3줄 요약
1. 스바루 차에 탑재된 인포테인먼트 시스템, 스타링크.
2. 그 스타링크 관리자 포털에 접근하면 모든 스바루 차량 원격 해킹 가능.
3. 위치 추적, 민감 정보 탈취, 잠금 해제 진행해도 경고 없음.
[보안뉴스 문가용 기자] 커넥티드 차량이 유행하면서 해킹 연구가 활발해지고 있다. 최근 보안 전문가 두 명이 스타링크(Starlink)를 탑재한 스바루 사 차량들에서 심각한 보안 취약점을 발견했다. 공략에 성공하면 미국, 캐나다, 일본에 있는 모든 스바루 차량과 고객 계정에 무제한으로 접근할 수 있게 된다고 한다. 다행히 실제 공격이 발생하기 전 패치가 이뤄졌다.
[이미지 = gettyimagesbank]
이 연구를 진행한 샘 커리(Sam Curry)와 슈밤 샤(Shubham Shah)는 실험을 통해 “이메일 주소, 전화번호, 차량번호판 중 하나만 알아도 최소 네 가지 공격을 진행할 수 있다”는 것을 밝혀냈다. “원격에서 시동을 걸고, 문을 잠그거나 열 수 있으며 현재 위치를 조회하는 것도 가능합니다. 또 시동을 걸 때마다 업데이트 되는 정보를 통해 지난 1년 간 차량 위치 기록을 조회할 수 있습니다. 이 때 위치 정보 오차 범위는 5m 이내일 정도로 정확합니다. 차량 주인의 개인정보 일부를 열람할 수 있고, 지원 요청 이력, 이전 소유자 정보, 주행 거리, 판매 이력 등 다양한 기록에도 접근할 수 있습니다.”
사용자용 앱은 단단
연구원들이 가장 먼저 분석한 건 마이스바루(MySubaru)라는 앱이었다. 이 앱을 통해 차주들은 차량에 명령을 내릴 수 있다. “앱을 프록시 처리한 후에 명령을 가로채는 시도를 해보았습니다. 그러면서 승인 없이 차량의 잠금 장치를 해제할 수 있는지 알아보기 위함이었습니다.”
하지만 인증 과정을 통과할 수가 없었다. 여러 가지 다른 시도를 해보았지만 성공할 수 없었다고 한다. “앱의 보안 상태는 전반적으로 양호했고, 인증 시스템도 단단했습니다. 그래서 실험을 위한 다른 앱이 없나 조사하기 시작했습니다.” 보통 자동차 제조사들은 고객용 앱보다 더 광범위한 권한을 가진 ‘내부 직원용 앱’도 만들어 운영하는데, 스바루에서도 그런 비슷한 것이 없나 확인했다.
그 결과 한 도메인 주소를 건질 수 있었다. subarucs.com이었다. 여기서부터 관리자 포털인 https://portal.prod.subarucs.com/login.html의 존재를 확인할 수 있었다. 이 도메인에는 ‘스타링크 관리자 포털’(STARLINK Admin Portal)이라는 이름이 붙어 있었다.
“간단히 구글에 검색해보니 스타링크는 스바루 차량 내 인포테인먼트 시스템 이름이었습니다. 차량의 원격 제어 기능을 담당하고 있다는 설명도 있었습니다. 저희가 찾은 포털이 스바루 인포테인먼트와 관련이 있는 관리자 페이지인 것이 분명해 보였습니다.”
직원인 것처럼 로그인
여러 시도 끝에 이메일 주소만 있으면 포털에 로그인할 수 있다는 사실을 알아냈다. 링크드인과 구글 검색을 통해 실제 스바루 직원이 사용하는 이메일 주소 하나를 찾아냈고, 이를 활용해 포털 로그인에 성공했다. 이중 인증 장치가 걸려 있었지만, 이 역시 간단한 조작을 통해 뚫어냈다.
“포털에 진입하니 ‘마지막 알려진 위치’(Last Known Location)라는 메뉴가 눈에 띄었습니다. 차주의 성과 이름, 우편번호를 입력하니 지난 1년 동안 해당 차주가 다녔던 곳의 위치와 시간, 주행 거리가 표로 정리돼 나타났습니다.”
[자료 = 보안뉴스]
심지어 엔진이 켜져 있었는지, 특정 명령이 사용된 위치가 어떻게 되는지 등도 알아낼 수 있었다. 차량을 통해 스바루 측에서 이런 정보들까지 가져간다는 걸 전혀 몰랐지만, 커리는 “아마도 차량을 구매할 때 동의한 계약서 내에 정보 수집과 관련된 항목이 있었을 것 같다”는 입장이다. 당시 꼼꼼하게 읽지 않았다는 것이며, 이제와 어떻게 할 도리가 없었다는 의미.
또, 해당 포털을 통해 미국, 캐나다, 일본에 있는 모든 스바루 차량에 접근할 수 있다는 걸 확인할 수 있었다. “스바루 차량을 가지고 있는 친구가 한 명 더 있었습니다. 그래서 혹시 해킹해도 되는지 물어보았고, 승낙을 받았습니다. 차량 번호판 정보를 받은 뒤 포털에 입력하고, 몇 가지 절차를 거쳐 친구 차량에 접근할 수 있었습니다.”
그 친구는 전혀 다른 도시에 있었다. 하지만 포털을 통해 친구의 차량에 잠금 해제 명령을 보냈고, 친구는 차량 문이 열렸다는 걸 보여주는 영상을 찍어 커리에게 전송했다. 이 모든 과정이 진행되는 동안 친구는 스바루나 앱으로부터 그 어떤 경고나 알림 메시지를 받지 못했다. 이메일도 오지 않았다고 한다.
그래서?
‘신뢰’를 기반으로 구축된 시스템은 약점이 있을 수밖에 없다고 커리는 블로그를 통해 지적한다. “자동차 산업은 독특한 점이 있는데, 텍사스에 있는 직원이 캘리포니아에 있는 차량의 청구 정보를 조회할 수 있다는 겁니다. 심지어 이런 행위를 아무도 문제 삼지 않습니다. 그게 그들의 일상 업무이기 때문이죠. 시스템이 전반적으로 신뢰에 의존하는 구조라는 뜻입니다.”
그러면서 커리는 “기본적으로 광범위한 접근 권한이 내장되어 있는 시스템을 안전하게 만드는 건 굉장히 힘든 일”이라고 결론을 내린다. “접근이 쉬워질 때 일을 처리하는 게 편리해질 수 있겠지만, 그만큼 해킹 공격도 쉬워지고 파급력도 커집니다. 사용자에게 편한 건 공격자에게도 편하다는 걸 기억해 시스템 구축 시 편리와 안전의 균형을 맞추는 게 중요합니다. 나중에 후속 처리로 보강한다는 건 너무나 어려운 일이고 비용도 많이 들기 때문입니다.”
커리와 샤가 모의 해킹 실험에 사용했던 실제 요청문 스크립트와 코드, 더 상세한 분석 절차는 이번 주 6일에 발행되는 프리미엄 리포트 내 확장판을 통해 열람이 가능합니다.
[국제부 문가용 기자(globoan@boannews.com)]
1. 스바루 차에 탑재된 인포테인먼트 시스템, 스타링크.
2. 그 스타링크 관리자 포털에 접근하면 모든 스바루 차량 원격 해킹 가능.
3. 위치 추적, 민감 정보 탈취, 잠금 해제 진행해도 경고 없음.
[보안뉴스 문가용 기자] 커넥티드 차량이 유행하면서 해킹 연구가 활발해지고 있다. 최근 보안 전문가 두 명이 스타링크(Starlink)를 탑재한 스바루 사 차량들에서 심각한 보안 취약점을 발견했다. 공략에 성공하면 미국, 캐나다, 일본에 있는 모든 스바루 차량과 고객 계정에 무제한으로 접근할 수 있게 된다고 한다. 다행히 실제 공격이 발생하기 전 패치가 이뤄졌다.
[이미지 = gettyimagesbank]
이 연구를 진행한 샘 커리(Sam Curry)와 슈밤 샤(Shubham Shah)는 실험을 통해 “이메일 주소, 전화번호, 차량번호판 중 하나만 알아도 최소 네 가지 공격을 진행할 수 있다”는 것을 밝혀냈다. “원격에서 시동을 걸고, 문을 잠그거나 열 수 있으며 현재 위치를 조회하는 것도 가능합니다. 또 시동을 걸 때마다 업데이트 되는 정보를 통해 지난 1년 간 차량 위치 기록을 조회할 수 있습니다. 이 때 위치 정보 오차 범위는 5m 이내일 정도로 정확합니다. 차량 주인의 개인정보 일부를 열람할 수 있고, 지원 요청 이력, 이전 소유자 정보, 주행 거리, 판매 이력 등 다양한 기록에도 접근할 수 있습니다.”
사용자용 앱은 단단
연구원들이 가장 먼저 분석한 건 마이스바루(MySubaru)라는 앱이었다. 이 앱을 통해 차주들은 차량에 명령을 내릴 수 있다. “앱을 프록시 처리한 후에 명령을 가로채는 시도를 해보았습니다. 그러면서 승인 없이 차량의 잠금 장치를 해제할 수 있는지 알아보기 위함이었습니다.”
하지만 인증 과정을 통과할 수가 없었다. 여러 가지 다른 시도를 해보았지만 성공할 수 없었다고 한다. “앱의 보안 상태는 전반적으로 양호했고, 인증 시스템도 단단했습니다. 그래서 실험을 위한 다른 앱이 없나 조사하기 시작했습니다.” 보통 자동차 제조사들은 고객용 앱보다 더 광범위한 권한을 가진 ‘내부 직원용 앱’도 만들어 운영하는데, 스바루에서도 그런 비슷한 것이 없나 확인했다.
그 결과 한 도메인 주소를 건질 수 있었다. subarucs.com이었다. 여기서부터 관리자 포털인 https://portal.prod.subarucs.com/login.html의 존재를 확인할 수 있었다. 이 도메인에는 ‘스타링크 관리자 포털’(STARLINK Admin Portal)이라는 이름이 붙어 있었다.
“간단히 구글에 검색해보니 스타링크는 스바루 차량 내 인포테인먼트 시스템 이름이었습니다. 차량의 원격 제어 기능을 담당하고 있다는 설명도 있었습니다. 저희가 찾은 포털이 스바루 인포테인먼트와 관련이 있는 관리자 페이지인 것이 분명해 보였습니다.”
직원인 것처럼 로그인
여러 시도 끝에 이메일 주소만 있으면 포털에 로그인할 수 있다는 사실을 알아냈다. 링크드인과 구글 검색을 통해 실제 스바루 직원이 사용하는 이메일 주소 하나를 찾아냈고, 이를 활용해 포털 로그인에 성공했다. 이중 인증 장치가 걸려 있었지만, 이 역시 간단한 조작을 통해 뚫어냈다.
“포털에 진입하니 ‘마지막 알려진 위치’(Last Known Location)라는 메뉴가 눈에 띄었습니다. 차주의 성과 이름, 우편번호를 입력하니 지난 1년 동안 해당 차주가 다녔던 곳의 위치와 시간, 주행 거리가 표로 정리돼 나타났습니다.”
[자료 = 보안뉴스]
심지어 엔진이 켜져 있었는지, 특정 명령이 사용된 위치가 어떻게 되는지 등도 알아낼 수 있었다. 차량을 통해 스바루 측에서 이런 정보들까지 가져간다는 걸 전혀 몰랐지만, 커리는 “아마도 차량을 구매할 때 동의한 계약서 내에 정보 수집과 관련된 항목이 있었을 것 같다”는 입장이다. 당시 꼼꼼하게 읽지 않았다는 것이며, 이제와 어떻게 할 도리가 없었다는 의미.
또, 해당 포털을 통해 미국, 캐나다, 일본에 있는 모든 스바루 차량에 접근할 수 있다는 걸 확인할 수 있었다. “스바루 차량을 가지고 있는 친구가 한 명 더 있었습니다. 그래서 혹시 해킹해도 되는지 물어보았고, 승낙을 받았습니다. 차량 번호판 정보를 받은 뒤 포털에 입력하고, 몇 가지 절차를 거쳐 친구 차량에 접근할 수 있었습니다.”
그 친구는 전혀 다른 도시에 있었다. 하지만 포털을 통해 친구의 차량에 잠금 해제 명령을 보냈고, 친구는 차량 문이 열렸다는 걸 보여주는 영상을 찍어 커리에게 전송했다. 이 모든 과정이 진행되는 동안 친구는 스바루나 앱으로부터 그 어떤 경고나 알림 메시지를 받지 못했다. 이메일도 오지 않았다고 한다.
그래서?
‘신뢰’를 기반으로 구축된 시스템은 약점이 있을 수밖에 없다고 커리는 블로그를 통해 지적한다. “자동차 산업은 독특한 점이 있는데, 텍사스에 있는 직원이 캘리포니아에 있는 차량의 청구 정보를 조회할 수 있다는 겁니다. 심지어 이런 행위를 아무도 문제 삼지 않습니다. 그게 그들의 일상 업무이기 때문이죠. 시스템이 전반적으로 신뢰에 의존하는 구조라는 뜻입니다.”
그러면서 커리는 “기본적으로 광범위한 접근 권한이 내장되어 있는 시스템을 안전하게 만드는 건 굉장히 힘든 일”이라고 결론을 내린다. “접근이 쉬워질 때 일을 처리하는 게 편리해질 수 있겠지만, 그만큼 해킹 공격도 쉬워지고 파급력도 커집니다. 사용자에게 편한 건 공격자에게도 편하다는 걸 기억해 시스템 구축 시 편리와 안전의 균형을 맞추는 게 중요합니다. 나중에 후속 처리로 보강한다는 건 너무나 어려운 일이고 비용도 많이 들기 때문입니다.”
커리와 샤가 모의 해킹 실험에 사용했던 실제 요청문 스크립트와 코드, 더 상세한 분석 절차는 이번 주 6일에 발행되는 프리미엄 리포트 내 확장판을 통해 열람이 가능합니다.
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
