전기 자동차에 대한 관심이 높아짐에 따라, 전기 자동차 운영에 반드시 필요한 인프라인 충전소에 대한 관심도 올라가고 있다. 충전소나 전기 차량이나 인터넷으로 연결되어 있다는 특징 때문에 매우 조심스럽게 접근해야 하는데, 실상은 그렇지가 못하다. 이미 위험한 취약점들이 많다.
[보안뉴스 문가용 기자] 전기차의 판매량이 늘어나면서 전기차 충전 인프라가 세계 곳곳에서 확충되는 중이다. 자연스레 이 새로운 인프라에 사이버 공격자들과 보안 전문가들의 관심이 집중되고 있다. 에너지망 사이버 보안 전문 업체 사이플로우(Saiflow)의 경우 지난 2월, OCPP라는 프로토콜에서 두 개의 취약점을 찾아냈었다. 디도스 공격이나 민감 정보 탈취를 허용하는 취약점들이었다. 문제는 이것만이 아니다.
[이미지 = utoimage]
아이다호국립연구소(Idaho National Laboratory)의 경우, 전기 차량 충전 장치를 상당 수 점검한 결과 단 하나의 예외 없이 오래된 버전의 리눅스를 기반으로 하고 있다는 사실을 알아내기도 했다. 이 때문에 불필요한 서비스가 존재하고 있었으며, 대다수 서비스들이 루트 권한을 가진 채 실행되고 있어 한 번 뚫리면 꽤나 위험한 상황을 초래할 수 있다고 한다. 공공 인터넷에 연결된 서비스들도 있는데, 이 경우 중간자 공격을 허용할 수도 있게 된다.
혹자는 전기 자동차 충전소로부터 발현되는 위협들이 이론상으로만 존재하는 것이라고 주장하기도 한다. 사실이 아니다. 러시아가 우크라이나를 침략했을 당시인 약 1년 전, 핵티비스트들은 모스크바 근교에 있는 충전소들을 비활성화시키고 우크라이나 지지 메시지와 푸틴 대통령에 대한 증오 메시지를 화면에 나타내기도 했었다.
자동차 충전 장비들에 대한 우려가 증가하고 있는 곳은 최근 전기 자동차 판매량이 급증하고 있는 미국이다. 2022년 판매된 모든 차량의 5.8%가 전기 자동차로, 2021년의 3.2%보다 크게 증가한 수치다. 미국 전역에 있는 2레벨 DC 급속 충전소는 현재 5만 1천 개소가 되지 않는다. 동시에 충전할 수 있는 차량이 전국 13만 대 정도다. 등록된 전기차가 150만 대를 넘으니, 미국에서는 충전 인프라가 부족하다는 말이 나오고 있으며, 실제로 시설 건립이 빠르게 이뤄지는 중이다. 바이든 행정부는 2030년까지 충전소를 50만 곳으로 늘릴 계획이기도 하다.
충전소의 취약점과 위험 요소들이 제대로 해결되지 않은 상태에서 증가 계획만 여기 저기서 나오고 있으니 사이버 보안 전문가들은 벌써부터 불안하다. 산업 시설의 사이버 보안 전문 기업 드라고스(Dragos)의 수석 전략 국장인 필 톤킨(Phil Tonkin)은 “충전소들과, 충전소를 이용하는 자동차들은 전부 연결된 상태로 생태계를 유지하고 있다”며 “그 점이 충전소의 취약점들과 보안 구멍들을 더 위험한 것으로 만든다”고 강조한다.
“대부분의 전기 차량 충전소는 일종의 사물인터넷이라고 볼 수 있습니다. 매우 특별한 사물인터넷이라고도 할 수 있죠. 그토록 많은 양의 전기 및 전자 부품은 물론, 상상 이상의 전기의 양을 제어해야 하는 사물인터넷 장비니까요. 게다가 대단히 많은 장비들(즉 차량)이 단일 시스템에 모여들어 연결했다 사라졌다 하죠. 그런 경우는 구축에 있어서 심혈을 기울여야 하는 게 보통입니다.”
전기 차량 충전소 : 사물인터넷이면서 OT이면서 사회 기반 시설
전기 차량 충전소는 각종 현대 기술로 집약되어 있는 시설이다. 모바일 애플리케이션들을 통해 연결되며, 사물인터넷 장비들과 본질적으로 같은 리스크들을 내포하고 있다. 그러면서도 교통 시스템의 중요한 부분을 담당하기에 사회 기반 시설이고, 그 자체로 OT로 분류되어도 무방하다. “또한 공공 네트워크와 연결되는 것이 보통이기 때문에 모든 통신과 데이터는 암호화 되는 것이 기본 중 기본입니다.” 톤킨의 설명이다.
“공공 네트워크를 통해 접근할 수 있는 사회 기반 시설이니, 핵티비스트들이 얼마나 좋아할 지 벌써부터 눈에 보이는 듯합니다. 그러니 차량 충전소 관리 책임자는 자신들이 쉬운 표적이 되지 않을 수 있도록 방비를 해야 합니다. 아마 공격자들이 가장 중요하게 노릴 것은 중앙 플랫폼이 아닐까 합니다. 충전 독은 센터에서 내려오는 명령을 있는 그대로 신뢰하고 수용하는 경우가 많거든요. 센터만 장악하면 개별 충전 유닛들까지 다 장악할 수 있으니, 공격자들은 이 중앙 장치를 노릴 겁니다. 즉 이곳을 잘 방비하면 쉬운 표적 신세를 면할 가능성이 높다는 뜻이 됩니다.”
그러나 충전 시스템들만이 문제인 것은 아니다. 차량 소비자들의 집도 문제가 될 수 있다. 왜냐하면 전기 차량 소유주들의 80%가 집에서 충전을 한다고 차지포인트(ChargePoint)라는 곳에서 조사한 바 있기 때문이다. 전기 차량을 보유한 사람이라면 대부분 집에다 충전 시스템을 갖추고 싶을 것이기 때문에 놀라운 조사 결과는 아니다. “공격자들이 쉬운 표적을 찾아 공격을 한다고 하면, 아마 가정용 충전 시스템들이 대부분 걸려들지 않을까 합니다.” 톤킨의 설명이다.
“일반 소비자가 충전 시스템을 설치하면서 보안에 집중하는 경우가 얼마나 될까요. 거의 없습니다. 심지어 소비자의 보안 인식을 향상시키는 게 전기 자동차 생태계의 보안 문제를 해결하는 데 있어 큰 도움이 된다고 할 수도 없습니다. 지금 단계에서는 일단 기계부터 구멍 없이 만들고, 장비들 간 통신 기법을 안전한 것으로 채택하는 게 먼저죠. 기술적으로 보안이 보장되도록 시스템을 갖춰 둔 후에 사용자의 보안 인식을 다루는 게 순서상 맞다고 봅니다.”
정부의 역할?
보안 강화는 어느 분야 어느 산업에서나 자율적으로 이뤄진 적이 없다. 수많은 사고들이 터지고 피해자들이 양산되면 그제서야 산업 전체의 움직임이 일어날까 말까 하고, 정부가 나서서 관련 규정을 만드는 수순으로 보안은 제도화 된다. 이 때문에 전기 자동차 생태계를 정말로 보호하려면 결국 언젠가 정부가 나서서 강제성이 있는 규정을 만들어야 할 것이다. 자동차 제조사들, 충전 시스템 개발사들, 그리고 사용자들까지 전부 아우를 수 있는 안전 수칙들이 나와야 한다.
IT 업체 샌디아(Sandia)의 보안 담당자 브라이언 라이트(Brian Wright)는 “정부가 안전한 장비를 만들라고 지침을 내려도 자본에 의해 움직이는 기업들이니만큼 그 말을 다 듣지 않을 것”이라며 “각종 취약점 및 픽스 연구와 개발, 권고문 작성과 배포, 표준 및 베스트 프랙티스 정의 등의 활동에 앞장서는 게 더 도움이 될 것”이라고 말했다.
3줄 요약
1. 전기 차량 충전소, 위험한 공격 포인트가 될 수 있음.
2. 충전소는 사물인터넷이면서 OT이면서 사회 기반 시설임.
3. 대부분의 충전소는 취약한 버전의 OS를 기반으로 하고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
[보안뉴스 문가용 기자] 전기차의 판매량이 늘어나면서 전기차 충전 인프라가 세계 곳곳에서 확충되는 중이다. 자연스레 이 새로운 인프라에 사이버 공격자들과 보안 전문가들의 관심이 집중되고 있다. 에너지망 사이버 보안 전문 업체 사이플로우(Saiflow)의 경우 지난 2월, OCPP라는 프로토콜에서 두 개의 취약점을 찾아냈었다. 디도스 공격이나 민감 정보 탈취를 허용하는 취약점들이었다. 문제는 이것만이 아니다.
[이미지 = utoimage]
아이다호국립연구소(Idaho National Laboratory)의 경우, 전기 차량 충전 장치를 상당 수 점검한 결과 단 하나의 예외 없이 오래된 버전의 리눅스를 기반으로 하고 있다는 사실을 알아내기도 했다. 이 때문에 불필요한 서비스가 존재하고 있었으며, 대다수 서비스들이 루트 권한을 가진 채 실행되고 있어 한 번 뚫리면 꽤나 위험한 상황을 초래할 수 있다고 한다. 공공 인터넷에 연결된 서비스들도 있는데, 이 경우 중간자 공격을 허용할 수도 있게 된다.
혹자는 전기 자동차 충전소로부터 발현되는 위협들이 이론상으로만 존재하는 것이라고 주장하기도 한다. 사실이 아니다. 러시아가 우크라이나를 침략했을 당시인 약 1년 전, 핵티비스트들은 모스크바 근교에 있는 충전소들을 비활성화시키고 우크라이나 지지 메시지와 푸틴 대통령에 대한 증오 메시지를 화면에 나타내기도 했었다.
자동차 충전 장비들에 대한 우려가 증가하고 있는 곳은 최근 전기 자동차 판매량이 급증하고 있는 미국이다. 2022년 판매된 모든 차량의 5.8%가 전기 자동차로, 2021년의 3.2%보다 크게 증가한 수치다. 미국 전역에 있는 2레벨 DC 급속 충전소는 현재 5만 1천 개소가 되지 않는다. 동시에 충전할 수 있는 차량이 전국 13만 대 정도다. 등록된 전기차가 150만 대를 넘으니, 미국에서는 충전 인프라가 부족하다는 말이 나오고 있으며, 실제로 시설 건립이 빠르게 이뤄지는 중이다. 바이든 행정부는 2030년까지 충전소를 50만 곳으로 늘릴 계획이기도 하다.
충전소의 취약점과 위험 요소들이 제대로 해결되지 않은 상태에서 증가 계획만 여기 저기서 나오고 있으니 사이버 보안 전문가들은 벌써부터 불안하다. 산업 시설의 사이버 보안 전문 기업 드라고스(Dragos)의 수석 전략 국장인 필 톤킨(Phil Tonkin)은 “충전소들과, 충전소를 이용하는 자동차들은 전부 연결된 상태로 생태계를 유지하고 있다”며 “그 점이 충전소의 취약점들과 보안 구멍들을 더 위험한 것으로 만든다”고 강조한다.
“대부분의 전기 차량 충전소는 일종의 사물인터넷이라고 볼 수 있습니다. 매우 특별한 사물인터넷이라고도 할 수 있죠. 그토록 많은 양의 전기 및 전자 부품은 물론, 상상 이상의 전기의 양을 제어해야 하는 사물인터넷 장비니까요. 게다가 대단히 많은 장비들(즉 차량)이 단일 시스템에 모여들어 연결했다 사라졌다 하죠. 그런 경우는 구축에 있어서 심혈을 기울여야 하는 게 보통입니다.”
전기 차량 충전소 : 사물인터넷이면서 OT이면서 사회 기반 시설
전기 차량 충전소는 각종 현대 기술로 집약되어 있는 시설이다. 모바일 애플리케이션들을 통해 연결되며, 사물인터넷 장비들과 본질적으로 같은 리스크들을 내포하고 있다. 그러면서도 교통 시스템의 중요한 부분을 담당하기에 사회 기반 시설이고, 그 자체로 OT로 분류되어도 무방하다. “또한 공공 네트워크와 연결되는 것이 보통이기 때문에 모든 통신과 데이터는 암호화 되는 것이 기본 중 기본입니다.” 톤킨의 설명이다.
“공공 네트워크를 통해 접근할 수 있는 사회 기반 시설이니, 핵티비스트들이 얼마나 좋아할 지 벌써부터 눈에 보이는 듯합니다. 그러니 차량 충전소 관리 책임자는 자신들이 쉬운 표적이 되지 않을 수 있도록 방비를 해야 합니다. 아마 공격자들이 가장 중요하게 노릴 것은 중앙 플랫폼이 아닐까 합니다. 충전 독은 센터에서 내려오는 명령을 있는 그대로 신뢰하고 수용하는 경우가 많거든요. 센터만 장악하면 개별 충전 유닛들까지 다 장악할 수 있으니, 공격자들은 이 중앙 장치를 노릴 겁니다. 즉 이곳을 잘 방비하면 쉬운 표적 신세를 면할 가능성이 높다는 뜻이 됩니다.”
그러나 충전 시스템들만이 문제인 것은 아니다. 차량 소비자들의 집도 문제가 될 수 있다. 왜냐하면 전기 차량 소유주들의 80%가 집에서 충전을 한다고 차지포인트(ChargePoint)라는 곳에서 조사한 바 있기 때문이다. 전기 차량을 보유한 사람이라면 대부분 집에다 충전 시스템을 갖추고 싶을 것이기 때문에 놀라운 조사 결과는 아니다. “공격자들이 쉬운 표적을 찾아 공격을 한다고 하면, 아마 가정용 충전 시스템들이 대부분 걸려들지 않을까 합니다.” 톤킨의 설명이다.
“일반 소비자가 충전 시스템을 설치하면서 보안에 집중하는 경우가 얼마나 될까요. 거의 없습니다. 심지어 소비자의 보안 인식을 향상시키는 게 전기 자동차 생태계의 보안 문제를 해결하는 데 있어 큰 도움이 된다고 할 수도 없습니다. 지금 단계에서는 일단 기계부터 구멍 없이 만들고, 장비들 간 통신 기법을 안전한 것으로 채택하는 게 먼저죠. 기술적으로 보안이 보장되도록 시스템을 갖춰 둔 후에 사용자의 보안 인식을 다루는 게 순서상 맞다고 봅니다.”
정부의 역할?
보안 강화는 어느 분야 어느 산업에서나 자율적으로 이뤄진 적이 없다. 수많은 사고들이 터지고 피해자들이 양산되면 그제서야 산업 전체의 움직임이 일어날까 말까 하고, 정부가 나서서 관련 규정을 만드는 수순으로 보안은 제도화 된다. 이 때문에 전기 자동차 생태계를 정말로 보호하려면 결국 언젠가 정부가 나서서 강제성이 있는 규정을 만들어야 할 것이다. 자동차 제조사들, 충전 시스템 개발사들, 그리고 사용자들까지 전부 아우를 수 있는 안전 수칙들이 나와야 한다.
IT 업체 샌디아(Sandia)의 보안 담당자 브라이언 라이트(Brian Wright)는 “정부가 안전한 장비를 만들라고 지침을 내려도 자본에 의해 움직이는 기업들이니만큼 그 말을 다 듣지 않을 것”이라며 “각종 취약점 및 픽스 연구와 개발, 권고문 작성과 배포, 표준 및 베스트 프랙티스 정의 등의 활동에 앞장서는 게 더 도움이 될 것”이라고 말했다.
3줄 요약
1. 전기 차량 충전소, 위험한 공격 포인트가 될 수 있음.
2. 충전소는 사물인터넷이면서 OT이면서 사회 기반 시설임.
3. 대부분의 충전소는 취약한 버전의 OS를 기반으로 하고 있음.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
