본문으로 건너뛰기
J
피드

중국 지도 서비스에 청와대·국정원·군 시설 노출, 원인은 오픈 지도 데이터

security 약 7분
tags
#openstreetmap#maps#geodata#privacy#security
vote
0
댓글
북마크

중국 지도 서비스 고덕지도, 백도지도, 따종디엔핑 등에 청와대, 국방부, 국정원, 대통령 관저, 군 기지 등이 노출된 것으로 확인됐다. 정부는 오픈스트리트맵 같은 공개 지도 데이터가 원인이라고 보고 있지만, 수정해도 다시 공개되는 구조라 대응이 쉽지 않은 상황이다.

  • 1

    중국 주요 지도 서비스에서 한국 국가보안시설과 군사시설 위치, 내부 도로, 일부 건물 배치가 노출됨

  • 2

    알리바바 고덕지도는 하루 사용자 1억명 규모이고 한국 방문 중국인 관광객 90%가 이용하는 것으로 알려짐

  • 3

    중국 지도 서비스가 오픈스트리트맵 데이터를 활용하면서 국내 보안시설 정보가 반영된 것으로 정부가 설명함

  • 4

    OSM은 누구나 편집할 수 있어 누가 시설 정보를 넣었는지 추적이 어렵고, 가림 처리도 원칙 충돌로 쉽지 않음

  • 5

    개정 국가공간정보기본법은 2026년 12월 3일부터 보안 처리 의무와 시정 명령, 처벌 조항을 시행할 예정임

중국 지도 서비스에 한국 보안시설이 그대로 보임

  • 중국 기업이 운영하는 여러 지도 서비스에 한국 주요 보안시설이 노출된 것으로 확인됨

    • 청와대, 국방부, 국가정보원, 대통령 관저, 군부대, 주한미군기지 등이 포함됨
    • 국내 지도 서비스에서는 보통 가림 처리되는 시설들이라 보안 이슈가 큼
    • 청와대는 관련 사실을 인지하고 경위 파악에 들어갔다고 밝힘

  • 알리바바의 고덕지도에서는 청와대 내부 정보가 꽤 자세히 드러난 것으로 보도됨

    • 본관, 정원, 여민 1·2·3관, 헬기장 명칭이 표시됨
    • 건물 사이 내부 도로와 3D 기능을 통한 지형·건물 형태도 확인 가능하다고 함
    • 고덕지도는 하루 사용자가 1억명 규모인 중국 1위 지도 플랫폼이고, 한국을 찾는 중국인 관광객 90%가 이용하는 것으로 알려져 있음

  • 다른 시설도 예외가 아니었음

    • 국방부는 본부와 조사본부, 각 건물 위치, 내부 도로가 표시됨
    • 주소 자체가 공개되지 않는 국정원은 퇴직자 친목 단체 이름인 양지회로 검색하면 건물 배치와 도로를 볼 수 있다고 함
    • 대통령이 거주 중인 한남동 관저도 진입로와 건물이 공개된 상태로 보도됨
    • 논산 육군훈련소, 제주 해군기지, 공군기지, 해병 연평부대, 캠프 험프리스 같은 주한미군기지도 노출된 것으로 파악됨

⚠️주의

> 국내 서비스에서 가림 처리되는 국가보안시설이 해외 지도 서비스에서는 공개될 수 있다는 게 핵심 위험임. 위치 데이터는 한 번 퍼지면 회수와 정정이 진짜 어렵다.

원인으로 지목된 건 오픈스트리트맵

  • 정부 설명에 따르면 배경에는 오픈스트리트맵(OSM)이 있음

    • OSM은 누구나 참여해서 만들고 수정할 수 있는 오픈 지도 데이터 프로젝트임
    • 중국 기업들이 이 데이터를 바탕으로 지도를 제작하면서 한국 보안시설 정보가 반영된 것으로 설명됨
    • 문제는 누가, 어떻게, 어떤 근거로 보안시설의 내부 지도와 건물 형태를 넣었는지 파악하기 어렵다는 점임

  • OSM의 개방성이 장점이면서 동시에 대응 난도를 올림

    • 특정되지 않은 다수가 시설 정보를 추가할 수 있음
    • 편집자가 개인인지 다수인지, 국적이 어디인지, 접속 국가가 어디인지도 정부가 쉽게 알기 어렵다고 함
    • 청와대는 2022년 개방된 적이 있지만, 국정원이나 군 시설의 내부 구조가 공식적으로 공개된 전례는 없다는 점에서 의문이 남음

  • 중국 지도 서비스는 고덕지도만의 문제가 아님

    • 바이두의 백도지도에서도 청와대, 대통령 관저, 국방부, 국정원을 찾아볼 수 있다고 보도됨
    • 중국 생활정보 플랫폼 따종디엔핑도 청와대를 포함한 보안 구역을 노출하고 있는 것으로 언급됨
    • 지도 공개 범위와 보안시설에 대한 인식 차이 때문에 중국 기업과의 수정 논의도 쉽지 않을 것으로 보임

지워도 다시 나타나는 문제가 더 골치 아픔

  • 국내 법상 국가보안시설이나 군사시설이 포함된 공간정보 공개는 제한됨

    • 항공·위성사진에 국가보안시설이 포함되면 공개 제한 대상으로 관리해야 함
    • 가림 처리가 안 되면 관계법에 따라 회수와 조치 대상이 됨
    • 그래서 네이버와 카카오 같은 국내 지도 서비스는 해당 지역을 가림 처리함

  • 그런데 OSM 기반 데이터는 가림 처리 자체가 단순하지 않음

    • 국내 한 기관이 OSM에서 보안시설을 하나씩 가리는 작업을 시도했지만, OSM 측이 원칙과 맞지 않는다는 이유로 해당 계정을 탈퇴시킨 사례가 있었다고 함
    • 중국 회사와 제휴한 국내 기업을 통해 지도 수정에 성공한 경우도 있었지만, 시간이 지나 다시 보안시설이 공개되는 현상도 발생한 것으로 알려짐
    • 결국 한 번 고쳐도 원천 데이터나 다른 편집 경로에서 다시 살아나는 구조가 문제임

  • 정부는 개정 법령 시행 이후 보안 수준이 나아질 거라고 보고 있음

    • 지난해 개정된 국가공간정보기본법은 2026년 12월 3일부터 시행 예정임
    • 보안 처리를 의무적으로 해야 하는 주체를 규정하고, 시정 명령도 내릴 수 있게 됨
    • 명령을 따르지 않으면 처벌하는 조항도 새로 들어가 실효성이 있을 거라는 게 정부 설명임

기술 맥락

  • 이 사건의 기술적 핵심은 지도 데이터가 한 회사 데이터베이스 안에만 머물지 않는다는 점이에요. 오픈스트리트맵처럼 공개 편집 가능한 원천 데이터가 여러 지도 서비스로 흘러가면, 한 곳에서 지워도 다른 경로로 다시 반영될 수 있거든요.

  • OSM의 장점은 누구나 빠르게 지역 정보를 갱신할 수 있다는 거예요. 그런데 국가보안시설처럼 공개 여부가 법과 안보 판단에 걸린 정보가 들어가면, 개방형 편집 원칙과 삭제 요구가 정면으로 부딪혀요.

  • 국내 지도 서비스는 법적 의무와 관할권 안에서 가림 처리를 할 수 있지만, 해외 서비스와 공개 데이터 프로젝트는 얘기가 복잡해져요. 데이터 출처, 편집자, 서비스 사업자, 국내 제휴사가 모두 다르면 책임과 수정 권한도 쪼개지기 때문이에요.

  • 개발자 입장에서는 오픈 데이터를 가져다 쓰는 게 공짜 소스 연결로 끝나지 않는다는 교훈이 있어요. 특히 위치 데이터는 편의성보다 공개 범위, 재배포 경로, 삭제 요청 처리 방식을 먼저 설계해야 문제가 커지지 않아요.

이건 단순 지도 서비스 논란이라기보다 공개 데이터, 해외 플랫폼, 국가 보안 규제가 충돌하는 사례다. 개발자 입장에서도 오픈 데이터와 사용자 기여 모델을 쓸 때 ‘공개 가능한 정보’의 경계가 얼마나 복잡해지는지 보여주는 사건임.

prev

이전 기사 (P)

댓글

댓글

댓글을 불러오는 중...

관련 기사

security

한양대 에리카와 네이버클라우드, 클라우드·보안·AI 인재 키우는 산학협력 체결

한양대 에리카가 네이버클라우드와 첨단 분야 지역인재 양성과 글로벌 산학협력을 위한 업무협약을 맺었다. 협력 범위는 클라우드, 사이버보안, 블록체인, 개인정보보호, 인공지능(AI), 디지털 전환(DX) 교육·연구 기반 구축까지 포함된다.

security

악성 npm 패키지가 AI 개발도구의 지침 파일과 MCP까지 노리기 시작함

이스트시큐리티가 웹과 탈중앙화금융 개발자를 겨냥한 악성 npm 패키지 캠페인을 포착했어. 공격자는 유명 웹3 도구를 사칭하는 데서 그치지 않고, AI 에이전트가 읽는 프로젝트 지침 파일과 MCP 기반 외부 도구 호출까지 공격 경로로 삼으려 했어.

security

금융권, 앤트로픽 미토스가 찾은 오픈소스 취약점에 긴급 점검 들어감

앤트로픽의 AI 모델 클로드 미토스가 1000개 넘는 오픈소스에서 대량의 취약점 후보를 찾아냈고, 그중 일부가 실제 취약점으로 검증돼 공개됐어. 금융당국은 nginx, wolfSSL, FreeRDP, Ghost 같은 널리 쓰이는 구성요소를 중심으로 금융권에 긴급 자산 점검과 패치 적용을 권고했어.

security

애플이 양자 내성 암호화 검증 코드를 공개했다, 핵심은 수학적 증명

애플이 corecrypto 라이브러리의 포스트 양자 암호화 구현과 검증 코드를 GitHub에 공개했다. ML-KEM, ML-DSA 구현과 형식 검증 접근을 공개해 보안 연구자들이 직접 검토할 수 있게 했고, 이 기술은 25억 대 이상 활성 기기에서 쓰이는 암호화 기반과 연결된다.

security

라라벨 번역 패키지 태그가 통째로 바뀌었다, 개발자 비밀값 털리는 공급망 공격

전 세계 라라벨 개발자가 쓰는 Laravel-Lang 패키지가 공격을 받아 Git 태그가 악성 버전을 가리키도록 바뀌었다. 5월 22일 약 90분 동안 4개 저장소의 태그가 교체됐고, 감염된 패키지는 AWS 키, GitHub 토큰, Stripe 시크릿, 암호화폐 지갑 복구 구문, SSH 개인키 등을 노렸다.