과거에 보안 연구원들이 차량의 인터넷 연결 시스템을 가로채는 방법을 발견했을 때, 그들의 개념 증명 시연은 다행히도 자동차 해킹이 어렵다는 것을 보여주는 경향이 있었습니다.
해커들이 2010년 쉐보레 임팔라(Chevrolet Impala)나 2015년 지프(Jeep)를 원격으로 탈취하는 데 사용한 것과 같은 익스플로잇은 개발하는 데 수년에 걸친 작업이 필요했으며 자동차 텔레매틱스 장치의 모호한 코드를 리버스 엔지니어링하거나, 라디오 연결을 통해 재생되는 오디오 톤을 통해 해당 시스템에 악성 소프트웨어를 전달하거나, 심지어 멀웨어가 포함된 음악 파일이 담긴 디스크를 자동차의 CD 드라이브에 넣는 등 독창적인 트릭이 필요했습니다.
올 여름, 한 소규모 해커 그룹은 웹사이트에서 간단한 버그를 찾는 것만큼 훨씬 쉬운 수백만 대의 차량을 해킹하고 추적하는 기술을 시연했습니다.
오늘 독립 보안 연구원 그룹은 자동차 제조업체인 기아가 운영하는 웹 포털에서 연구원들이 자동차 소유자의 스마트폰에서 해커의 휴대폰 또는 컴퓨터에 이르기까지 대부분의 최신 기아 차량(도로 위의 수백만 대의 자동차를 대표하는 수십 개 모델)의 인터넷 연결 기능에 대한 제어권을 재할당할 수 있는 결함을 발견했다고 밝혔습니다.
이러한 취약점을 악용하고 대상 차량에 명령을 보내는 자체 맞춤형 앱을 구축함으로써 인터넷에 연결된 거의 모든 기아 차량의 번호판을 스캔하고 몇 초 안에 해당 차량의 위치를 추적하고, 차량의 잠금을 해제하고, 경적을 울리고, 마음대로 시동을 걸 수 있는 기능을 얻을 수 있었습니다.
지난 6월 연구진이 기아차에 이 문제를 알린 후, 기아는 웹 포털에서 취약점을 수정한 것으로 보이지만, 당시 와이어드(WIRED)에 여전히 그룹의 조사 결과를 조사 중이며 그 이후로 와이어드의 이메일에 응답하지 않았다고 밝혔습니다.
그러나 기아의 패치가 자동차 산업의 웹 기반 보안 문제의 끝은 아니라고 연구진은 말랍니다. 그들이 기아를 해킹하는 데 사용한 웹 버그는 사실 그들이 현대 소유의 회사에 보고한 두 번째 버그입니다. 그들은 작년에 기아의 디지털 시스템을 하이재킹하기 위한 유사한 기술을 발견했습니다. 그리고 이러한 버그는 지난 2년 동안 Acura, Genesis, Honda, Hyundai, Infiniti, Toyota 등에서 판매한 자동차에 영향을 미친 수많은 유사한 웹 기반 취약점 중 두 가지에 불과합니다.
"우리가 이 문제를 더 많이 조사할수록 차량에 대한 웹 보안이 매우 열악하다는 것이 매우 분명해졌습니다." 최신 기아 취약점을 발견하고 작년 1월에 공개된 이전 웹 기반 자동차 보안 문제 수집을 담당하는 더 큰 그룹과 협력한 연구원 중 한 명인 Neiko "specters" Rivera는 말합니다.
웹3 회사인 유가랩스(Yuga Labs)의 보안 엔지니어로 일하고 있는 또 다른 자동차 해킹 그룹 멤버인 샘 커리(Sam Curry)는 "이런 일회성 문제가 계속해서 터져 나오고 있습니다"라고 말했습니다. "2년이 지났고, 이 문제를 해결하기 위해 많은 좋은 노력이 있었지만 여전히 정말 망가진 것 같습니다."
번호판을 읽고, 자동차를 해킹하세요
기아자동차의 최신 보안 취약점을 알리기 전, 연구팀은 렌터카, 친구의 차, 심지어 딜러 주차장의 차까지 소수의 기아차를 대상으로 웹 기반 기술을 테스트한 결과 모든 경우에 효과가 있는 것으로 나타났습니다. 그들은 또한 위의 비디오에서 볼 수 있듯이 불과 몇 분 전에 콜로라도 주 덴버의 주차장에서 소개된 보안 연구원의 2020년형 Kia Soul에서 이 기술을 시연하여 WIRED에 보여주었습니다.
이 그룹의 웹 기반 기아 해킹 기술은 해커가 스티어링이나 브레이크와 같은 주행 시스템에 접근할 수 있도록 하지 않으며, 시동이 걸리더라도 자동차가 도망가는 것을 방지하는 이른바 이모빌라이저를 극복하지 못합니다. 그러나 자동차 절도범들 사이에서 인기 있는 이모빌라이저 파괴 기술과 결합되거나 일부 기아차를 포함하여 이모빌라이저가 없는 저가형 자동차를 훔치는 데 사용되었을 수 있습니다.
자동차의 노골적인 도난을 허용하지 않는 경우에도 웹 결함으로 인해 자동차 내용물의 도난, 운전자와 승객에 대한 괴롭힘, 기타 개인 정보 보호 및 안전 문제에 대한 상당한 기회가 발생할 수 있습니다.
"누군가 교통 체증으로 당신을 가로막는다면, 당신은 그들의 번호판을 스캔하고 원할 때마다 그들이 어디에 있는지 알고 그들의 차에 침입할 수 있습니다"라고 Curry는 말합니다. "우리가 이 사실을 기아차에 알리지 않았다면, 누군가의 차량 번호판을 물어볼 수 있는 사람은 누구나 그 사람을 스토킹할 수 있었을 것입니다."
360도 카메라가 설치된 기아차의 경우 해당 카메라도 해커에게 접근할 수 있었습니다. 커리는 웹 포털 결함으로 인해 자동차 자체의 커넥티드 기능이 도용되는 것을 넘어 해커가 이름, 이메일 주소, 전화번호, 집 주소, 심지어 경우에 따라 과거 운전 경로 등 기아 고객에 대한 광범위한 개인 정보를 쿼리할 수 있게 됐다고 말합니다.
이 그룹이 발견한 기아 해킹 기법은 고객 및 딜러를 위한 기아 웹 포털의 백엔드에 있는 비교적 간단한 결함을 악용하여 작동하며, 이는 커넥티드 카 기능에 대한 액세스를 설정하고 관리하는 데 사용됩니다. 연구원들이 해당 웹사이트의 API(사용자가 기본 데이터와 상호 작용할 수 있도록 하는 인터페이스)로 직접 명령을 보냈을 때, 차량 기능에 대한 제어권을 생성한 고객 계정에 할당하거나 재할당하는 것과 같이 기아 딜러의 권한에 액세스하는 것을 방해하는 것이 없다는 것을 발견했다고 말합니다. "정말 간단합니다. 사용자가 딜러인지 확인하지 않았습니다"라고 Rivera는 말합니다. "그리고 그것은 꽤 큰 문제입니다."
기아의 웹 포털은 차대번호(VIN)를 기반으로 차량을 조회할 수 있도록 했습니다. 그러나 해커들은 PlateToVin.com 웹 사이트를 사용하여 번호판 번호를 얻은 후 자동차의 VIN을 빠르게 찾을 수 있음을 발견했습니다.
더 넓게는, 이 시스템을 사용하는 모든 딜러는 어떤 차량의 기능이 특정 계정과 연결되어 있는지에 대해 충격적일 정도의 통제권을 가지고 있는 것으로 보인다고 Rivera는 덧붙였습니다. "딜러는 자신의 부지를 건드리지 않는 차량에 대해서도 너무 많은 권한을 가지고 있습니다"라고 Rivera는 말합니다.
12개의 자동차 제조업체 웹사이트, 수백만 대의 해킹 가능한 자동차
다른 두 명의 연구원과 함께 해킹 기법을 개발한 커리와 리베라는 지난 6월 기아차에 연구 결과를 시연한 직후 기아차에 보고했고, 기아차는 와이어드의 질의에 자신들의 연구 결과를 조사하고 있다고 답했다. 대변인은 "우리는 이 문제를 매우 심각하게 받아들이고 있으며 보안 연구원들과의 협력을 소중히 여긴다"고 썼습니다.
연구원들이 이 문제를 보고한 직후, 기아는 그들의 기술을 차단하는 것처럼 보이는 웹 포털 API를 변경했다고 연구원들은 말합니다. 그리고 8월, 기아는 연구진에게 그들의 발견을 검증했지만 여전히 문제에 대한 영구적인 수정을 구현하기 위해 노력하고 있다고 말했습니다.
기아는 그 이후로 연구원들에게 업데이트를 하거나 WIRED의 질문에 답변하지 않았습니다. 그러나 연구원들이 보고한 보안 문제를 해결하기 위해 회사에 주어진 표준 90일 기간이 지난 후 해커들은 기아 해킹 개념 증명 애플리케이션을 출시하지 않았고 출시할 계획도 없지만 연구 결과를 공개하기로 결정했습니다.
기아 해킹 연구 그룹은 2022년 말에 자동차 제조업체의 웹사이트와 API에서 취약점을 조사하는 아이디어를 중심으로 처음 모이기 시작했습니다. 그들 중 몇 명은 대학 캠퍼스에서 친구와 함께 머물면서 모바일 스쿠터 회사의 앱을 만지작거리다가 실수로 캠퍼스 전역에 있는 모든 회사의 스쿠터가 15분 동안 경적을 울리고 라이트를 깜박이도록 트리거했습니다. 그 시점에서, 그 그룹은 더 많은 것들을 경적하게 만들기 위해 더 많은 방법을 시도하는 데 매우 흥미를 갖게 되었습니다.
커리가 썼듯이, 스쿠터보다 더 중요한 차량을 포함해서. 얼마 지나지 않아 커리는 오랫동안 자동차 해킹에 집중해 왔고 이전에 자동차 제조업체인 리비안(Rivian)에서 일했던 리베라(Rivera)가 이미 차량 텔레매틱스의 웹 취약점을 조사하고 있다는 것을 알게 되었다.
2023년 1월, 그들은 기아, 혼다, 인피니티, 닛산, 아큐라, 메르세데스-벤츠, 현대, 제네시스, BMW, 롤스로이스, 페라리에 영향을 미치는 방대한 웹 취약점 모음인 작업의 초기 결과를 발표했으며, 모두 자동차 제조업체에 보고했습니다.
이들 기업 중 적어도 대여섯 군데의 경우, 이 그룹이 발견한 웹 버그는 자동차의 커넥티드 기능을 최소한 어느 정도 제어할 수 있었다고 그들은 주장했습니다. 다른 사람들은 데이터나 회사의 내부 애플리케이션에 대한 무단 액세스를 허용했다고 말합니다. 또 다른 사람들은 긴급 차량을 위한 차량 관리 소프트웨어를 표적으로 삼았고 잠재적으로 위험할 수 있는 트릭을 안전하게 테스트할 수단이 없었음에도 불구하고 해당 차량이 시동을 걸지 못하게 할 수도 있었다고 생각합니다.
커리는 올해 6월, 도요타가 웹 포털에 여전히 유사한 결함이 있는 것으로 보인다는 사실을 발견했으며, 온라인에서 찾은 유출된 딜러 자격증과 함께 도요타와 렉서스 차량의 추적, 잠금 해제, 경적 및 점화와 같은 기능을 원격 제어할 수 있었다고 말했습니다. 그는 도요타에 대한 취약점을 보고하고 웹을 통해 대상 도요타의 연결된 기능에 대한 제어권을 자신에게 재할당할 수 있었다는 것을 보여주는 것처럼 보이는 확인 이메일을 WIRED에 보여주었습니다. 그러나 커리는 도요타에 보고하기 전에 도요타 해킹 기술에 대한 비디오를 촬영하지 않았고, 회사는 그가 공개한 버그를 신속하게 패치하고 악용을 방지하기 위해 웹 포털을 일시적으로 오프라인 상태로 전환하기까지 했습니다.
도요타 대변인은 지난 6월 와이어드에 보낸 서한에서 "이번 조사 결과, 도요타는 손상된 자격 증명을 즉시 비활성화하고 포털의 보안 강화를 가속화하고 있으며, 개선이 완료될 때까지 포털을 임시로 비활성화하고 있다"고 밝혔습니다.
더 똑똑한 기능, 더 멍청한 버그
2010년 인터넷을 통해 자동차의 스티어링과 브레이크를 해킹한 최초의 연구팀인 UC 샌디에이고의 컴퓨터 과학 교수 스테판 새비지(Stefan Savage)는 "자동차를 원격 제어할 수 있는 자동차 웹사이트의 취약점이 엄청나게 많은 것은 스마트폰 지원 기능으로 소비자, 특히 젊은 소비자에게 어필하려는 기업들의 노력의 직접적인 결과"라고 말했습니다.
Savage는 "이러한 사용자 기능을 전화기와 클라우드에 연결된 사물에 연결하면 이전에는 걱정할 필요가 없었던 모든 공격 표면을 만들 수 있습니다"라고 말합니다.
하지만 그는 자신조차도 이러한 기능을 관리하는 모든 웹 기반 코드의 불안정성에 놀랐다고 말합니다. "예전처럼 악용하기가 쉽다는 점이 조금 실망스럽습니다"라고 그는 말합니다.
Rivera는 “자동차 사이버 보안 분야에서 일하면서 자동차 회사들이 웹 보안보다는 ‘임베디드’ 디바이스(자동차와 같은 비전통적인 컴퓨팅 환경의 디지털 구성 요소)에 더 중점을 두는 경우가 많다는 것을 직접 관찰했습니다.제가 일을 시작한 이래로 자동차 산업에서 임베디드 보안과 웹 보안 사이에 뚜렷한 격차가 있다는 것이 분명해졌습니다. 이 두 가지는 매우 자주 섞이지만, 사람들은 둘 중 하나에만 경험이 있습니다"라고 말합니다.
UCSD의 새비지(Savage)는 기아 해킹 연구자들의 연구가 그 초점을 바꾸는 데 도움이 될 수 있기를 바랍니다. 그는 2015년 지프 인수 사건과 2010년 UCSD의 새비지 팀이 일으킨 임팔라 해킹 사건 등 자동차의 임베디드 시스템에 영향을 미친 초기의 많은 세간의 이목을 끈 해킹 실험은 자동차 제조업체들이 임베디드 사이버 보안의 우선순위를 더 높여야 한다는 확신을 갖게 했다고 말합니다. 이제 자동차 회사들은 웹 보안에도 초점을 맞춰야 하며, 이는 프로세스의 희생이나 변경을 감수하는 것이라도 마찬가지라고 그는 말합니다.
"'웹 코드를 거치지 않았기 때문에 6개월 동안 차를 배송하지 않겠다'는 결정을 어떻게 내릴 수 있을까요? 이는 판매가 쉽지 않습니다"라고 그는 말합니다. 이런 종류의 행사를 통해 사람들이 그 결정을 더 온전히 바라볼 수 있다고 생각합니다."
이상의 기사는 2024년 9월 27일 ArsTechnica에 게재된 “Flaw in Kia’s web portal let researchers track, hack cars”제목의 기사 내용을 편집하여 작성하였습니다.
* 원문정보 출처 : Flaw in Kia’s web portal let researchers track, hack cars | Ars Technica
저작권자 ⓒ 창조아고라, 무단 전재 및 재배포 금지