뉴스
2015년 07월 22일 08시 31분 KST | 업데이트됨 2015년 07월 22일 08시 43분 KST

자동차 무선해킹이 가능하다는 사실이 입증됐다 (동영상)

멀쩡히 달리던 자동차가 갑자기 스스로 브레이크를 밟고 핸들을 조작한다면? 고속도로를 달리고 있는데 브레이크가 작동을 멈추고 갑자기 엔진이 꺼진다면? 손을 대지도 않았는데 에어컨이 켜지고 와이퍼가 사정없이 작동하며 라디오가 최대 볼륨으로 켜진다면?

이 모든 게 누군가 내 차의 모든 걸 마음대로 조종한 결과라면?

상상만으로도 끔찍한 이 일이 실제로 가능하다는 사실이 입증됐다. 현재 시판중인 차량을 테스트한 결과다.

약 1분 길이의 이 동영상을 우선 살펴보자. (더 긴 영상은 기사 맨 밑에 있다.)

Two hackers developed a tool that can hijack a Jeep over the Internet. Watch as WIRED senior writer Andy Greenberg takes the SUV for a spin while the hackers attack it from miles away. Full story: http://wrd.cm/1GzrQVn

Posted by WIRED on Tuesday, 21 July 2015

IT 매체 와이어드는 21일(현지시간) NSA 해커 출신 찰리 밀러와 보안 전문회사 IO액티브 연구원 크리스 발라섹이라는 해커 두 명과 함께 자동차 해킹을 시연해보인 내용을 보도했다. 실험에 쓰인 자동차는 피아트크라이슬러 그룹의 브랜드 지프(Jeep) 체로키다.

관련기사 : Hackers Remotely Kill a Jeep on the Highway—With Me in It (와이어드)

해커들은 자신들이 개발한 이 해킹 프로그램으로 차량과 멀리 떨어진 집에서 자동차의 모든 걸 마음대로 조작했다. 라디오, 에어컨, 와이퍼는 물론, 엔진과 브레이크까지. GPS를 이용한 위치추적도 가능했다.

이런 식의 해킹이 가능했던 건 ‘인터넷’ 때문이었다. 실험 대상이 된 체로키에는 ‘유커넥트’라는 시스템이 탑재되어 있다. 영상과 음악은 물론, 내비게이션 등 차량의 각종 기능을 컨트롤하는 시스템이다. 이 시스템은 셀룰러 네트워크를 통해 인터넷에 연결되어 있다. 사물인터넷 시대에 맞춰 새로운 대세로 떠오르고 있다는 ‘커넥티드 카(connected car)’다.

와이어드에 따르면, 자동차의 IP 주소만 확보된다면 해커들은 어디서든 원격으로 자동차를 조종할 수 있다. 펌웨어에 해킹 코드를 심는 방식으로 자동차의 거의 모든 권한을 확보하는 것.

실제로 이들은 방 한 구석에 앉아 간단한 장비만으로도 손쉽게 -실험 대상이 아니라- 실제 ‘해킹 대상’을 발견할 수 있는 방법을 선보였다.

해커들은 2013년 후반기부터 2015년 상반기 사이에 출시된 크라이슬러 차량 중 유커넥트를 탑재한 모든 모델이 이런 해킹 공격에 노출되어 있는 것으로 보인다고 말했다.

또 비록 실제로 실험한 차량은 지프 체로키 뿐이지만, 크라이슬러 나머지 모델에도 이런 식의 공격이 통할 것이라고 밝혔다. 위험에 노출된 차량은 47만1000대 가량으로 추정된다는 것.

이 같은 내용은 다음 달 라스베이거스에서 열릴 정보보호 콘퍼런스 ‘블랙 햇’에서 발표될 예정이라고 와이어드는 전했다.

보도에 따르면 해커들은 지난 9개월여 동안 크라이슬러와 이 문제를 공유해왔으며, 이에 따라 지난 16일 미국 내에서 해당 모델을 보유한 운전자들에게는 패치 업데이트 공지가 전달됐다.

그러나 이 패치가 USB를 직접 꽂거나 공식 정비소를 통해서만 설치될 수 있다는 점 때문에 여전히 많은 수의 차량이 위험에 노출될 수 있다고 와이어드는 전했다.

거기에서 끝이 아니다. 이들은 캐딜락 에스컬레이드와 인피니티 Q50을 각각 ‘두 번째, 세 번째로 해킹에 취약한 모델’로 꼽았다. 주요 자동차 회사의 차량을 연구한 결과다.

실제로 얼마나 많은 차량이 이 같은 해킹 위험에 노출되어 있는지 알 길은 없다. 반면 자동차 업체들은 대체로 대수롭지 않다는 반응을 보여 왔다고 와이어드는 전했다. 특히 도요타의 경우 ‘원격 해킹은 불가능하다’고 주장했다는 것.

그러나 이들은 실제로 원격 해킹이 가능하다는 사실을 입증해보였다. 지난 2013년 차량에 탑승한 채 선을 연결해 자동차를 해킹할 수 있다는 사실을 선보였던 이들은 “그 때 우리 작업을 비웃었던 이들에게 ‘지금은 뭐라고 말하겠냐’고 묻고 싶다”고 말했다.

리코드에 따르면, 미국 고속도로교통안전국(NHTSA) 마크 로즈킨드 국장은 21일 이에 대한 우려를 표했다.

에드워드 마키 미국 민주당 상원 의원 등은 이와 관련해 차량의 보안 기준을 강화하도록 규제하는 내용의 법안을 제출하기로 했다고 와이어드는 전했다. 지난 2월에도 마키 의원은 원격 차량 해킹 공격의 위험성을 경고 한 바 있다.

자동차가 ‘모바일기기’로 진화하는 흐름 속에서 해킹 가능성은 그만큼 증가하고 있다. 지난해 여름, 미국 라스베이거스에서 열린 ‘블랙햇’에서도 경고의 목소리가 나왔다.

크라이슬러 ‘지프 체로키’와 닛산 ‘인피니티 Q50’이 해킹에 취약한 차량이라는 오명을 썼다. 찰리 밀러 트위터 보안 엔지니어와 크리스 밸러섹 아이오엑티브 이사는 해킹에 취약한 자동차 조사 결과를 발표했다. 찰리 밀러는 “최근 차량은 자동화에 네트워크 연결이 가속화됐으며 자동주차나, 브레이킹 등 물리적 기능까지 외부에서 조작할 수 있는 요소가 증가했다”고 설명했다. (전자신문 2014년 8월10일)

사물인터넷 시대가 열림에 따라 책상 위의 컴퓨터 외에 자동차의 신변안전도 신경 써야 하는 때가 되었다. 두 연구원은 자신들이 분석한 자동차 제조업체에 분석 결과를 보고했으나 포드와 토요타 측에서는 아직까지 이렇다 할 답변이 없는 상태다. 하지만 최근 자동차 산업에서 ISAC이 형성되는 등 정보 보안에 대한 경각심이 자라나고 있는 상태인 것으로 미루어 이들의 연구 결과가 그저 조용히 묻힐 것으로 보이지는 않는다. (보안뉴스 2014년 8월5일)

Hackers Remotely Kill a Jeep on the Highway—With Me in It - WIRED

[광고] 네스프레소