번호판 하나로 해킹 가능.. 기아, 처참한 보안 수준에 차주들 ‘경악’

313

기아 보이즈 시즌 2?
기아차 또 털릴 뻔했다
번호판으로 차량 해킹해

사진 출처 = 유튜브 채널 ‘FOX 61’

미국에서 현대자동차그룹의 차량을 전문적으로 훔치는 범죄 행위를 하는 10대 청소년들을 우리는 ‘기아 보이즈’라고 부른다. 그들의 절도 행위는 미국의 여러 도시와 한 나라의 대기업이 골머리를 앓게 만든 악질적 장난이었다. 사건의 심각성을 깨달은 현대자동차 측은 도난 방지 소프트웨어 업그레이드를 통해 64%의 도난 빈도 감소 효과를 보았다.

그러나 더 이상 이 절도 행위는 혈기 왕성한 10대 청소년들의 장난이 아니게 되었다. 미국에서 차량 번호판만을 이용해 기아차 수백만 대를 직접 시동을 걸 수 있으며, 마음대로 움직일 수 있었던 것으로 밝혀져 큰 파장을 일으키고 있다. 또한 현대자동차 그룹이 다시 한번 절도가 쉬운 차량으로 낙인찍히게 돼 체면을 구기게 되었다.

사진 출처 = 유튜브 채널 ‘Crash-Test-Channel’
위치 추적이 가능해진 기아 차량 / 사진 출처 = ‘wired’

미국 보안 회사가 발견
집 주소까지 알아낸다

번호판만으로 기아 차량을 해킹할 수 있다는 것을 알아낸 건 현대자동차 그룹이 아니었다. 미국의 한 보안 회사인 멀웨어바이트의 연구자들이 발견한 것이었다. 그들은 악의적인 마음만 있으면 누구나 해킹할 수 있는 취약점을 발견하고 이를 토대로 차량 해킹 장치를 개발해 냈다. 그 후 즉시 현대자동차 그룹에 이 문제를 알렸다.

번호판의 정보를 입력해 차량을 해킹하면, 차량을 마음대로 잠그거나 잠금을 해제할 수 있으며, 시동을 걸거나 주행 중 시동을 끌 수도 있었다. 또한 차량의 위치를 추적할 수도 있었으며, 심지어는 차량 주인의 이름, 전화번호, 이메일 주소, 집 주소 등의 고객 개인 정보까지 접근할 수 있었다. 360도 카메라가 설치된 기아 차량의 경우엔 카메라에도 접근해 영상이나 사진을 찍을 수 있었다.

사진 출처 = ‘wired’
포르쉐 타이칸 / 사진 출처 = ‘Reddit’

딜러로 속이고 정보 접근
다른 제조사들도 위험해

연구팀의 의하면 그들이 만든 웹사이트에서 딜러 등록 후 인증을 하면 이 웹사이트를 통해 기아 딜러 포털에 엑세스할 수 있으며, 기아 딜러 포털에서는 고객 정보에 접근, 대상 차량의 ‘주요 계정 소유자’가 될 수 있었던 것이었다. 그 다음 유출된 개인정보를 통해 차량 식별 번호 (VIN)을 알아내면 차주의 접근 권한을 수정해 차량을 조종할 수 있게 된 것이다.

이는 단순히 차량 도난의 문제가 아니라 원격으로 차량을 멈추게 하거나 주행하게 해 사고를 유발할 수 있는 심각한 문제였다. 이 취약점은 기아만의 문제는 아니다. 2022년부터 연구진은 페라리, BMW, 롤스로이스, 포르쉐 등 15개 이상의 제조사 시스템에서 유사한 취약점을 발견하곤 했다. 전문가들은 이런 해킹 취약점은 보완은 한다고 해도 계속해서 발생할 것이라고 말한다.

기아 EV6 / 사진 출처 = ‘Reddit’
사진 출처 = ‘Turners’

다행히 피해 없이 복구
다시 붉어진 기아의 오명

해킹 피해를 볼 수 있는 기아 차량에는 셀토스, 쏘렌토, 스포티지, 텔루라이드, K5, EV6, EV9 등 사실상 모든 기아 차량이 해당하는 것으로 전해졌다. 다행히도 이 취약점은 윤리적 해커에 의해 발견되었고, 곧바로 기아 측에 전달되어 8월에 보완을 마친 것으로 밝혀졌다. 현재 연구팀은 보완을 실시한 시스템을 다시 공격해 봤지만 기존 공격으로는 더 이상 해킹할 수 없음을 확인했다.

다행히 피해를 본 사례는 보고된 바가 없지만, 지난 7월 보완 업데이트를 통해 기아 도난 차량 피해를 줄였던 현대 자동차 그룹은 또다시 보완 문제가 불거져 훔치기 쉬운 차량이라는 오명을 벗기는 힘들어질 것으로 예상된다. 다른 제조사들도 해당 취약점이 존재하지만, 기아의 경우 이번이 처음이 아니기 때문이다. 또한 해당 해킹이 언제든 다시 가능해질 수 있기에 현대 자동차 그룹은 적절한 대비를 해야 할 것이다.

자동차와 관련된 흥미로운 이슈들
제보를 원한다면? 카카오톡 ☞ jebobox1@gmail.com

+1
0
+1
0
+1
1
+1
0
+1
0