고급 자동차의 알람 시스템에서 치명적인 취약점들 나와

고가 자동차에 설치된 알람 시스템, 원격 해킹 공격의 통로
이번 분석이 된 회사는 판도라와 바이퍼...‘해킹 불가능하다’는 광고도 해와

[보안뉴스 문가용 기자] 고급 자동차들에 탑재되어 있는 알람 장치에서 치명적인 취약점들이 발견됐다. 익스플로잇 될 경우 자동차에 대한 원격 해킹이 가능해지고, 자동차 주인 및 탑승자들을 추적하는 것과, 자동차를 작동 불능 상태로 만드는 것도 가능해진다고 한다.

[이미지 = iclickart]

이를 발견한 건 사이버 보안 및 침투 테스트 전문 펜테스트파트너즈(Pen Test Partners)로, 이 회사의 전문가들은 최근 판도라(Pandora)와 바이퍼(Viper)라는 업체들이 만든 스마트 알람 시스템들을 분석한 결과를 발표했다. 바이퍼는 클리포드(Clifford)라는 이름으로도 알려져 있는 회사다. 이 두 회사가 만든 시스템은 이미 수백만 대의 차량에 설치되어 있다. 이를 통해 자동차 소유주들은 차량의 위치를 추적하고, 원격에서 엔진을 시작하거나 끌 수 있고, 자동차 문을 잠그거나 열 수 있게 된다.

이 자동차 알람 시스템들은 굉장히 안전하다고 광고되고 있으며, 판도라는 심지어 해킹이 불가능하다는 표현까지 쓰고 있다. 펜테스트파트너즈는 판도라와 바이퍼가 고객들에게 제공하는 모바일 앱과, 실제로 차량에 설치해주는 알람 시스템들을 분석했다고 한다.

먼저 판도라와 바이퍼 모바일 앱들에서 사용되는 API를 분석한 결과, ‘불안전 직접 객체 참조(insecure direct object reference, IDOR)’ 취약점들이 존재하는 걸 알 수 있었다. 이런 종류의 취약점들은 익스플로잇이 쉽고, 다른 사용자의 계정에도 간단히 접근할 수 있게 해준다는 특징을 가지고 있다. 계정 접근의 경우 요청의 매개변수 값만 바꾸면 간단히 실행될 수 있다.

또 펜테스트파트너즈 측은 공격자가 API들을 익스플로잇 함으로써 악성 요청을 전송해 사용자의 모바일 앱 비밀번호를 변경할 수 있다는 것도 밝혀냈다(바이퍼 제품의 경우). 이를 통해 등록된 이메일 주소도 변경이 가능한데, 이는 즉 계정을 공격자가 완전히 장악하는 게 가능하다는 뜻이 된다.

공격자가 사용자의 계정에 접근하는 걸 성공시키고 나서는 다양한 악성 행위들을 할 수 있게 된다. 차량의 정보를 훔쳐가고, 값어치가 나가는 다른 공격 대상들을 찾아낼 수도 있게 된다. 또한 실시간으로 차량의 위치를 추적하는 것도 가능하게 된다. 연구원들은 공격자가 차량과 운전자를 추적하고, 차량이 움직이기 시작하면 알람을 울려 차를 멈추게 한 다음, 앱을 사용해 자동차가 움직이지 못하도록 해서 물리적인 납치가 가능하다는 공격 시나리오를 제시하기도 했다.

바이퍼와 판도라의 제품들 모두 차가 운행 중에 있을 때 운전자가 엔진을 끌 수 있게 해주고 있다. 이는 차량이 도난당한 걸 알게 되었을 때, 차주에게 매우 유용한 기능이 된다. 다만 이 기능이 해커의 손에 넘어갔을 때에는 차주에게 불리한 기능이 될 수 있다는 것이다. 한 가지 흥미로운 건, 펜테스트파트너즈가 엔진을 실제로 끄는 데 성공한 건 바이퍼 알람을 장착한 차량들뿐이었다.

판도라 알람에는 마이크로폰 기능이 있는데, 이는 긴급 상황 발생 시 통화를 할 수 있도록 만들어진 것이다. API의 취약점을 익스플로잇 하면 공격자가 마이크로폰에 접근해 사용자들에 대한 스파잉을 할 수 있게 된다.

가장 치명적인 건 두 회사의 알람 시스템 모두 CAN 메시지를 전송할 수 있다는 것이다. CAN 메시지는 자동차 내 설치된 다른 주요 장치들에 명령을 보낼 수 있도록 설계된 것으로, 이를 조작할 수 있게 되면 자동차의 다른 기능에도 악영향을 줄 수 있다. CAN 버스 표준은 굉장히 중요한 차량 기능에 대한 접근을 가능하게 하고, 이를 통해 악성 메시지를 보낼 수 있게 된다면 심각한 결과가 초래될 수 있다. 그래서 펜테스트파트너즈 연구원들은 API를 통한 공격을 통해 파괴적인 공격을 할 수 있다고 보고 있지만, 이 부분에 대한 연구가 다 끝난 건 아니다.

이러한 사실을 연구원들은 바이퍼와 판도라 측에 알렸다. 두 회사는 다행히 취약점들을 빠르게 패치했다. 또한 판도라는 광고물에서 ‘해킹이 불가능하다’는 표현을 빼버렸다. “이 알람들은 고가의 장비로, 고가의 차량에 장착됩니다. 열쇠 없이 시동이 걸리는 식의 스마트 차량들에 보통 탑재되어 있죠. 이 취약점에 영향을 받은 차량의 총 가치를 대략 계산해보면 1500억 달러 정도 될 것으로 보입니다.”

펜테스트파트너즈는 이 발견과 관련된 기술 세부 사항을 자사 블로그에 올렸다. 블로그에는 해킹을 시연하는 영상도 올라와 있다.

3줄 요약
1. 고가의 차량에 탑재된 알람 시스템에서 치명적인 취약점 발견됨.
2. 취약점들을 익스플로잇 할 경우, 원격에서 차량을 추적하고, 알람을 임의로 울리게 만들고, 자동차가 움직이지 못하도록 하며, 문도 잠그고 열 수 있게 됨.
3. 분석 대상이 된 제품의 제조사들은 재빨리 패치를 발표하고, 과대 광고 문구를 삭제함.
[국제부 문가용 기자(globoan@boannews.com)]

3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
	인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
	접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
	영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
	영상정보처리기기 및 안전조치 기준
	개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
	국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
	손해배상책임 의무대상자 변경 및 확대
	공공기관 개인정보 보호수준 평가 확대
	기타(댓글로)