속속 드러나는 자동차 모바일 앱의 해킹 취약성
속속 드러나는 자동차 모바일 앱의 해킹 취약성
  • 카가이 취재팀
  • 승인 2017.04.26 18:00
  • 조회수 1356
  • 댓글 0
이 기사를 공유합니다

지난 25일, 캐나다 보안회사 래피드7(Rapid7)는 현대자동차 블루링크의 보안 취약성을 이용해 원격으로 차량 시동을 거는 데 성공했다고 발표했다. 이 취약성을 이용, 사용자이름·비밀번호·PIN번호·GPS위치기록 등 민감한 정보의 탈취도 가능하다고 한다. 래피드7는 '지난해 12월 8일 자 업데이트 파일에 포함된 버그(bug)를 이용했다'라고 덧붙였다.

현대자동차는 '3월 초, 패치를 통해 이 문제를 해결했다'고 밝혔다. 또 이와 관련해 '도난 사고 등이 보고된 것은 없다'라고 말했다.

최근 스마트폰 해킹, 스마트키 신호 조작 등 첨단 기술을 이용한 자동차 범죄에 대한 논의가 활발하다. 2015년 피아트 크라이슬러의 리콜은 이것이 충분히 가능한 일이고 심각할 수 있다는 것을 보여줬다. 당시 미국에서 140만 대 이상 회수돼 소프트웨어 패치를 받았다. 이것은 미국의 한 보안업체가 지프 체로키의 유 커넥트 인포테인먼트 시스템을 해킹해 10마일 이상 떨어진 곳에서 차량을 제어한 이후의 일이다. 같은 해 GM은 해킹 가능성이 있다며 차량용 OnStar 통신 시스템에서 유사한 버그를 수정했다.

블루링크의 버그는 FCA 지프의 경우처럼 심각해 보이지는 않는다. 토드 비쥴리(Tod Beardsley) 래피드7 연구책임자의 설명에 의하면 ‘현대차 앱이 사용하는 와이파이 통신은 유효 거리가 짧아 이동 중인 차를 제어할 수 없다’고 한다.

러시아 보안업체 카스퍼스키(Kaspersky)는 자동차 제어 앱이 보안에 취약하다고 발표한 바 있다. 이것은 7개 자동차 제조사의 9개 원격제어 앱을 정밀 분석한 후 알아낸 결과다. 조사 대상 앱 중에 계정이름·비밀번호· PIN코드·차량식별번호(VIN) 등을 암호화하지 않고 저장한 경우까지 있었다. 이것은 스마트키 복제도 가능한 수준의 정보다. 이것을 두고 보안 업체는 '보안에 대한 기본적인 의식조차 없는 경우'라고 지적했다. 카스퍼스키는 불법 사이트에서 해당 정보가 거래되는 장면도 공개했다.

한편 중국 보안 업체 치우360(Qihoo 360)는 최근 타인의 스마트키 무선신호를 증폭하는 수법으로 차량을 훔칠 수 있음을 증명했다. 하이재킹에 사용된 도구는 무선 릴리즈 장치로, 만드는데 고작 22 달러(약 2만 5천 원)가 들었다.

보안업체는 자동차 회사가 운용하는 원격제어 소프트웨어의 취약성을 찾아내려고 혈안이다. 이들의 지속적인 해킹 시도에는 상업적 의도가 있다. 그러나 이 과정에서 중대한 문제가 드러난다는 것은 의미 있다. 카스퍼스키가 지적한 대로 보안에 대한 의식조차 없는 이들이 소비자 정보는 물론이고 생명까지 좌지우지하는 상황은 막아야 한다.

댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.