3줄 요약
1. 폭스바겐이 운영하는 전기 자동차 플랫폼에서 정보가 대량으로 노출됨.
2. 사이트 구조와 클라우드 설정 오류로 인해 민감 정보가 암호화도 되지 않은 채 드러남.
3. 그 중 정치인들과 기업 경영인, 정보기관 요원과 경찰들의 정보도 포함됨.
[보안뉴스 문가용 기자] 독일 최대의 자동차 회사인 폭스바겐의 일부 모델과 관련이 있는 대규모 정보 노출 사고가 발생했다. 80만 대가 넘는 전기자동차와 그 소유주들이 이번 사건으로 피해자가 됐다. 이 사건은 독일의 매체인 슈피겔이 단독으로 보도하며 세상에 알려졌다. 폭스바겐 차량을 소유한 사람들만이 아니라 세아트(Seat), 아우디(Audi), 스코다(Skoda) 차량들과 소유자들까지도 이 사건의 영향을 받은 것으로 알려져 있다.
[이미지 = gettyimagesbank]
어떤 정보가 어떻게 노출됐나?
사건은 사실 간단했다. 차량과 관련된 각종 정보가 저장된 아마존 클라우드 스토리지 시스템에 수개월 동안 아무런 보호 장치 없이 인터넷에 고스란히 연결되어 있었던 것이다. 운전자와 차량 소유자, 차량 관리자의 이름과 연락처가 담겨져 있었다. 80만 대 중 약 46만 대 차량의 경우, 정밀한 위치 데이터까지도 포함됐다. 진짜 문제가 되는 건 바로 이 정밀 위치 데이터였다. 위치가 계속해서 누적될 경우 운전자(혹은 차량 소유자)가 어떤 삶을 살고 있는지 추적과 유추가 가능하기 때문이다.
문제의 클라우드 시스템은 어떻게 해서 이 많은 정보를 노출시키고 있었던 것일까? 슈피겔에 의하면 해당 클라우드 스토리지의 소유자는 폭스바겐의 소프트웨어 개발 자회사인 카리아드(Cariad)였다고 한다. “카리아드가 클라우드 설정에 있어 실수를 저지른 것이죠. 작년 즈음부터 설정에 오류가 있었던 것으로 보입니다. 카리아드는 폭스바겐 그룹 내에 있는 모든 전기차들이 사용할 수 있는 플랫폼을 개발한다는 목표를 가지고 설립된 회사로, 다양한 브랜드의 차량 데이터를 보관할 수밖에 없었습니다. 다만 그 데이터를 잘못 보관하고 있었던 것이고, 이를 그들 자신조차 모르고 있었습니다.”
이번 사건이 특별히 심각한 문제가 된 건, 정치 분야에서 활동하고 있는 인물들이 이 80만 명 중에 포함되어 있었기 때문이다. 슈피겔에 의하면 나드야 바이페르트(Nadja Weippert)라는 인물과 마르쿠스 그뤼벨(Markus Grübel)이 그 중 둘이다. 바이페르트는 녹생당 당원이자 데이터 보안 문제 담당 대변인이고, 토슈테트 시의 시장이었다. 그뤼벨은 연방의회 의원 즉 국회의원이었다. 두 주요 정치인들이 매일 어떤 스케줄을 소화하고 어떤 위치에 주로 나타나는지가 확연히 노출된 것이라고 할 수 있다.
사이버 공격자들이 원하는 데이터
정치인 두 명의 개인정보가 섞인 게 다라면 이 사건은 어쩌면 그리 크게 다뤄지지 않았을 수도 있다. 하지만 아니었다. 아직 신원이 다 공개되지 않았지만 또 다른 정치인들은 물론 정부 기관 요원들과 주요 기업들의 임원들, 무엇보다 함부르크 경찰과 관련된 정보들도 대량 섞여 있었던 것으로 알려져 있다. 이들 중 자신의 정보가 차량을 통해 빠져나가고 있었다는 걸 알고 있었던 사람은 없었을 것으로 추정되고 있다. 이들은 그저 자국의 가장 큰 자동차 회사에서 만든 전기차(ID.3와 ID.4)를 구매하거나 타고다녔을 뿐이었다.
위에서 폭스바겐 외에 다른 브랜드의 자동차들도 영향을 받았다고 했는데, 폭스바겐에서 나온 ID.3와 ID.4 모델들과 관련해서는 매우 상세한 정보가 이번에 노출된 것으로 분석됐다. 차량 소유주의 개인정보와 위치 정보 외에도 시동이 언제 켜졌는지, 또 언제 어느 위치에서 몇 시 몇 분에 정확히 꺼졌는지까지도 데이터에 포함되어 있었던 것이다. 2024년에 기록된 데이터가 대부분이지만 그 전에 기록된, 오래된 데이터들도 있었다고 한다.
이런 데이터들에는 어떤 가치가 있을까? 슈피겔은 “피해자의 상세한 프로필을 만들 수 있다”고 설명한다. 중요 사회 인프라에 해당하는 시설들에 누구의 어떤 차량들이 어떤 주기로 드나드는지를 파악한다면, 공격자들로서는 이를 가지고 사회에 혼란을 야기할 수 있는 공격을 감행할 수 있다는 것이다. 거기까지 가지 않더라도, 꽤나 설득력 있는 스피어피싱 공격을 하는 것도 가능하다. 누군가 매춘 업소에 주기적으로 출입했다는 게 드러난다면, 이를 가지고 협박하는 것 역시 가능하다. 스토커 성향을 가진 이들에게 있어서 이번 정보는 커다란 가치를 가질 것이 분명하기도 하다.
그래서?
결국 자동차에서 생성되고 수집되는 데이터에 관한 규정들이 수립될 때까지는 자동차 제조사와 소비자들 간의 ‘상호 조심’이 필요하다. 제조사들은 되도록 많은 데이터를 수집하지 않아 불필요한 법정 공방을 미연에 방지해야 하고, 소비자들은 내가 타고 있는 자동차가 나와 관련된 정보를 생각보다 훨씬 많이 가져가고 있다는 것을 알고 있어야 한다. 그리고 필요하다면 제조사에 문의해 그러한 정보를 어떻게 관리할 수 있는지 알아보고, 문제를 제기할 수도 있어야 한다.
소비자 한 사람 한 사람의 개별 행동만으로 얻어낼 수 있는 결과는 그리 많지 않을 수 있다. 따라서 차량 데이터는 차량 소유주의 것이라는 걸 분명히 하는 목소리를 다 같이 낼 필요가 있다. 단체로 회사들에 문의하고, 소비자 단체 등을 통해 불만을 제기하며, 시정을 꾸준히 요구하면서 기업의 문을 두드릴 수도 있고, 어떤 차량이 어떤 데이터를 수집해 어떻게 활용하고 있는지를 널리 알려 일반 소비자들이 차량 구매시 한 번 더 고민할 수 있게끔 한다면 기업들도 움직이지 않을 수 없을 것이다. 그러려면 내가 가진 스마트카에 대한 분석과 연구부터 시작하는 게 좋다.
이번 사건의 최초 발견자와 실제 기술적 문제, 그리고 업체의 대응과 사건이 주는 커다란 의의, 독일인들의 전반적인 반응 등에 대해서는 이번 주 1월 2일에 발간되는 프리미엄 리포트의 보안뉴스 확장판 섹션에서 다뤄집니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>