가동성 있는 부분들의 공격적인 요소로 돌변 용이한 출입통제와 허술한 시스템 문제 제기


[보안뉴스 주소형] 주유소에서 흔히 볼 수 있는 자동세차기도 우리가 조심해야 할 리스트에 올랐다. 자동세차기의 운영 시스템에 드나들고 심지어 조작하는 게 매우 용이하다는 문제가 제기됐기 때문이다. 이로 인해 자동세차기로도 사람이 다치거나 하는 사고가 발생할 수도 있다고도 한다.

실제로 자동세차기의 로터리 암(Rotary arm, 거대한 솔을 회전시켜 자동차 겉면을 닦게 해주는 부품)이 오작동하여 세차 중이던 미니밴의 창문을 깨부쉈던 일도 발생했다. 다행히 당시 운전자가 액셀을 밟고 기기 밖으로 황급히 벗어나 큰 위기는 모면할 수 있었지만 이는 자동세차기의 위험성을 충분히 입증할 수 있는 사건이다. 
 


이번에 자동세차기의 위험성에 대한 문제를 제기한 빌리 리오(Billy Rios) 보안전문가는 “주유소들에 흔히 있는 자동세차기 통제 시스템에 인터넷으로 접속이 가능하다는 걸 처음 알고, 작동하는 원리를 알아보기 위해 세차기 제조사인 PDQ LaserWash라는 회사에서 공급한 수백 개의 세차기와 운영 시스템 및 서버를 살펴봤다”며 “PDQ사가 운영하는 서버는 HTTP 웹 서버 기반이었고, 자동세차기는 사물인터넷에 주로 사용되는 ARM 프로세서가 장착되어 있었으며, 로컬 OS는 모바일 전용인 윈도우 CE를 기반으로 작동된다”고 했다. 
 
즉, 보통의 가정용 사물인터넷 기기와 다를 바 없는 굉장히 평이한 시스템 구성이었는데, 대부분 로그인 및 인증 암호가 굉장히 쉽거나 아예 설정되지도 않아 인터넷을 통해 쉽게 접속할 수 있었다는 것. 또한 리오 연구원은 이 같은 시스템을 사용하는 세차기 제조사는 수천 개가 더 있을 것으로 예상했다.

뿐만 아니라 그는 자동세차기의 DLL 시스템도 문제점으로 분석했다. 모든 호출이나 요청, 명령들이 DLL로 집중되기 때문에 접속에 성공한 해커들이 편하게 필요한 정보를 가져갈 수 있다는 것이다. 리오 연구원에 따르면 위와 같은 방법 등으로 평소 자기 컴퓨터에 로그인 하고 사용하듯이 해서 공짜로 세차하는 게 가능하다. 프리미엄 세차나 초고속 세차 등의 선택도 가능한 것으로 알려졌다.

※DLL: OS/2, 윈도즈 등의 운영 체계(OS) 본래 기능으로, 소프트웨어의 루틴을 몇 개의 파일로 나누어 디스크에 두고 필요한 것만을 실행 메모리에 실어서 사용하기 위한 파일.

이 같은 상황에 대해 리오 연구원은 “기껏해야 자동세차기의 온도나 빛 등에 대한 통제권을 빼앗기는 것에 그쳤다면 큰 문제가 아닐 것”이라며 “문제는 문이나 각종 솔, 물뿌리개 등 거대하면서도 움직이는 게 가능한 부분들인데 적어도 각 부품의 위험도에 따라 명령 실행 통로를 분리할 필요가 있다”고 강조했다. 또한 “이렇게 인터넷으로 제품의 원격제어를 가능하게 하는 건 좋은데, 그렇게 하려면 SQL 인젝션, 버퍼 오버플로우 등과 같이 쉽게 해킹이 가능한 취약점은 철저하게 없애고, 비밀번호 설정을 강화하도록 해야 한다”고 당부했다.

래피드7(Rapid7)사의 보안 전략가인 트레이 포드(Trey Ford)는 “이는 단지 자동세차기에 국한된 사안이 아니다. 사실 인터넷과 연결되는 모든 기기들이 해킹의 위험에 노출되어 있다고 봐도 무방하다”고 염려했다.
@DARKReading
[국제부 주소형 기자(sochu@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>