현대, 제네시스, 시리우스 차량의 웹 애플리케이션에서 중대한 취약점 발견돼

2022-12-05 13:42
  • 카카오톡
  • 네이버 블로그
  • url
운전자가 차량을 보다 쉽고 편리하게 제어할 수 있게 해 주는 애플리케이션에서 허술한 부분들이 발견됐다. 이 때문에 공격자가 오히려 쉽고 편리하게 남의 차량을 제어할 수 있게 된다고 한다. 다행히 대량 공격은 안 되고 표적 공격만 되긴 하는데, 위험한 건 여전히 사실이다.

[보안뉴스 문가용 기자] 먼 곳에서부터 자동차의 시동을 걸게 해 주고 잠금 장치를 해제시켜 주는 편리한 운전자 앱에서 보안 취약점들이 발견됐다. 이 취약점을 익스플로잇 하는 데 성공할 경우 인증을 통과하지 못한 공격자가 운전자와 똑같은 행위를 해 자동차를 조작할 수 있게 된다. API를 안전하게 사용하지 않아 생긴 문제였다고 한다.


[이미지 = utoimage]

보안 업체 유가랩스(Yuga Labs)는 얼마 전 “현대와 제네시스에서 만든 자동차용 앱들과 시리우스XM(SiriusXM)이라는 스마트 차량 플랫폼에서 중대한 취약점들이 발견됐다”고 발표했다. 시리우스XM의 경우 혼다, 닛산, 도요타 등과 같은 유명 차량 브랜드들도 사용하는 플랫폼이다. 이 취약점을 익스플로잇 함으로써 공격자들은 앱과 차량 사이에서 오가는 트래픽을 가로챌 수 있다고 한다. 2012년 이후에 만들어진 차량 대부분이 이 취약점에 노출되어 있는 것으로 분석됐다.

현대자동차의 앱, 원격 차량 제어 가능하게 해
현대자동차가 만든 앱들의 이름은 마이현대(MyHyundai)와 마이제네시스(MyGenesis)다. 이 앱들로부터 생성되는 API 호출들을 분석했을 때 “운전자의 이메일 주소와 여러 등록 관련 매개변수들을 맞춰보는 방식으로 자동차 소유주 인증이 진행된다”는 것을 알게 되었다고 유가랩스는 설명한다. 이를 뚫어내고 차량 소유주를 사칭하기 위해 여러 가지를 실험한 결과 공격이 가능하다는 것을 알게 됐다.

“피해자가 등록 시 제출하는 이메일 주소에 CRLF 문자 하나를 추가하면, 이 이메일을 진본과 비교하는 인증 절차를 건너뛸 수 있다는 사실을 알게 됐습니다. 거기서부터 공격을 추가적으로 진행함으로써 앱의 명령 체계를 완전히 장악하는 것도 가능하다는 걸 알 수 있었습니다. 그러면 자연스럽게 차량마저 제어할 수 있게 되는 것이죠. 시동도 걸 수 있고, 경적 소리가 나지 않게 할 수도 있으며, 에어컨디셔너도 마음대로 조정하고 트렁크도 아무 때나 열수 있게 됩니다.” 유가랩스의 설명이다.

공격을 자동화하는 것도 가능했다. “취약점을 익스플로잇 하는 데 필요한 모든 요청들을 하나의 파이선 스크립트에 넣었습니다. 그랬더니 피해자의 이메일 주소 하나만 알면 발동할 수 있는 자동 공격 도구가 완성됐습니다. 차량에서 모든 명령을 실행할 수 있었고, 실제 계정을 탈취할 수도 있었습니다.”

보안 업체 스택호크(StackHawk)의 CSO인 스콧 걸라흐(Scott Gerlach)는 “자동차 탈취 시나리오는 거의 대부분 API 보안의 미흡함과 관련이 깊다”고 강조한다. “모바일 앱의 민감한 데이터와 기능들은 전부 API에 저장됩니다. 그리고 다른 앱에서 이 API에 접근하게 되는 것이죠. API의 보강은 필수적일 수밖에 없습니다. 그나마 다행인 건 이렇게 API를 통해 차량에 접근하는 유형의 사이버 공격은 표적 공격만 가능하게 합니다. 대량 공격은 아직까지 어려운 것으로 알려져 있습니다.”

걸라흐는 오늘 날 커넥티드 차량이 소비자에게 판매되는 방식을 다음과 같이 비교하여 설명한다. “은행에서 새로운 계좌를 하나 고객을 위해 만들어줍니다. 당연히 그 계좌는 인터넷을 통해서도 접근이 가능합니다. 인터넷 뱅킹도 편리하게 할 수 있습니다. 그런데 온라인에서 그 계좌에 접속할 때 필요한 건 계좌번호 뿐이에요. 그러면 그 계좌는 어떻게 될까요? 계좌번호만 알면 누구나 손쉽게 접근해 모바일 뱅킹을 할 수 있게 되죠. 지금 스마트카들이 다 그런 식으로 판매되고, 그런 식으로 사용되고 있습니다.”

시리우스XM을 기반으로 한 공격
시리우스XM은 위성 라디오 서비스를 제공하는 것으로 유명하지만 커넥티츠 차량의 내부 부품과 기능을 제공하는 회사이기도 하다. 전 세계 1200만 대 이상의 커넥티드 차량에 시동 걸기, GPS 확인 및 추적, 날씨에 따른 원격 차량 제어와 같은 기능들을 제공한다. BMW, 혼자, 현대, 인피니티, 재규어, 랜드로버, 렉서스, 닛산, 도요타, 어큐라, 스바루 등에서 이미 시리우스XM 플랫폼을 사용하고 있다.

이번에 조사된 앱 중에는 닛산커넥트(NissanConnect)라는 것이 있다. 시리우스XM을 기반으로 한 앱이다. 유가랩스가 분석했을 때 “공격 대상의 차량 등록 번호만 알면 조작된 HTTP 요청문을 엔드포인트로 보내 호스트 정보를 얻어내는 게 가능하다”는 사실을 알아냈다고 한다. 호스트 정보란 운전자의 이름과 전화번호, 거주지 주소, 차량 상세 정보 등을 말한다. 이런 정보를 활용하면 공격자가 원격에서 차량에 명령을 실행할 수 있게 된다. 

보안 업체 태니엄(Tanium)의 보안 첩보 관리 수석인 코노 아이븐즈(Connor Ivens)는 “이번에 발견되고 공개된 차량 취약점들은 전부 임베디드 시스템이나 스마트카 제조 과정에서 유발된 것이 아니라 웹 애플리케이션 자체에 있던 것들”이라고 지적한다. “보안 연구원들은 쉽게 찾을 수 있는 차대번호(VIN)를 고객 ID로 활용했고, POST 요청들을 전송함으로써 토큰을 생성할 수 있었습니다. 여기까지 성공하면 관리자 권한을 가지고 다른 요청문을 차량에 전송할 수 있게 됩니다.”

“결국 문제는 IoT 보안이나 자동차 보안, 임베디드 시스템 보안이 아니라 애플리케이션 보안이라는 것”이라고 걸라흐도 동의한다. “자동차 제조사들이라고는 하지만 이제 스마트카를 본격화시키고 있는 만큼 웹 서비스와 애플리케이션의 보안 문제를 좀 더 진지하게 생각해야 합니다. 특히 고객 인증을 보다 철저히 하는 건 기본 중 기본인데, 이것부터가 잘 지켜지지 않는다는 건 보안을 아예 고려하지 않고 있다고 봐도 무방한 것입니다.”

자동차 산업의 또 다른 책임, 애플리케이션
유가 측은 자신들이 발견한 취약점을 현대와 시리우스 측에 전부 알렸다. 두 회사는 제 때 제보를 접수해 패치를 배포했다. 실제 공격 사례는 한 건도 발견되지 않았다. “하지만 이런 취약점들은 계속 나올 것이고, 취약점에 대한 정보와 지식이 누적되면 공격자들도 스스로 연구를 할 줄 알게 될 겁니다. 시장에 커넥티드 차량들이 더 많이 나온다는 것과, 공격자들의 차량 해킹 실력이 소리 소문 없이 발전한다는 것은 매우 안 좋은 소식이 될 수밖에 없습니다.”

보안 업체 알레그로 솔루션즈(Allegro Solutions)의 보안 컴플라이언스 책임인 카렌 월시(Karen Walsh)는 “스마트 차량 혹은 자율 주행 차량들에 대한 공격 방법들은 자꾸만 늘어나고 있는데, 사용자들에게 적정 수준의 안전이 보장되지 않고 있다”고 짚는다. “차량 회사들이 소비자 지갑만 바라보고 있다는 것이죠. 중요한 물건을 만드는 만큼 사용자들의 안전도 책임감 있게 생각해주었으면 좋겠습니다.”

3줄 요약
1. 현대와 제네시스의 운전자용 애플리케이션에서 차량 제어 취약점 나옴.
2. 시리우스XM이라는 차량 플랫폼에서 차량 내 정보 탈취 취약점 나옴.
3. 자동차 제조사는 차량 자체에만 신경 쓸 것이 아니라 웹 애플리케이션도 강화해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 유니뷰코리아

    • 인콘

    • 현대틸스
      팬틸트 / 카메라

    • 이노뎁

    • 아이브스

    • 아이디스

    • 지오멕스소프트

    • 웹게이트

    • 쿠도커뮤니케이션

    • 하이크비전

    • 한화테크윈
      CCTV 카메라 / 영상감..

    • ZKTeco
      ProFace X

    • 원우이엔지
      줌카메라

    • 가드텍

    • 비전정보통신

    • 하이앤텍

    • 아이리스아이디

    • 이화트론

    • 이앤엠솔루션

    • 테크스피어
      손혈관 / 차량하부 검색기

    • 퀀텀코리아

    • 슈프리마

    • 나우시스템

    • 시큐인포

    • 미래정보기술(주)

    • 위트콘

    • 유니뷰코리아

    • 경인씨엔에스
      CCTV / 자동복구장치

    • 동양유니텍

    • 성현시스템

    • 트루엔

    • 다후아테크놀로지코리아

    • 송암시스템

    • 디비시스

    • 엔텍디바이스코리아

    • AIS테크놀러지

    • (주)우경정보기술

    • 투윈스컴

    • 세연테크

    • 유에치디프로

    • (주)넥스트림

    • 씨게이트

    • 엔시큐어

    • 엑스퍼넷

    • 맥데이타

    • 켄틱

    • 메가존클라우드

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 엔시드

    • 케이제이테크

    • 알에프코리아

    • 사라다

    • 아이엔아이
      울타리 침입 감지 시스템

    • 탄탄코어

    • 보문테크닉스

    • 새눈

    • 태정이엔지

    • 엔에스게이트

    • 이스트컨트롤

    • 비젼인

    • 미래시그널

    • 두레옵트로닉스

    • (주)에이앤티글로벌

    • (주)일산정밀

    • 하이테라

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 디알에스

    • 코스템

    • 모스타

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 포커스에이치앤에스

    • 이후시스

    • 대산시큐리티

    • 메트로게이트
      시큐리티 게이트

    • 코디텍

    • 글로넥스

    • 티에스아이솔루션

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

PC버전

닫기