화이트해커, 해킹 툴 특수 제작해 잠금 장치 해제, 원격 시동
온스타라는 앱만 고치면 되는 문제라 리콜 사태 발발하지 않을 듯

[보안뉴스 문가용] 현대의 최첨단 자동차들이 얼마나 불안정한지 보여주는 또 다른 사례가 나타났다. 이번엔 GM사의 차량으로 온스타 리모트링크(OnStar RemoteLink)라는 앱을 통해 원격에서 차량의 위치를 파악하고 잠금장치를 해제하고 원격에서 시동도 걸 수 있다는 게 시연된 것이다.
 


지난 목요일 처음 유튜브를 통해 공개된 영상 속에서 화이트 해커인 산제이 캄카르(Sanjay Kamkar)는 오운스타(OwnStar : 문제가 된 앱인 온스타를 조롱하기 위해 만든 이름인 듯)를 스스로 개발해 온스타 모바일 앱과 온스타 클라우드 서비스 사이의 통신을 가로채는 데에 성공한다. 그리고 특수제작한 패킷을 사용자의 모바일 기기로 보내 추가적인 정보를 훔쳐 차량의 위치, 모델, 제조사 등을 알아낸다.

그런 후 온스타 앱의 원격 잠금 해제 기능과 원격 시동 걸기 기능을 사용해 차량을 사실상 온전히 장악하는 게 가능해진다. GM 차량 소유주 가운데 오운스타 가까운 곳에서 온스타를 발동시키는 사람이라면 누구나 차량을 잃어버릴 수 있게 된다는 게 해커의 설명이다. 해결 방법은? GM에서 패치를 발행하기 전에 온스타의 사용을 자제하는 것이다.

“다행히도 모바일 소프트웨어만의 문제입니다. 차량을 뜯어서 다시 고쳐야 할 필요는 없다는 거죠. 그러니 GM과 온스타 개발 업체가 문제를 해결하기 크게 부담스럽지 않을 겁니다. 실제로 저의 제보를 잘 받아들였고, 이미 패치 작업에 착수한 것으로 알고 있습니다.”

알아본 바, GM 측에서는 제보 받은 내용에 대한 검토를 다 마친 상태이며 패치를 만들기 위한 준비를 다 갖춘 상태라고 답했다. 일단 사용자 측에서 할 일은 없으며 회사 내에서 해결하기 위해 여러 가지 실험을 거치고 있는 단계라고 한다. “현재 실험을 통해 애플 iOS 버전에서 더 심각한 취약점이 있음을 알게 되었습니다. 그래서 그 버전부터 손봤고 현재는 앱스토어를 통해 업데이트가 가능합니다.”

그밖에 안드로이드, 윈도우폰, 블랙베리 사용자들은 특별히 업데이트하거나 할 필요가 없다. 온스타 개발사 측에서 알아서 업데이트가 되도록 조치를 취할 예정이라고 한다. 해당 유튜브 동영상은 여기 링크를 클릭해서 볼 수 있으며, 보다 자세한 내용은 곧 열리는 데프콘을 통해 공개할 예정이라고 한다.
Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>