본문으로 건너뛰기
피드

중국 지도 서비스에 청와대·국정원·군 시설 노출, 원인은 오픈 지도 데이터

security 약 7분
vote
0
댓글
북마크

중국 지도 서비스 고덕지도, 백도지도, 따종디엔핑 등에 청와대, 국방부, 국정원, 대통령 관저, 군 기지 등이 노출된 것으로 확인됐다. 정부는 오픈스트리트맵 같은 공개 지도 데이터가 원인이라고 보고 있지만, 수정해도 다시 공개되는 구조라 대응이 쉽지 않은 상황이다.

  • 1

    중국 주요 지도 서비스에서 한국 국가보안시설과 군사시설 위치, 내부 도로, 일부 건물 배치가 노출됨

  • 2

    알리바바 고덕지도는 하루 사용자 1억명 규모이고 한국 방문 중국인 관광객 90%가 이용하는 것으로 알려짐

  • 3

    중국 지도 서비스가 오픈스트리트맵 데이터를 활용하면서 국내 보안시설 정보가 반영된 것으로 정부가 설명함

  • 4

    OSM은 누구나 편집할 수 있어 누가 시설 정보를 넣었는지 추적이 어렵고, 가림 처리도 원칙 충돌로 쉽지 않음

  • 5

    개정 국가공간정보기본법은 2026년 12월 3일부터 보안 처리 의무와 시정 명령, 처벌 조항을 시행할 예정임

중국 지도 서비스에 한국 보안시설이 그대로 보임

  • 중국 기업이 운영하는 여러 지도 서비스에 한국 주요 보안시설이 노출된 것으로 확인됨

    • 청와대, 국방부, 국가정보원, 대통령 관저, 군부대, 주한미군기지 등이 포함됨
    • 국내 지도 서비스에서는 보통 가림 처리되는 시설들이라 보안 이슈가 큼
    • 청와대는 관련 사실을 인지하고 경위 파악에 들어갔다고 밝힘
  • 알리바바의 고덕지도에서는 청와대 내부 정보가 꽤 자세히 드러난 것으로 보도됨

    • 본관, 정원, 여민 1·2·3관, 헬기장 명칭이 표시됨
    • 건물 사이 내부 도로와 3D 기능을 통한 지형·건물 형태도 확인 가능하다고 함
    • 고덕지도는 하루 사용자가 1억명 규모인 중국 1위 지도 플랫폼이고, 한국을 찾는 중국인 관광객 90%가 이용하는 것으로 알려져 있음
  • 다른 시설도 예외가 아니었음

    • 국방부는 본부와 조사본부, 각 건물 위치, 내부 도로가 표시됨
    • 주소 자체가 공개되지 않는 국정원은 퇴직자 친목 단체 이름인 양지회로 검색하면 건물 배치와 도로를 볼 수 있다고 함
    • 대통령이 거주 중인 한남동 관저도 진입로와 건물이 공개된 상태로 보도됨
    • 논산 육군훈련소, 제주 해군기지, 공군기지, 해병 연평부대, 캠프 험프리스 같은 주한미군기지도 노출된 것으로 파악됨

⚠️주의

> 국내 서비스에서 가림 처리되는 국가보안시설이 해외 지도 서비스에서는 공개될 수 있다는 게 핵심 위험임. 위치 데이터는 한 번 퍼지면 회수와 정정이 진짜 어렵다.

원인으로 지목된 건 오픈스트리트맵

  • 정부 설명에 따르면 배경에는 오픈스트리트맵(OSM)이 있음

    • OSM은 누구나 참여해서 만들고 수정할 수 있는 오픈 지도 데이터 프로젝트임
    • 중국 기업들이 이 데이터를 바탕으로 지도를 제작하면서 한국 보안시설 정보가 반영된 것으로 설명됨
    • 문제는 누가, 어떻게, 어떤 근거로 보안시설의 내부 지도와 건물 형태를 넣었는지 파악하기 어렵다는 점임
  • OSM의 개방성이 장점이면서 동시에 대응 난도를 올림

    • 특정되지 않은 다수가 시설 정보를 추가할 수 있음
    • 편집자가 개인인지 다수인지, 국적이 어디인지, 접속 국가가 어디인지도 정부가 쉽게 알기 어렵다고 함
    • 청와대는 2022년 개방된 적이 있지만, 국정원이나 군 시설의 내부 구조가 공식적으로 공개된 전례는 없다는 점에서 의문이 남음
  • 중국 지도 서비스는 고덕지도만의 문제가 아님

    • 바이두의 백도지도에서도 청와대, 대통령 관저, 국방부, 국정원을 찾아볼 수 있다고 보도됨
    • 중국 생활정보 플랫폼 따종디엔핑도 청와대를 포함한 보안 구역을 노출하고 있는 것으로 언급됨
    • 지도 공개 범위와 보안시설에 대한 인식 차이 때문에 중국 기업과의 수정 논의도 쉽지 않을 것으로 보임

지워도 다시 나타나는 문제가 더 골치 아픔

  • 국내 법상 국가보안시설이나 군사시설이 포함된 공간정보 공개는 제한됨

    • 항공·위성사진에 국가보안시설이 포함되면 공개 제한 대상으로 관리해야 함
    • 가림 처리가 안 되면 관계법에 따라 회수와 조치 대상이 됨
    • 그래서 네이버와 카카오 같은 국내 지도 서비스는 해당 지역을 가림 처리함
  • 그런데 OSM 기반 데이터는 가림 처리 자체가 단순하지 않음

    • 국내 한 기관이 OSM에서 보안시설을 하나씩 가리는 작업을 시도했지만, OSM 측이 원칙과 맞지 않는다는 이유로 해당 계정을 탈퇴시킨 사례가 있었다고 함
    • 중국 회사와 제휴한 국내 기업을 통해 지도 수정에 성공한 경우도 있었지만, 시간이 지나 다시 보안시설이 공개되는 현상도 발생한 것으로 알려짐
    • 결국 한 번 고쳐도 원천 데이터나 다른 편집 경로에서 다시 살아나는 구조가 문제임
  • 정부는 개정 법령 시행 이후 보안 수준이 나아질 거라고 보고 있음

    • 지난해 개정된 국가공간정보기본법은 2026년 12월 3일부터 시행 예정임
    • 보안 처리를 의무적으로 해야 하는 주체를 규정하고, 시정 명령도 내릴 수 있게 됨
    • 명령을 따르지 않으면 처벌하는 조항도 새로 들어가 실효성이 있을 거라는 게 정부 설명임

기술 맥락

  • 이 사건의 기술적 핵심은 지도 데이터가 한 회사 데이터베이스 안에만 머물지 않는다는 점이에요. 오픈스트리트맵처럼 공개 편집 가능한 원천 데이터가 여러 지도 서비스로 흘러가면, 한 곳에서 지워도 다른 경로로 다시 반영될 수 있거든요.

  • OSM의 장점은 누구나 빠르게 지역 정보를 갱신할 수 있다는 거예요. 그런데 국가보안시설처럼 공개 여부가 법과 안보 판단에 걸린 정보가 들어가면, 개방형 편집 원칙과 삭제 요구가 정면으로 부딪혀요.

  • 국내 지도 서비스는 법적 의무와 관할권 안에서 가림 처리를 할 수 있지만, 해외 서비스와 공개 데이터 프로젝트는 얘기가 복잡해져요. 데이터 출처, 편집자, 서비스 사업자, 국내 제휴사가 모두 다르면 책임과 수정 권한도 쪼개지기 때문이에요.

  • 개발자 입장에서는 오픈 데이터를 가져다 쓰는 게 공짜 소스 연결로 끝나지 않는다는 교훈이 있어요. 특히 위치 데이터는 편의성보다 공개 범위, 재배포 경로, 삭제 요청 처리 방식을 먼저 설계해야 문제가 커지지 않아요.

이건 단순 지도 서비스 논란이라기보다 공개 데이터, 해외 플랫폼, 국가 보안 규제가 충돌하는 사례다. 개발자 입장에서도 오픈 데이터와 사용자 기여 모델을 쓸 때 ‘공개 가능한 정보’의 경계가 얼마나 복잡해지는지 보여주는 사건임.

댓글

댓글

댓글을 불러오는 중...

security

엘에이 경찰, 사생활 침해 논란 끝에 플록 번호판 감시 계약 종료

엘에이 경찰이 번호판 인식 카메라 업체 플록 세이프티와의 3년 계약을 연장하지 않기로 했어. 시민권, 프라이버시, 데이터 보관과 공유 문제를 해결하지 못했다는 게 핵심 이유야. 플록은 미국 전역에 최소 8만 대 카메라망을 깔아 경찰과 연방기관이 차량을 추적할 수 있게 해왔고, 오탐·보안 사고·이민 단속 악용 의혹까지 겹치며 압박이 커졌어.

security

크로미움 148부터 Math.tanh 한 번으로 운영체제 지문이 새는 문제

크로미움 148 이후 V8이 Math.tanh 계산을 자체 구현 대신 운영체제의 수학 라이브러리에 맡기면서, 같은 입력값도 리눅스·맥·윈도우에서 마지막 비트가 달라지는 지문 신호가 생겼다. 이 차이는 User-Agent로 맥이라고 주장하면서 리눅스 수학 결과를 내는 식의 위장을 바로 들키게 만든다. CSS 삼각함수와 웹 오디오까지 보면 브라우저 수학 경로가 꽤 복잡하게 갈라지고, 제대로 흉내 내려면 실제 운영체제 라이브러리의 비트 단위 동작까지 맞춰야 한다.

security

출입통제도 클라우드 구독제로 간다…제로트러스트·AI 분석이 승부처

기업 출입보안이 사업장별 서버를 두는 방식에서 클라우드 기반 서비스형 출입통제(ACaaS)로 옮겨가고 있다. 시장은 2026년 17억8000만 달러에서 2030년 31억9000만 달러로 커질 전망이고, 제로트러스트·모바일 인증·AI 출입 분석·스마트빌딩 통합이 핵심 경쟁 포인트로 꼽힌다.

security

AWS·구글 클라우드, 양자컴퓨터 대비해 암호 체계 갈아엎는 중

AWS와 구글 클라우드가 양자컴퓨터 시대를 대비해 기존 공개키 암호와 양자내성암호를 함께 쓰는 하이브리드 전환을 시작했다. 핵심 배경은 지금 훔친 암호문을 나중에 양자컴퓨터로 푸는 ‘선수집·후해독’ 공격이고, 국내도 통신·금융·국방 등 5개 분야에 45억원을 투입해 실증에 들어간다.

security

보안 점검 맡긴 AI 에이전트가 악성코드를 직접 실행할 수 있다는 경고

AI 보안 에이전트가 저장소를 검사하다가 README 같은 문서에 숨은 프롬프트 인젝션에 속아 악성 바이너리를 실행할 수 있다는 연구가 나왔다. 클로드 코드와 코덱스의 자동 모드처럼 승인 없이 명령을 수행하는 구성에서 문제가 재현됐고, 여러 모델과 공급업체를 가로질러 같은 패턴이 통했다는 점이 핵심이다.