편리함 뒤에 숨은 커넥티드 카 해킹
안녕하세요, 정보보호 전문 업체 보안클라우드입니다. 모든 사물이 연결되어 실시간으로 경로를 탐색하여 최적의 경로 안내와 더불어 원격 시동, IoT 기기를 통해 차량을 원격 제어하거나 차량에서 집의 IoT 기기를 원격 제어하는 홈투카/카투홈 기능 등이 내재되어 이제는 스마트 디바이스가 된 자동차인 커넥티드 카에 대해 이야기하려 합니다.
커넥티드 카(Connected Car)
네트워크에 연결할 수 있는 자동차로 지도, 날씨, 실시간 교통정보 등의 서비스를 지원
IT 기술과 각종 산업 간 융합이 활발한 가운데 자동차 산업에도 각종 IT 기술이 접목되면서 스마트 카가 개발되고 있습니다. 이에 더 나아가 V2V(차량 간 무선통신)·V2I(도로 인프라)와 연결을 통한 안전주행 및 자율주행, 운전자의 최소한의 개입이라는 목표를 가진 커넥티드 카로 발전되고 있습니다. 커넥티드 카는 각종 교통정보, 지형지물 정보, 주변 차량 위치 등을 실시간으로 네트워크로부터 전송받아 차량을 자율주행하며, 기존의 자율주행은 카메라가 신호등 및 사물을 인식하여 동작하는 반면에, 커넥티드 카 기반의 자율주행은 교통센터로부터 차량 주변의 신호정보를 받아 움직이는 방식입니다. 또한 커넥티드 카는 스마트홈, 인공지능, 통신 기능 등을 다양하게 지원함으로써 더 이상 단순한 이동 수단이 아니게 되었습니다. 커넥티드 카는 네트워크를 기반하여 편리함을 극대화하지만 동시에 위험 또한 극대화하여 불안전한 스마트 사회를 만들 수 있습니다. 그렇다면 커넥티드 카의 어떠한 점이 위험을 극대화하는지 바로 밑에서 알아보도록 하겠습니다.
미래를 위협하는 사이버 공격
앞서 언급했듯이 커넥티드 카는 네트워크를 기반으로 하고 있습니다. 이 말은 네트워크의 연결이 불안정하거나 문제가 있을 경우 위험에 처할 수 있다는 것입니다. 이는 사이버 공격에 대한 문제가 있을 수 있다는 것이며, 또한 이 사이버 공격으로부터 생명에 위협을 받을 수 있는 상황에 놓여 있을 수도 있다는 것입니다. 예를 들면, 몸값을 뜻하는 Ransom과 악성코드를 뜻하는 Malware의 합성어인 랜섬웨어(Ransomware)는 데이터를 인질로 금전을 요구하는 상황이지만, 커넥티드 카에서는 탑승한 사람의 목숨을 인질 삼아 금전을 요구하는 상황이 벌어질 수 있습니다.
이외에 커넥티드 카 자체의 취약점이 존재하여 오작동이 발생할 수 있습니다. 이러한 문제를 해결하기 위해서 시큐어코딩을 통하여 시스템을 안전하게 구축할 수 있어 많은 보안 문제점에 대해 보안할 수 있습니다. 이 보안 문제점을 제대로 보안하지 않았을 경우 해커에 의해 해킹 당하면 어떠한 일이 벌어질 수 있는지 사례를 통하여 알아보겠습니다.
사레 1
전기차 시장의 선두자인 미국 전기차 브랜드의 해킹 사례
전기차 시장의 선두자인 미국 전기차 브랜드의 차량이 해킹되는 사례는 종종 있는데요, 어떤 사례가 있는지 간략하게 추려보았습니다.
중국 연구진의 해킹으로 급제동, 창문 및 좌석, 드렁크 조작 등을 시현한 영상
https://www.youtube.com/watch?v=BwDZcMoVjDY [출처 : YouTube.MBN News]
블루투스를 이용한 펌웨어 하이재킹을 시도하여 차량 키를 생성 및 복제하여 차량 탈취 영상
https://www.youtube.com/watch?v=clrNuBb3myE&t=1s [출처 : YouTube.COSIC]
소프트웨어의 결함을 통한 해킹 사례
22년 1월에는 독일의 청년이 소프트웨어의 결함을 발견하고, 이를 이용하여 전기차 25대를 원격 제어하였습니다. 핸들 조작과 가속기, 브레이크 등 차량 안전에 크게 직결되는 기능 제어는 불가하였지만, 원격 시동이나, 차량의 문 또는 창문 조작, 차량 위치와 운행 기록, 운행자 탑승 여부 확인이 가능했던것으로 알려졌습니다.
사례 2
140만 대를 리콜하게 만든 해킹 사건 , 국내차 B***앱의 취약점
차량을 해킹하여 핸들과 가속기를 원격 조정하였던 사례로, 이로 인하여 해당 모델의 차량 140만 대를 리콜하였습니다.
https://www.youtube.com/watch?v=MK0SrxBC1xs&t=162s [출처 : YouTube.WIRED]
다음 사례는 국산차 브랜드인 H기업 모바일 제어 앱인 B***에서 취약점이 발견된 취약점으로 해커가 보안되지 않은 와이파이 네트워크를 통해 침입하여 사용자의 정보를 탈취하고 원격으로 시동을 걸 수 있는 취약점이 있었습니다.
사례 1과 사례 2를 들어 차량 해킹에 대한 사례 몇 가지 공유해 보았는데요, 현재는 이러한 보안 문제들에 대하여 즉시 패치 배포가 되었습니다. 사례를 통하여 모든 사례를 다 공유해 보지 못하였지만, 그 밖에 커넥티드 카에 대한 보안 위협에는 실도로 차량 관련한 서버에 대한 위협(DDoS 공격, 데이터 유출 등). 통신 채널을 이용한 위협(데이터의 스푸핑, 차량 내 데이터 및 코드 무단 조작, 세션 하이재킹 등), 미쳐 발견하지 못한 보안 취약점 코드 등이 존재할 수 있습니다. 이를 방지하고자 시큐어 코딩과 접근제어를 통하여 안전한 스마트 사회가 되기를 시큐어 코딩 전문 업체 보안클라우드가 함께하겠습니다.