누군가 내 차를 움직일 수 있다!
March 2, 2017

Photo: CC BY-SA 3.0 BP63Vincent

자동차 산업은 발전과 진화를 거듭해 '커넥티드 카(Connected Car, 차체의 제어 시스템이 무선으로 인터넷에 연결된 상태의 자동차 - 편집자주)'의 시대가 도래하는 등, 새로운 국면으로 접어들고 있다. 와이파이 핫스팟, 위치 추적과 원격 잠금·열림, 셀프 주차, 인터넷 기반의 내비게이션 등 다양한 기능이 커넥티드 카를 통해 제공되고 있다. 자동차 제조사는 물론 구글과 같은 IT 기반의 회사들도 커넥티드 카에 대한 연구를 꾸준히 지속하고 있어서, 곧 완벽한 자율주행이 가능한 커넥티드 카가 출시될 것으로 업계는 예상하고 있다.

커넥티드 카는 삶을 더욱 편리하게 하기 위해서 개발되었지만, 그 기술이 발전할수록 이용자를 위협하는 해킹 기술도 함께 발전하고 있다. 2015년 여름, 두 명의 해커, 찰리 밀러(Charlie Miller)와 크리스 발라섹(Chris Valasek)은 '지프 체로키(Jeep Cherokee)' 차량의 시스템을 해킹해 원격 조종을 할 수 있다고 발표했다. 체로키의 셀룰러 네트워크 관련 취약점을 찾아낸 그들은 원격으로 자동차의 에어컨과 와이퍼, 라디오를 조종하고, 달리는 차의 브레이크를 무력화 시킬 수 있었다. 그들의 발표 후, 체로키 제조사인 '피아트 크라이슬러'는 2014~2015년형 '지프 그랜드 체로키'를 비롯해 보안 취약점이 있는 모델, 140만대를 리콜했다.

곧, 크라이슬러는 시스템의 보안을 강화했다. 그러나 2016년 여름, 두 해커는 강화된 보안 시스템을 우회해 자동차의 컴퓨터 시스템을 장악하는 해킹 방법을 발표했다. 이를 통해 두 해커는 차의 핸들을 조종할 수 있었다. 해커들은 강화된 보안 시스템에 가로막혀 2015년처럼 원격으로 시스템을 장악하지는 못했지만, 새로운 보안 시스템을 우회하는 방법을 찾아낸 것이다. 이는 결국 원격 해킹 방법도 찾아낼 수 있다는 뜻이기도 하다.

지프 체로키만 해킹 위협을 갖고 있는 것은 아니다. 2016년 9월에는 중국의 '킨 시큐리티 랩(Keen Security Lab)'의 연구원들이 테슬라 '모델 S'를 해킹한 사건도 있었다. 이들은 테슬라 차량을 악성 와이파이 핫스팟에 연결시킨 후, 제어 시스템에 접근해 원격으로 브레이크, 잠금 장치, 내비게이션 등을 조종할 수 있었다. 이 해킹 결과를 발표한 후,  테슬라는 빠르게 소프트웨어 업데이트를 제공해 자동차의 보안 취약점을 제거했다.

여기서 흥미로운 점은, 지프 체로키와 테슬라의 사례가 공통적으로 '캔 통신(CAN, 1985년 독일 보쉬가 개발해 업계 표준이 된 차량용 네트워크 프로토콜 - 편집자주)'의 취약점을 이용해 해킹에 성공했다는 것이다. 그간 출시된 차량들은 자동차 자체의 기술은 발전되었지만, 제어 시스템은 1980년대부터 이용해온 캔 통신 방식을 많이 사용한다. 이 통신 방식은 암호화가 되지 않은 방식이어서 분석과 제어, 혹은 조작이 매우 간단하다. 게다가 최근에는 자동차 해킹을 위한 도구들이 오픈소스 형태로 널리 공유되고 있어서, 손쉽게 해킹 공격 연구 및 테스트가 가능한 것이 현실이다.

커넥티드 카의 해킹은 위 지프 체로키나 테슬라의 사례처럼 자동차의 시스템을 직접 공격하지 않아도 가능하다. 일례를 들면, 최근에 출시된 많은 차량들은 열쇠 없이 모바일로도 차체 제어를 할 수 있다. 따라서, 모바일 어플 자체를 해킹하거나 우회하면 차량에 무단으로 접근할 수 있게 된다. 실제로 러시아 보안업체인 '카스퍼스키(Kaspersky)'가 이번 달 발표한 자료에 따르면, 9개의 커넥티드 카 애플리케이션 가운데 7개를 해킹할 수 있었다. 애플리케이션이 깔린 스마트폰을 루팅(rooting, 최고 권한을 얻는 행위)하거나 앱에 넣은 악성코드를 통해 자동차를 제어하는 권한을 얻었던 것이다. 해커들은 이를 통해 자동차의 위치를 알아내고, 문도 열 수 있으며 애플리케이션 사용자들의 로그인 정보에도 접근할 수 있다. 따라서, 커넥티드 카 해킹 공격은 탑승자의 신체적 안전을 위협하는 일이고, 개인 정보를 위협하는 사례로도 확장될 수 있다.

이러한 해킹 위험을 방지하기 위해서, 커넥티드 카 제조사들은 보안에 대한 중요성을 제조 과정에서 미리 강조해야만 한다. 이를 위한 노력의 일환으로 제조사들은 '오토사(AUTOSAR, 개방형 자동차 표준 소프트웨어 구조)'와 같은 연합을 통해 보안 모듈을 제작하고 업그레이드하며 차량 시스템의 보안을 강화하는 데 노력을 기울이고 있다. 카스퍼스키는 조사한 커넥티드 카 차체보다는 애플리케이션의 보안이 잘 되어 있지 않아서 해킹이 쉽게 이뤄졌다고 덧붙였다. 즉, 애플리케이션을 개발하는 과정에서 미리 보안을 적용했더라면, 앱을 통해 자동차를 해킹하려는 시도는 막아낼 수 있었을 것이다. 이러한 보안 취약점 문제를 사전에 예방하기 위해서는 커넥티드 카 애플리케이션의 개발 과정과 자동차 제조 과정에서 미리 강력한 보안을 적용하고, 심도있는 테스트 과정을 거쳐 보안을 지속적으로 강화하는 것이 중요하다.

조 성
샌프란시스코의 모바일 보안 전문 스타트업 'SEWORKS'에서 마케팅 총괄(Head of Marketing)로 일한다. '티파니 앤 코(Tiffany & Co.)'에서 글로벌 마케팅을 담당했고, 뉴욕 대학교(New York University)에서 국제 정치와 비즈니스(International Politics and Business)로 석사 학위를 받았다. 글로벌 비즈니스에 관심과 열정을 갖고 있다. 'SEWORKS'에서 일하며 느낀 보안의 중요성을 널리 알려, 전 세계 앱 개발자들이 해킹 공격으로부터 안전해지기를 바라고 있다.