‘차량 번호’로 30초 만에 차량 원격 제어 가능 취약점 ‘기아(Kia)’서 발견... 현재는 해결
해외서 현기차 타깃 삼는 10대 해커들 ‘기아보이즈’, SNS·틱톡서 유행 번져 논란 일기도
유명 ‘독일3사’ 벤츠·BMW·아우디 및 테슬라에도 해킹 위험 도사려
자동차 제조사·사용자 모두 사이버 보안 위해 노력 기울여야... 다중인증·정기 취약점 점검 및 업데이트 등
[보안뉴스 이소미 기자] 내 차가 30초 만에 공격자의 수중에 넘어갈 수 있다는 사실, 알고 계셨나요? ‘차량 번호’만으로도 30초 만에 원격 잠금과 해제, 그리고 차주 몰래 시동을 걸고 경적을 울리거나 위치 추적까지 가능한 취약점이 한국의 기아자동차에서 발견됐습니다.
■ 방송 : 보안뉴스TV(bnTV) <보안家 핫이슈>
■ 기획·진행 : 이소미 보안뉴스 기자
▲보안家 핫이슈 ‘해커가 말한다, ‘이 차는 이제 제 겁니다’ 시작 화면[이미지=보안뉴스]
보안 연구진, ‘기아(Kia)’의 심각한 취약점 발견...딜러 계정 접근으로 차량·개인정보 탈취 가능해
지난 6월, 유명 버그바운티 헌터인 샘 커리(Sam Curry)와 그와 함께 한 보안 연구진이 2013년 이후에 제조된 수백만 대의 기아차에서 심각한 취약점을 발견하면서 ‘기아 커넥트Kia Connect)’를 구독하지 않은 차량까지도 공격이 가능했다고 밝혔는데요.
심지어 공격자가 차량 딜러 계정으로 접속해 차량 소유주 이름과 연락처, 주소 등의 민감 정보 획득이 가능했고, 해당 정보를 토대로 차량 접근 권한 탈취 가능성도 증명됐습니다. 문제는 이러한 위협 상황에서도 차주에게는 어떠한 경고 알림도 전송되지 않았다는 건데요.
물론, 현재 기아 측은 해당 취약점을 전달받은 즉시, 그 문제를 해결한 것으로 전해졌습니다. 해당 사건은 자동차 산업에서 커넥티드 차량 보안 위험성에 대한 경각심을 일깨우는 계기가 됐습니다.
네트워크 통한 차량 해킹 위험성↑ 해외 틱톡서 ‘기아보이즈’ 붐 일며 현기차 논란
커넥티드 카는 네트워크를 통해 외부에서 차량 내부 제어장치 접근이 가능하기 때문에 해킹을 통한 차량 시스템 제어와 개인정보 탈취가 가능하다는 위험이 도사리고 있는데요.
이미 2021년부터 해외 10대들 사이에 SNS상에서 유행처럼 번진 ‘차량 도난 영상’이 틱톡에 무분별하게 공유됐습니다. 이들은 현대·기아차만 골라서 탈취하는 차량 절도범들로 이른바 ‘기아보이즈’라고 칭하며 자신들의 절도 기술을 자랑하며 과시하기도 했습니다.
다만, 국내의 경우 ‘K-기아보이즈’는 찾아볼 수 없었는데요. 그 이유는 내장 암호 칩이 탑재된 ‘이모빌라이저(Immobiliser)’라는 도난방지장치가 기본적으로 장착됐기 때문입니다. 그동안 해외에서 도난당한 차량은 해당 옵션을 선택하지 않았던 차량인 것으로 밝혀졌습니다.
신(新)차 헤드라이트 내 ECU 장착으로 해커에게 빌미 제공 우려...스마트키 관련 취약점 여전
하지만 첨단 기술이 진화하면서 최신 차량에는 헤드라이트에도 자동차 시스템의 뇌에 해당하는 ECU가 장착돼 출시되고 있는데요. 바로 이러한 최신 기술이, 해커에게는 새로운 접근 방식을 제공하게 됐습니다.
CAN(Controller Area Network)은 여러 ECU 간 통신을 통해 정보를 주고 받을 수 있는 네트워크 시스템입니다. 다크웹 등에서 이 CAN 통신을 해킹할 수 있는 상품들이 버젓이 판매된 것으로 알려졌습니다. 실제 해커는 다크웹에서 구한 불법 증폭기 장치 하나로 이모빌라이저를 무력화시킬 수 있었습니다.
이는 스마트 키 소지자와 차량이 떨어져 있어도 중간 신호를 탈취해 차량 도난이 가능했던 건데요. 사실 그간 전문가들은 이미 스마트 키 시스템을 갖춘 차량의 보안 취약점을 꾸준히 지적해 왔습니다.
유명 ‘독일 3사’ 차량으로 불리는 벤츠·BMW·아우디와 전기차 테슬라에도 해킹 위험 존재
이렇게 스마트해진 커넥티드 카의 취약점을 악용한 해킹 위협은 비단 현대·기아 뿐만이 아니었습니다. 국내에서 일명 ‘독일 3사’로 불리는 유명 자동차 제조사인 벤츠, BMW, 아우디 사에서도 이같은 사례가 있었는데요.
지금으로부터 약 12년 전인 2012년도에 영국에서 BMW가 3분 만에 스마트 키를 복제 당하는 해킹으로 도난당한 사례가 있었고, 이후에 다수의 취약점이 발견되면서 수차례 보안 패치를 진행하기도 했습니다. 메르세데스 벤츠 사에서도 스마트 키 시스템의 보안 취약점이 발견됐고, 아우디 사에서도 무선 키 시스템 해킹이 가능했습니다.
2015년에는 미국의 블랙햇 컨퍼런스에서 ‘지프 체로키(Jeep Cherokee)’의 디지털 시스템 해킹으로 차량 제어권 탈취와 엔진·브레이크 등의 원격 제어까지 가능해 충격을 안겼는데요. 당시 제조사인 피아트-크라이슬러는 해당 모델 140만대를 리콜하는 사태가 벌어지기도 했습니다. 또 세계적인 전기차 제조사인 테슬라의 차량 시스템 역시 이미 수차례 취약점이 발견됐고, 폰투온 해킹 대회에서는 이러한 취약점을 연계해 차량 시스템 탈취와 조정이 가능한 점도 드러났습니다.
이외에도 해킹으로 원격 차량 통제가 가능했던 제조사로 △페라리 △포르쉐 △혼다 △토요타 △재규어 등이 있었습니다. 또한 차량 접근 권한 탈취가 가능했던 취약점이 발견됐던 제조사로는 △롤스로이스 △랜드로버 △폭스바겐 △포드 △닛산 △오펠 등이 있습니다.
보안 전문가, 자동차제조사·개인사용자 모두 사이버 보안 위협 대응 위한 노력 필요
이처럼 나날이 스마트해지는 커넥티드 카의 시대가 눈앞에 다가온 지금, 많은 보안 전문가들은 다양한 최신 기술을 악용해 보안체제를 무력화시키고 차량 도난은 물론, 계획적인 사고까지 발생시킬 수 있다고 우려하고 있습니다. 따라서 자동차 제조사와 소비자 모두 사이버 보안 위험을 인지하고 대처하는 것이 중요한 시점인데요.
이제 자동차도 소프트웨어가 중심이 된 만큼, 소프트웨어의 보안 취약점도 그대로 가지고 있기 때문에 사이버 보안 대책도 함께 마련돼야 함을 의미합니다. 특히 자동차 제조사들은 딜러 계정에 대한 다중 인증(MFA) 필수화와 정기적으로 잠재된 취약점 발견을 위한 노력을 기울여야 하고, 모든 데이터 교환에 대한 종단 간 암호화 및 짧은 액세스 토큰 사용으로 공격자들이 악용할 수 있는 여지를 제거하는 것이 중요하다고 전문가들은 강조했습니다. 이외에도 실시간 모니터링으로 문제 발생 시 즉각적인 대응이 가능한 비상 체제를 구축해야 한다고도 말했습니다.
사용자 입장에서는 정기적인 차량 소프트웨어와 관련 앱 업데이트, 그리고 최신 보안 패치를 반드시 적용해야 합니다. 또한 무선 주파수를 활용한 스마트 키의 경우, 중계장치를 이용한 차량 탈취 기법이 여전히 유효하기 때문에 키 케이스에 보관하는 것이 차량 도난 해킹을 예방할 수 있는 것으로 알려졌습니다.
UNECE, 사이버 보안 표준 인증 CSMS·SUMS 발효...국토부도 자동차 관리법 개정
일찍이 유럽 경제위원회(UNECE : United Nations Economic Commission for Europe)는 법적 구속력을 가진 국제 자동차 사이버 보안 표준 두 가지 인증 조건인 CSMS(Cyber Security Management System)와 SUMS(Software Update Management System)를 발효했는데요. 지난 2022년부터 유럽과 일본에 판매되는 최신 차량은 해당 표준 조건을 준수해야만 합니다.
국내 역시 올해부터 국토교통부를 중심으로 자동차 관리법이 개정되면서 내년 8월부터 판매되는 신 차량은 국토부가 요구하는 사이버 보안 관리체계 인증과 소프트웨어 업데이트를 충족하도록 강화됐습니다. 현재 국내에서는 현대자동차와 LG전자, 그리고 KT모빌리티가 선제적으로 CSMS 인증 취득을 완료한 것으로 전해졌습니다.
자동차는 이제 단순한 이동수단을 넘어 신기술 도입으로 그 발전속도가 점점 가속화되고 있습니다. 이와 함께 그만큼 고도화된 새로운 해킹 위협도 증가하고 있습니다. 보다 안전한 미래차 시대를 위해 무엇보다 중요한 안전은 철저한 보안체계를 통해 완성된다는 사실을 잊지 말아야겠습니다.
[이소미 기자(boan4@boannews.com)]
해외서 현기차 타깃 삼는 10대 해커들 ‘기아보이즈’, SNS·틱톡서 유행 번져 논란 일기도
유명 ‘독일3사’ 벤츠·BMW·아우디 및 테슬라에도 해킹 위험 도사려
자동차 제조사·사용자 모두 사이버 보안 위해 노력 기울여야... 다중인증·정기 취약점 점검 및 업데이트 등
[보안뉴스 이소미 기자] 내 차가 30초 만에 공격자의 수중에 넘어갈 수 있다는 사실, 알고 계셨나요? ‘차량 번호’만으로도 30초 만에 원격 잠금과 해제, 그리고 차주 몰래 시동을 걸고 경적을 울리거나 위치 추적까지 가능한 취약점이 한국의 기아자동차에서 발견됐습니다.
■ 방송 : 보안뉴스TV(bnTV) <보안家 핫이슈>
■ 기획·진행 : 이소미 보안뉴스 기자
▲보안家 핫이슈 ‘해커가 말한다, ‘이 차는 이제 제 겁니다’ 시작 화면[이미지=보안뉴스]
보안 연구진, ‘기아(Kia)’의 심각한 취약점 발견...딜러 계정 접근으로 차량·개인정보 탈취 가능해
지난 6월, 유명 버그바운티 헌터인 샘 커리(Sam Curry)와 그와 함께 한 보안 연구진이 2013년 이후에 제조된 수백만 대의 기아차에서 심각한 취약점을 발견하면서 ‘기아 커넥트Kia Connect)’를 구독하지 않은 차량까지도 공격이 가능했다고 밝혔는데요.
심지어 공격자가 차량 딜러 계정으로 접속해 차량 소유주 이름과 연락처, 주소 등의 민감 정보 획득이 가능했고, 해당 정보를 토대로 차량 접근 권한 탈취 가능성도 증명됐습니다. 문제는 이러한 위협 상황에서도 차주에게는 어떠한 경고 알림도 전송되지 않았다는 건데요.
물론, 현재 기아 측은 해당 취약점을 전달받은 즉시, 그 문제를 해결한 것으로 전해졌습니다. 해당 사건은 자동차 산업에서 커넥티드 차량 보안 위험성에 대한 경각심을 일깨우는 계기가 됐습니다.
네트워크 통한 차량 해킹 위험성↑ 해외 틱톡서 ‘기아보이즈’ 붐 일며 현기차 논란
커넥티드 카는 네트워크를 통해 외부에서 차량 내부 제어장치 접근이 가능하기 때문에 해킹을 통한 차량 시스템 제어와 개인정보 탈취가 가능하다는 위험이 도사리고 있는데요.
이미 2021년부터 해외 10대들 사이에 SNS상에서 유행처럼 번진 ‘차량 도난 영상’이 틱톡에 무분별하게 공유됐습니다. 이들은 현대·기아차만 골라서 탈취하는 차량 절도범들로 이른바 ‘기아보이즈’라고 칭하며 자신들의 절도 기술을 자랑하며 과시하기도 했습니다.
다만, 국내의 경우 ‘K-기아보이즈’는 찾아볼 수 없었는데요. 그 이유는 내장 암호 칩이 탑재된 ‘이모빌라이저(Immobiliser)’라는 도난방지장치가 기본적으로 장착됐기 때문입니다. 그동안 해외에서 도난당한 차량은 해당 옵션을 선택하지 않았던 차량인 것으로 밝혀졌습니다.
신(新)차 헤드라이트 내 ECU 장착으로 해커에게 빌미 제공 우려...스마트키 관련 취약점 여전
하지만 첨단 기술이 진화하면서 최신 차량에는 헤드라이트에도 자동차 시스템의 뇌에 해당하는 ECU가 장착돼 출시되고 있는데요. 바로 이러한 최신 기술이, 해커에게는 새로운 접근 방식을 제공하게 됐습니다.
CAN(Controller Area Network)은 여러 ECU 간 통신을 통해 정보를 주고 받을 수 있는 네트워크 시스템입니다. 다크웹 등에서 이 CAN 통신을 해킹할 수 있는 상품들이 버젓이 판매된 것으로 알려졌습니다. 실제 해커는 다크웹에서 구한 불법 증폭기 장치 하나로 이모빌라이저를 무력화시킬 수 있었습니다.
이는 스마트 키 소지자와 차량이 떨어져 있어도 중간 신호를 탈취해 차량 도난이 가능했던 건데요. 사실 그간 전문가들은 이미 스마트 키 시스템을 갖춘 차량의 보안 취약점을 꾸준히 지적해 왔습니다.
유명 ‘독일 3사’ 차량으로 불리는 벤츠·BMW·아우디와 전기차 테슬라에도 해킹 위험 존재
이렇게 스마트해진 커넥티드 카의 취약점을 악용한 해킹 위협은 비단 현대·기아 뿐만이 아니었습니다. 국내에서 일명 ‘독일 3사’로 불리는 유명 자동차 제조사인 벤츠, BMW, 아우디 사에서도 이같은 사례가 있었는데요.
지금으로부터 약 12년 전인 2012년도에 영국에서 BMW가 3분 만에 스마트 키를 복제 당하는 해킹으로 도난당한 사례가 있었고, 이후에 다수의 취약점이 발견되면서 수차례 보안 패치를 진행하기도 했습니다. 메르세데스 벤츠 사에서도 스마트 키 시스템의 보안 취약점이 발견됐고, 아우디 사에서도 무선 키 시스템 해킹이 가능했습니다.
2015년에는 미국의 블랙햇 컨퍼런스에서 ‘지프 체로키(Jeep Cherokee)’의 디지털 시스템 해킹으로 차량 제어권 탈취와 엔진·브레이크 등의 원격 제어까지 가능해 충격을 안겼는데요. 당시 제조사인 피아트-크라이슬러는 해당 모델 140만대를 리콜하는 사태가 벌어지기도 했습니다. 또 세계적인 전기차 제조사인 테슬라의 차량 시스템 역시 이미 수차례 취약점이 발견됐고, 폰투온 해킹 대회에서는 이러한 취약점을 연계해 차량 시스템 탈취와 조정이 가능한 점도 드러났습니다.
이외에도 해킹으로 원격 차량 통제가 가능했던 제조사로 △페라리 △포르쉐 △혼다 △토요타 △재규어 등이 있었습니다. 또한 차량 접근 권한 탈취가 가능했던 취약점이 발견됐던 제조사로는 △롤스로이스 △랜드로버 △폭스바겐 △포드 △닛산 △오펠 등이 있습니다.
보안 전문가, 자동차제조사·개인사용자 모두 사이버 보안 위협 대응 위한 노력 필요
이처럼 나날이 스마트해지는 커넥티드 카의 시대가 눈앞에 다가온 지금, 많은 보안 전문가들은 다양한 최신 기술을 악용해 보안체제를 무력화시키고 차량 도난은 물론, 계획적인 사고까지 발생시킬 수 있다고 우려하고 있습니다. 따라서 자동차 제조사와 소비자 모두 사이버 보안 위험을 인지하고 대처하는 것이 중요한 시점인데요.
이제 자동차도 소프트웨어가 중심이 된 만큼, 소프트웨어의 보안 취약점도 그대로 가지고 있기 때문에 사이버 보안 대책도 함께 마련돼야 함을 의미합니다. 특히 자동차 제조사들은 딜러 계정에 대한 다중 인증(MFA) 필수화와 정기적으로 잠재된 취약점 발견을 위한 노력을 기울여야 하고, 모든 데이터 교환에 대한 종단 간 암호화 및 짧은 액세스 토큰 사용으로 공격자들이 악용할 수 있는 여지를 제거하는 것이 중요하다고 전문가들은 강조했습니다. 이외에도 실시간 모니터링으로 문제 발생 시 즉각적인 대응이 가능한 비상 체제를 구축해야 한다고도 말했습니다.
사용자 입장에서는 정기적인 차량 소프트웨어와 관련 앱 업데이트, 그리고 최신 보안 패치를 반드시 적용해야 합니다. 또한 무선 주파수를 활용한 스마트 키의 경우, 중계장치를 이용한 차량 탈취 기법이 여전히 유효하기 때문에 키 케이스에 보관하는 것이 차량 도난 해킹을 예방할 수 있는 것으로 알려졌습니다.
UNECE, 사이버 보안 표준 인증 CSMS·SUMS 발효...국토부도 자동차 관리법 개정
일찍이 유럽 경제위원회(UNECE : United Nations Economic Commission for Europe)는 법적 구속력을 가진 국제 자동차 사이버 보안 표준 두 가지 인증 조건인 CSMS(Cyber Security Management System)와 SUMS(Software Update Management System)를 발효했는데요. 지난 2022년부터 유럽과 일본에 판매되는 최신 차량은 해당 표준 조건을 준수해야만 합니다.
국내 역시 올해부터 국토교통부를 중심으로 자동차 관리법이 개정되면서 내년 8월부터 판매되는 신 차량은 국토부가 요구하는 사이버 보안 관리체계 인증과 소프트웨어 업데이트를 충족하도록 강화됐습니다. 현재 국내에서는 현대자동차와 LG전자, 그리고 KT모빌리티가 선제적으로 CSMS 인증 취득을 완료한 것으로 전해졌습니다.
자동차는 이제 단순한 이동수단을 넘어 신기술 도입으로 그 발전속도가 점점 가속화되고 있습니다. 이와 함께 그만큼 고도화된 새로운 해킹 위협도 증가하고 있습니다. 보다 안전한 미래차 시대를 위해 무엇보다 중요한 안전은 철저한 보안체계를 통해 완성된다는 사실을 잊지 말아야겠습니다.
[이소미 기자(boan4@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
(6).jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
