이 바뀌고 있음
      시의회 회의에 직접 참여하고 대화하는 것이 중요함
    • 아리조나 Flagstaff에서도 Flock 계약이 취소됨
      기사 링크
    • 오리건과 워싱턴의 여러 도시가 Flock 계약을 갱신하지 않기로 결정함
      관련 기사

  • 단순한 무능함의 결과로 보임
    ShotSpotter 도입 논란 때도 시의 CIO와 감사관이 배제되었고, 기술적 검증을 위해 의원들을 일일이 설득해야 했음
    이런 일이 반복되지 않기를 바람

    • 하지만 이건 무능이 아니라 무관심의 문제임
      고치려는 의지가 있었다면 이미 해결했을 것임

  • 수백만 명이 사용하는 공공기관에서 민감 데이터가 노출된 키를 발견해 신고한 적이 있음
    이런 취약점이 몇 달, 심지어 몇 년간 방치되는 이유를 이제 이해함
    번아웃과 무지, 그리고 문제를 인정하는 것보다 숨기는 게 낫다고 여기는 문화가 원인임

  • 영국에는 CCTV를 철거하는 ‘Blade Runners’가 있는데, 미국에서는 왜 이런 적극적인 대응이 없는지 궁금함

    • 미국의 반감시 세력은 힘이 약하고, 오히려 공격적인 쪽이 감시 체제를 구축하려는 쪽임
    • 내 도시에서는 일부 Flock 카메라가 태양광 패널이나 렌즈 파손으로 비활성화되었지만, 계약상 수리비는 시가 부담함
    • 법적 처벌 위험이 크고, 변호사 비용이 비싸서 행동에 나서기 어려움
      게다가 폭력적인 경찰과 마주칠 위험도 있음
    • Flock 홈페이지에 가면 드론 기능에 대한 설명도 볼 수 있음
    • 우리는 점점 새로운 형태의 공포 정치(gestapo) 에 시달리고 있음
      스스로를 ‘자유의 수호자’라 부르지만 실제로는 거의 저항하지 못하고 있음
답변달기