비밀번호도 없이…우즈베키스탄 전국 차량 감시망, 인터넷에 통째로 노출

우즈베키스탄 전역의 차량과 운전자를 추적하는 국가적인 대규모 감시 시스템이 비밀번호 없이 인터넷에 그대로 노출된 사실이 확인됐다. 보안 연구원 아누락 센(Anurag Sen)이 발견하고 테크크런치(TechCrunch)가 보도한 이번 사건으로, 수백만 장의 차량 사진과 영상, 운전자 정보, 실시간 위치 등이 포함된 데이터베이스에 누구나 접근할 수 있게 됐다.

드러난 감시의 실체: 무엇이 얼마나 노출됐나

문제의 시스템은 우즈베키스탄 내무부 공공보안국이 운영하는 것으로, 중국 선전에 본사를 둔 맥스비전(Maxvision)이 개발한 '지능형 교통 관리 시스템'이다. 테크크런치 분석에 따르면, 수도 타슈켄트를 비롯해 지자흐, 카르시 등 주요 도시와 국경 지역의 교통 요충지에 설치된 최소 100여 개의 고해상도 카메라 네트워크가 포함된다. 이 카메라들은 신호 위반, 안전벨트 미착용 등 교통 법규 위반 차량을 자동으로 촬영하고 기록한다.

노출된 데이터베이스는 2024년 9월에 구축되었으며, 2025년 중반부터 본격적인 모니터링을 시작한 것으로 보인다. 유출된 데이터에는 특정 차량이 6개월간 수도 타슈켄트와 인근 도시를 오간 상세한 이동 경로까지 포함되어 있었다. 이는 차량 번호판 인식(LPR) 시스템이 단순히 교통 단속을 넘어 특정 개인을 장기간 추적하는 데 사용될 수 있음을 명확히 보여준다.

반복되는 보안 참사, '감시 사회'의 필연적 위험

이러한 대규모 감시 시스템의 보안 허점은 우즈베키스탄만의 문제가 아니다. 바로 얼마 전, 미국에서는 감시 기술 기업 플록(Flock)이 운영하는 수십 개의 번호판 인식 카메라가 인터넷에 노출되어 논란이 된 바 있다. 2019년에도 미국 전역의 100개가 넘는 번호판 인식기가 수년간 인터넷에서 검색 가능한 상태로 방치되었던 사실이 드러나기도 했다.

테크크런치는 이달 초 보안 허점을 발견한 후 우즈베키스탄 내무부와 워싱턴 및 뉴욕 주재 정부 대표, 국가 컴퓨터 비상 대응팀(UZCERT)에 수차례 연락했지만, 자동 응답 메일 외에는 어떠한 답변도 받지 못했다고 밝혔다. 기사가 발행되는 현재 시점까지도 해당 시스템은 여전히 외부에 노출된 상태다.