11월 6~7일 서울 양재동 더케이호텔서울에서 개최된 국제 해킹·보안컨퍼런스 POC2014에서는 실리콘밸리에서 스타트업 보안회사 Visual Threat을 운영하는 ‘Wei Yan’(웨이 얀) 박사가 자동차 해킹에 대해 발표했다. 특히 한국 현대기아차의 소나타 모델에 대해 해킹시연을 보여줘 큰 관심을 끌었다.
 
데일리시큐는 웨이 얀 박사와 인터뷰를 통해 구체적으로 어떻게 자동차 해킹이 가능한지 또 대응방안은 없는지 들어봤다.
 
우선 웨이 얀 박사는 지난해 실리콘밸리에서 'Visual Threat'이라는 스타트업 보안회사를 설립하고 6개월 전부터 자동차 보안취약점에 관심을 가지고 연구를 시작했다. 사내 자동차 해킹 연구가들로는 인텔과 모토로라 등에서 일하면서 자동차 관련 연구를 40년 정도 해온 전문가도 있고 네트워크 보안분야 전문가도 포함돼 있다.
 
자동차 해킹에 관심을 가진 이유에 대해 그는 “최근 자동차에 첨단기술들이 접목되면서 스마트폰과도 연결되고 와이파이도 연결되면서 다양한 취약점들이 존재하고 있다. 그러면서 악의적 해커들이 스마트 자동차를 대상으로 많은 공격을 감행할 수 있어 해킹방법과 대응방안에 대해 연구하게 됐다”고 이유를 밝혔다.
 
특히 스마트폰과 자동차가 연결되면서 위험성은 더욱 커지고 있다. 얀 박사는 “안드로이드 멀웨어가 올해 400만개 정도 발견됐다. 또 자동차 관련 앱에 영향을 미치는 멀웨어들도 빠르게 발전하고 있다”며 “하지만 이에 대응할 수 있는 솔루션들이 없는 상황이라 철저한 대응이 필요하다”고 강조했다.

 
얀 박사가 이번에 발표한 취약점은 자동차에서 주요 부품으로 사용되고 있는 OBD2 케이블이 타깃이다. OBD(On-Board Diagnostic connector) Dongles는 모든 차에 장착돼 있으며 차량의 모든 기능들을 제어하는 장치들을 연결하는 포트다. 이 포트를 통해 와이파이와 연결된 스마트폰으로 자동차 문도 열고 닫을 수 있고 시동도 걸 수 있다.
 
이 OBD Dongles에 바로 취약점이 존재한다. 얀 박사의 말에 따르면 OBD Dongles의 50%가 취약점을 가지고 있다는 것. 이를 악용하면 공격자들이 원격에서 자동차 문도 열 수 있고 엔진도 마음대로 조작할 수 있게 된다.
 
얀 박사는 “현대차 소나타와 토요타 캠리 등을 테스트해 본 결과 OBD Dongles 취약점으로 인해 원격에서 공격자가 원하는대로 도어 잠금장치, 엔진 등을 마음대로 조작할 수 있다는 것이 확인됐다. GM 차종도 해킹이 가능한 상황”이라며 “현대기아차의 경우 유사한 OBD Dongles을 다른 차종에도 사용하고 있기 때문에 전체 차종의 80% 이상이 공격을 받을 수 있다”고 우려했다.
 
공격자는 스마트폰에 자동차를 해킹할 수 있는 앱을 설치해두고 블루투스를 통해 해킹이 가능한 차량이 어디에 있는지 파악할 수 있다. 특히 거리에 상관없이 원격 조정이 가능하다고 얀 박사는 말한다.
 
이런 공격이 가능하다면 차량 주인이 자리에 없을 때 차를 훔쳐 달아날 수도 있고 달리는 차량의 연료분사를 막아 엔진을 정지시킬 수도 있고 잠금장치도 해제할 수 있으며 달리는 차의 트렁크를 열 수도 있다. 이외 전조등, 크락션 등을 마음대로 원격에서 조정할 수 있다.
 
또 그는 “차종이 달라도 OBD Dongles의 데이터 메시지 길이가 짧아 조금만 수정하면 같은 회사 차량들은 대부분 제어할 수 있게 된다”며 “현대자동차의 경우도 2달 정도만 시간을 주면 모든 차종에 대해 해킹 가능 여부를 검증해 줄 수 있다”고 전했다.
 
OBD Dongles 제조사는 20여 개사가 된다. 이중 50%가 해킹에 취약한 상태다. 국내 자동차 제조사에서 생산되는 차량에 대해 지난 7월 테스트한 결과 현대기아차의 소나타가 해킹이 가능한 OBD Dongles을 사용하고 있는 것으로 확인됐다.(아래 영상 참조) 또 얀 박사의 말에 따라, 같은 제조사에서 사용되는 OBD Dongles이 다른 차종에도 같이 사용된다면 현대기아차 모든 차종에 대한 해킹 여부 검증이 필요한 상황인 것이다.
  한편 얀 박사는 60%의 안드로이드 자동차 관련 앱들이 3개 이상의 보안 취약점을 가지고 있다고 전했다. 이를 통해 차량의 다양한 정보들이 탈취될 수 있다고 덧붙였다.


대응방안도 소개했다. 얀 박사는 Visual Threat에서 이러한 해킹시도가 있을 경우 차량 소유자에게 알람 문자를 보내고 해킹 행위를 방지할 수 있는 솔루션을 개발했다고 밝혔다. 차량에 간단하게 장착하는 보안장비로 방화벽, 안티해킹, 인텔리전스 기능을 제공한다. 장착 비용은 30달러에 불과하다고 전했다.
 
국내 자동차 제조사들의 발빠른 대응책 마련이 필요하다. 향후 국내 스마트카 발전을 위해서도 보안문제를 해결해 글로벌 리더로 성장할 수 있길 기대해 본다.    
 
<★정보보안 대표 미디어 데일리시큐!★>
 
데일리시큐 길민권 기자 mkgil@dailysecu.com