세계 보안 엑스포  전자정부 솔루션 페어  개인정보보호 페어  국제 사이버 시큐리티 컨퍼런스  세계 태양에너지 엑스포  스마트팩토리  INFO-CON
Home > 전체기사
고급 자동차의 알람 시스템에서 치명적인 취약점들 나와
  |  입력 : 2019-03-11 18:05
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
고가 자동차에 설치된 알람 시스템, 원격 해킹 공격의 통로
이번 분석이 된 회사는 판도라와 바이퍼...‘해킹 불가능하다’는 광고도 해와


[보안뉴스 문가용 기자] 고급 자동차들에 탑재되어 있는 알람 장치에서 치명적인 취약점들이 발견됐다. 익스플로잇 될 경우 자동차에 대한 원격 해킹이 가능해지고, 자동차 주인 및 탑승자들을 추적하는 것과, 자동차를 작동 불능 상태로 만드는 것도 가능해진다고 한다.

[이미지 = iclickart]


이를 발견한 건 사이버 보안 및 침투 테스트 전문 펜테스트파트너즈(Pen Test Partners)로, 이 회사의 전문가들은 최근 판도라(Pandora)와 바이퍼(Viper)라는 업체들이 만든 스마트 알람 시스템들을 분석한 결과를 발표했다. 바이퍼는 클리포드(Clifford)라는 이름으로도 알려져 있는 회사다. 이 두 회사가 만든 시스템은 이미 수백만 대의 차량에 설치되어 있다. 이를 통해 자동차 소유주들은 차량의 위치를 추적하고, 원격에서 엔진을 시작하거나 끌 수 있고, 자동차 문을 잠그거나 열 수 있게 된다.

이 자동차 알람 시스템들은 굉장히 안전하다고 광고되고 있으며, 판도라는 심지어 해킹이 불가능하다는 표현까지 쓰고 있다. 펜테스트파트너즈는 판도라와 바이퍼가 고객들에게 제공하는 모바일 앱과, 실제로 차량에 설치해주는 알람 시스템들을 분석했다고 한다.

먼저 판도라와 바이퍼 모바일 앱들에서 사용되는 API를 분석한 결과, ‘불안전 직접 객체 참조(insecure direct object reference, IDOR)’ 취약점들이 존재하는 걸 알 수 있었다. 이런 종류의 취약점들은 익스플로잇이 쉽고, 다른 사용자의 계정에도 간단히 접근할 수 있게 해준다는 특징을 가지고 있다. 계정 접근의 경우 요청의 매개변수 값만 바꾸면 간단히 실행될 수 있다.

또 펜테스트파트너즈 측은 공격자가 API들을 익스플로잇 함으로써 악성 요청을 전송해 사용자의 모바일 앱 비밀번호를 변경할 수 있다는 것도 밝혀냈다(바이퍼 제품의 경우). 이를 통해 등록된 이메일 주소도 변경이 가능한데, 이는 즉 계정을 공격자가 완전히 장악하는 게 가능하다는 뜻이 된다.

공격자가 사용자의 계정에 접근하는 걸 성공시키고 나서는 다양한 악성 행위들을 할 수 있게 된다. 차량의 정보를 훔쳐가고, 값어치가 나가는 다른 공격 대상들을 찾아낼 수도 있게 된다. 또한 실시간으로 차량의 위치를 추적하는 것도 가능하게 된다. 연구원들은 공격자가 차량과 운전자를 추적하고, 차량이 움직이기 시작하면 알람을 울려 차를 멈추게 한 다음, 앱을 사용해 자동차가 움직이지 못하도록 해서 물리적인 납치가 가능하다는 공격 시나리오를 제시하기도 했다.

바이퍼와 판도라의 제품들 모두 차가 운행 중에 있을 때 운전자가 엔진을 끌 수 있게 해주고 있다. 이는 차량이 도난당한 걸 알게 되었을 때, 차주에게 매우 유용한 기능이 된다. 다만 이 기능이 해커의 손에 넘어갔을 때에는 차주에게 불리한 기능이 될 수 있다는 것이다. 한 가지 흥미로운 건, 펜테스트파트너즈가 엔진을 실제로 끄는 데 성공한 건 바이퍼 알람을 장착한 차량들뿐이었다.

판도라 알람에는 마이크로폰 기능이 있는데, 이는 긴급 상황 발생 시 통화를 할 수 있도록 만들어진 것이다. API의 취약점을 익스플로잇 하면 공격자가 마이크로폰에 접근해 사용자들에 대한 스파잉을 할 수 있게 된다.

가장 치명적인 건 두 회사의 알람 시스템 모두 CAN 메시지를 전송할 수 있다는 것이다. CAN 메시지는 자동차 내 설치된 다른 주요 장치들에 명령을 보낼 수 있도록 설계된 것으로, 이를 조작할 수 있게 되면 자동차의 다른 기능에도 악영향을 줄 수 있다. CAN 버스 표준은 굉장히 중요한 차량 기능에 대한 접근을 가능하게 하고, 이를 통해 악성 메시지를 보낼 수 있게 된다면 심각한 결과가 초래될 수 있다. 그래서 펜테스트파트너즈 연구원들은 API를 통한 공격을 통해 파괴적인 공격을 할 수 있다고 보고 있지만, 이 부분에 대한 연구가 다 끝난 건 아니다.

이러한 사실을 연구원들은 바이퍼와 판도라 측에 알렸다. 두 회사는 다행히 취약점들을 빠르게 패치했다. 또한 판도라는 광고물에서 ‘해킹이 불가능하다’는 표현을 빼버렸다. “이 알람들은 고가의 장비로, 고가의 차량에 장착됩니다. 열쇠 없이 시동이 걸리는 식의 스마트 차량들에 보통 탑재되어 있죠. 이 취약점에 영향을 받은 차량의 총 가치를 대략 계산해보면 1500억 달러 정도 될 것으로 보입니다.”

펜테스트파트너즈는 이 발견과 관련된 기술 세부 사항을 자사 블로그에 올렸다. 블로그에는 해킹을 시연하는 영상도 올라와 있다.

3줄 요약
1. 고가의 차량에 탑재된 알람 시스템에서 치명적인 취약점 발견됨.
2. 취약점들을 익스플로잇 할 경우, 원격에서 차량을 추적하고, 알람을 임의로 울리게 만들고, 자동차가 움직이지 못하도록 하며, 문도 잠그고 열 수 있게 됨.
3. 분석 대상이 된 제품의 제조사들은 재빨리 패치를 발표하고, 과대 광고 문구를 삭제함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
IBM 파워비즈 배너 2019년2월8일~2020년2월7일까지모니터랩 파워비즈 배너 시작 18년9월12일위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
신기술이 무서운 속도로 등장하고 있습니다. 가장 시급히 보안 장치/정책/규정규정/표준이 도입되어야 하는 분야는 무엇이라고 생각하십니까?
클라우드와 컨테이너
SDN(소프트웨어 정의 네트워크)
인공지능과 자동화
블록체인
소셜 미디어
기타(댓글로)