'커넥티드 카' 해킹 어디까지 왔나
상태바
'커넥티드 카' 해킹 어디까지 왔나
  • 지윤성 팩트체커
  • 승인 2017.08.17 00:53
  • 댓글 0
이 기사를 공유합니다

모든 것이 연결된 세상, 치명적인 자동차 해킹

“난 오늘 아내로부터 이혼 통고를 받았다.

마누라가 나의  자동차 계정으로, 내 차의 운행일지를 포함해 이번 주 미국출장이라고 거짓말하고 몰래 직장 여자 동료랑 부산 해운대 갔던 위치정보까지 통째로 확인 했기 때문이다. 

이게 다 내 차에 설치된 그 놈의 블루링크(현대자동차의 스마트카 시스템) 때문이라는 후회는 마누라가 내 계정을 통하여 내 차량을 도난차량으로 등록하고 시동도 걸리지 않게 한 걸 알고 경악하기까지 오래 걸리지 않았다”

지어낸 이 이야기가 먼 미래의 일이 아님을 이미 우리는 알고 있다.

 

2017년 4월 현대자동차의 차량제어 애플리케이션 블루링크(BlueLink)가 해킹될 수 있다는 언론보도가 나왔다. 보안분야 나스닥 상장사인 Rapid7은 블루링크의 보안 취약점으로 해커가 차량을 제어할 수 있다고 발표를 했다. 현대차는 부랴부랴 해당 문제를 해결한 보안 패치를 발표했다.  블루링크 앱은 개인정보를 현대차에 전송하는데 해커는 이 과정에서 사용자 이름과 암호, 개인식별번호(PIN)를 추출할 수 있다. 원격으로 현대차를 잠금해제한 다음 시동을 걸 수 있는 치명적인 문제점이 노출된 것이다. 

다음 동영상을 보자.
  

중국의 인터넷 기업인 텐센트 (Tencent)의 킨 보안 연구소(Keen Security Labs) 해커팀은 지난해 테슬라 모델 S를 12마일(약 19km) 떨어진 곳에서 해킹하여 차량 통제권을 완전히 탈취한 사례를 시연해 보였다. 테슬라 역시 해당 문제를 해결한 펌웨어 업데이트를 실시했지만 다른 보안상 취약점이 우려가 되고 있는 상황이다.

자동차는 이미 전자기기로 받아들여지고 있다. 올해 라스베이거스에서 열린 소비자가전전시회(Consumer Electronics ShowㆍCES)에서 가장 넓은 공간을 이용한 업체는 전통의 가전업체가 아니고 자동차 업체들이었다. 

2017년 CES에서 발표된 현대의 아이오닉 자율주행차

CES에 자동차 메이커들이 등장하기 시작한 것은 몇 년 되지 않지만 그 규모는 계속 확대되고 있다. 왜 자동차 회사들이 소비자 가전쇼에 비싼 돈을 내고 참여하고 있는지는 최근 자동차 산업의 발전 방향을 고려하면 알 수 있다. 자동차 전문 미디어인 Auto Express가 지적한 것처럼 자동차와 정보기술(IT)의 융복합화가 업계의 가장 중요한 화두이기 때문이다.

자동차 부분별 IT기술 사용 현황

서울대학교 최믿음, 김성우 공저의 “자동차 통신기술의 현황과 전망” 에서는 2014년 이미 자동차 원가의 50%이상이 바로 이러한 IT 기술 융합 활용이라고 밝히고 있다. 세계적 자동차 부품 회사인 콘티넨탈의 헬무트 사장은 "자동차 전장(電裝)의 핵심은 연결(Connected)과 정보(Information)”라고 말한 바 있다. 최근 업계의 주요 이슈는 커넥티드 자동차와 자율주행 자동차다. 자동차는 '바퀴 달린 스마트폰'으로 진화하고 있다는 것이다.

문제는 정보기술의 광범위한 적용은 동시에 해킹과 프라이버시 침해 같은 문제를 수반한다는 점이다. 인터넷에 연결이 되는 순간 네트워크를 이용한 해킹 가능성은 피할 수 없다.

 

'제조에서 서비스로' 산업 패러다임 변화

세계적 컨설팅 회사 PwC의 보고서는 최근 자동차 산업의 급변하는 환경과 미래를 잘 보여주고 있다. 보고서는 IT와 자동차 융합의 결과물인 커넥티드 자동차, 자율주행 자동차 산업에 대하여 몇가지 중요한 시사점을 보여주고 있다.

보고서에서 인용한 주요 키워드를 살펴보자. 
커넥티드 자동차(Connected Car)는 인터넷과 다양한 센서에 액세스할 수 있으며 동시에 신호와 정보를 주고 받을 수 있으며 주변의 물리적 환경을 감지하고 다른 차량이나 사물과 상호 작용할 수 있다. 2025년에는 새로 생산되는 모든 차량이 인터넷에 접속가능할 것으로 전망되고 있다.

자율주행 자동차(Autonomous Car)는 자동 주행 차량 또는 로봇 자동차라고도 불린다. 사람이 운전하지 않고 스스로 작동하는 차량으로 운송 비용을 줄이고 편리성과 안전성을 향상시킨다. 1980년대 미국 드라마 '전격 Z작전'(원제 Knight Rider)의 키트와 같은 인공지능차량을 당장 기대하기는 힘들어도 드라마에서 선보인 자율주행은 이미 현실이 된 상태다. 2035년까지는 4대 중 3대는 자율주행이 가능하게 될 것이란 전망도 나오고 있다. 

출처:볼보 홈페이지

 

자동차ㆍIT 융합으로 인해 현재 시장에서 나타나는 상황은 다음과 같다.

1. 기술혁신은 저렴한 가격으로 첨단 기술과 자동차를 결합할 수 있는 계기를 제공한다. 클라우드의 데이터를 거의 실시간으로 스트리밍할 수 있는 5세대 무선 기술을 기반으로 한 높은 데이터 송수신 품질과 인공 지능을 통제하고 운전 차량을 조종하는데 필요한 컴퓨팅 속도의 비약적인 증가, 그리고 주변 환경을 인식하기 위해 필수인 센서의 가격 하락이 이러한 추세를 가속시키고 있다.

2. 자동차 산업의 가치가 제조에서 IT 서비스 기반으로 이동하고 있다. 아래 도표에서처럼 전세계 자동차 산업 이익에서 차량 판매가 차지하는 비율은 2015년 41%에서 2030년 29%로 감소할 전망이다.  나머지는 대부분 차량 관련 서비스들이 차지할 것으로 보고 있다. 업체들은 커넥티드 자동차 서비스로 수익 창출이 가능한 포괄적인 서비스 생태계 구축에 사활을 걸고 있다. 과거 피처폰에서 스마트폰으로 넘어오면서 애플이나 구글의 안드로이드가 플랫폼과 앱스토어를 통해 어떻게 시장을 장악하고 수익을 올리고 있는지를 이해한다면 충분히 공감이 가는 내용이다.  휴대전화 제조사는 전 세계적으로 셀 수 없이 많으나 가장 수익율이 높은 기업은 운영체제(OS)를 제공하는 애플과 구글이다. 커넥티드 차량 시장 주도권을 특정 플랫폼에 빼앗기는 상황을 기존 완성차 업체들이 가장 두려워하고 있는 것이다. 

3. 자동차 산업에서 보안은 가장 민감한 '안전 벨트'가 되고 있다. 자동차가 인터넷에 연결되고 각종 클라우드 서비스들과 연동되면서 자동차와 클라우드간에 이동되는 개인 데이터의 양이 점점 증가하고 있다. 해커들이 도전해 볼만한 새로운 먹잇감이 늘어나고 있는 것이다.
문제는 이러한 행위가 단순히 정보를 훔치거나 카드정보를 알아 내는 수준이 아니라 운전자와 동승자 그리고 다른 차량 탑승자의 생명까지도 위험에 처할 수 있게 만드는 치명적인 결과로 귀결될 수 있다는 것이다. 특히 커넥티드 차에 서비스를 제공하고 있는 IT회사의 시스템에 침입하여 동시에 수많은 차량에 피해를 줄 수도 있는 문제들이 발생할 것으로 예측된다.

 

연결할 수 있으면 침투할 수 있다.” 

인터넷이 연결되어 있다면 어떤 네트워크든 뚫을 수 있다는 것이 해커들의 믿음이다. 위 동영상은 고속도로를 달리는 지프(Jeep) 차량을 해킹하여 멈출 수 있음을 보여주고 있다. 실험 대상이 된 차량에는 ‘유커넥트’라는 시스템이 탑재되어 있는데, 원격제어로 영상과 음악 그리고 내비게이션 등 차량의 각종 기능을 통제할 수 있다. 이 시스템이 탑재된 차량은 이동통신 네트워크를 통해 인터넷에 연결되어 있는 커넥티드 자동차이다.

특정 차량의 IP 주소만 확인되면 해커들은 어디에서나 원격으로 자동차를 조종할 수 있다고 한다. 결국 이 차종 뿐만이 아니고 ‘유커넥트’ 시스템을 탑재하고 있는 모든 차량이 해킹 대상이 될 수 있는 것이다. 2007년 해커가 네트워크를 통해 지프의 디지털 시스템을 원격으로 가로챌 수 있음이 알려진 뒤 크라이슬러는 140만대의 차량 리콜을 발표한 적이 있다.

실제로 미국에서는 이미 2010년에 차량 해킹으로 실형이 선고된 사례가 있었다.

미국 텍사스주 오스틴의 한 자동차딜러가 고객들의 차량 이모빌라이저 시스템과 자사 온라인 시스템을 무선인터넷으로 연결했다. 차량을 할부로 사간 고객이 장기 연체를 하거나 채무불이행을 할 경우 원격으로 시동이 걸리지 않게 하고 경적이 울리는 시스템을 고객 동의 하에 설치한 것이다. 그런데 회사에 불만을 품은 20살 직원 오마르 라모스 로페즈(Omar Ramos-Lopezㆍ오른쪽 사진)는 회사의 온라인 시스템을 해킹하여 고의로 약 100여대의 차량을 시동이 걸리지 않게 하거나 경적을 울리게 했다. 

회사는 즉각 시스템을 원상태로 돌려 놓아 피해를 최소화했지만 만약 긴급 차량이 운행 정지됐다면 인명 손실을 가져올 수도 있었던 사건이었다. 한 사람의 자동차 해킹이 다수의 이용자에게 동시에 피해를 준 흔치 않은 사례였다. 만약 차량 전체 연결된 시스템을 해킹했다면 그 피해는 국가적인 재앙 수준이 될 수 있는 것이다.

차량 내외부 네트워크망과 해킹 난이도 그리고 위협수준 : 인터넷망이 항상 취약하면서 해킹하기 쉽다.

 

캘리포니아 대학교 스티븐 체코웨이(Stephen Checkoway)의 '자동차 공격에 대한 포괄적이고 실험적인 분석' 논문에 따르면 자동차 해킹은 다음 두 가지로 나뉜다. 하나는 기술적 해킹(Technical Hacking), 다른 하나는 조작적 해킹(Operational Hacking)이다. 기술적 해킹은 자동차 내부의 다양한 전기적 입출력 신호 혹은 자동차와 인터넷 연결과 같은 외부 네트워크 간의 다양한 통신 신호(프로토콜)를 가로채거나 왜곡 및 해석할 수 있는 장비 및 기술을 말한다. 조작적 해킹은 악의적 신호를 자동차 내ㆍ외부 통신 사이에 집어넣어 오류를 일으키는 행위를 지칭한다.

전통적 방식의 자동차 절도에 빗대어 설명한다면 자동차 문을 따거나 차량내 오디오를 쉽고 빠르게 탈거할 수 있는 장비나 기술이 기술적 해킹이라면, 연료 주입구에 차주 몰래 이물질을 집어 넣어 차량운행이 불가능하게 만드는 행위를 조작적 해킹이라고 할 수 있다. 

앞에서 사례로 든 2010년 텍사스 오스틴의 경우 로페즈는 자사 시스템을 특정 기술로 해킹(기술적 해킹)함과 동시에 정상적인 통신시스템을 통해 고객들의 차량에 악의적인 신호(조작적 해킹)를 보냈다. 두가지 모두 보안분야의 중요한 이슈다. 

구글의 자율주행 자동차 시험 차량

 

자율주행 자동차 해킹에 안심 못해

자율주행 자동차도 해킹은 중요한 이슈다. 무선 인터넷을 통한 클라우드 시스템(지도나 교통흐름정보 등을 서비스하는 서버 시스템)과의 연결이 필수적이기 때문이다. 대표적으로 구글은 자율주행 자동차의 다양한 운행정보를 자사의 구글 맵과 같은 기존 인터넷 서비스 인프라와 연동하여 개발하고 있다. 정상적인 인터넷 신호를 가로챈다면 제 3자가 원하는 위치로 무인운전차량을 강제로 유도할 수 있는 위험성이 있다. 이 경우 해킹은 인터넷을 통한 PC나 스마트폰 해킹과 같은 인터넷 통신의 기술적인 취약점을 이용할 가능성이 높다.

더불어 개인 자율주행 자동차의 운행정보가 원하지 않는 제 3자에게 노출되어 악의적으로 활용되는 개인 프라이버시 문제는 차와는 관계 없이 기존 클라우드 서비스 서버만 해킹함으로서도 이루어질 수 있다. 결국 자동차 해킹이나 기존 인터넷 해킹은 기술적으로나 법적으로 동일 관점으로 논의될 수 있는 사항이다.

 

자동차 해킹 방지를 위한 업계와 학계의 노력 필요

해외에서는 2008년부터 함부르크에서 자동차보안기술을 다루는 학회인 ESCAR(Embedded Security in Cars)를 통해 매년 자동차와 인터넷 연결로 인한 위험성과 자동차 보안 문제가 논의되고 있다. 구체적으로 개인 프라이버시 침해, 자동차로 전송되어지는 콘텐츠의 디지털 권리 관리(Digital Right ManagementㆍDRM), 사고기록장치(Event Data RecoderㆍEDR)와 같은 차량 운행 기록, GPS 활용 등이 논의되고 있으며 세계 유수 자동차 회사들이 참여하고 있다.

자동차 보안 문제의 근원적인 이유는 차량 내부 네트워크가 인터넷과 같은 외부 네트워크와 연결되기 때문이다. 이런 관점으로 본다면 차량의 해킹문제는 우리가 네트워크상에서 활용하는 인터넷에 연결된 PC, 무선 인터넷이 연결된 스마트폰 보안 문제와 직접적으로 연결되어있다. 통신 네트워크 보안 문제, 콘텐츠 보안 문제 그리고 개인용 단말기에 저장되어 있는 개인정보 유출 방지 문제와 기술적으로는 다르지 않다는 의미다.

 

PwC의 보고서는 아래의 대책을 강조하고 있다.

1) 보안 소프트웨어 통합: 차량용 보안 소프트웨어를 만드는 것은 사후 약방문에 지나지 않는다. 이제 자동차 회사들이 자동차 제조 단계에서부터 차량용 소프트웨어 자체의 무결성을 확보하고 보안 소프트웨어를 통합해야 한다.

2) 원격 업데이트: 자동차 소프트웨어가 인터넷을 통해 원격으로 업데이트될 수 있다면 프로세스가 상당히 간소화 될 수 있다. 보안 침해 가능성이 발견되면 수시로 업데이트 해서 안전한 상태로 만들면 된다. 많은 기업들이 이 목표를 달성하기 위해 노력하고 있지만 현재까지는 테슬라를 포함한 소수의 기업만이 원격 업데이트를 지원하고 있다.

3) 실시간 모니터링 및 분석: 차량용 소프트웨어 및 서비스 제공사는 방화벽에 집중하는 대신 인공지능과 빅데이터 분석, 클라우드 인프라를 활용하여 원격으로 차량의 이동을 모니터링하여 의심스러운 패턴의 항목을 실시간으로 분석하고 격리할 수 있어야 한다.

4) 보안 기술 표준화: 자동차 해킹의 문제는 법적인 제도적인 정비 이전에 안전한 통신과 운용을 보장하는 보안 기술의 개발과 업계간 표준화를 위한 국제적인 노력이 선행되어져야 한다.

5) IT 최고경영자 영입: 소프트웨어의 개발주기는 아주 짧다. 그에 반하여 자동차 차량의 개발주기는 상대적으로 길다. 매우 다른 두 조직이 운영되는 문화는 불일치를 악화시킨다. 결국 자동차 회사에도 IT에 능숙한 최고 경영진이 필요한 시점이다.

이제 전기자동차의 상용화 까지 목전에 두고 있다. 차량은 스마트폰처럼 가전이 될 것이고 인공지능화와 함께 모든 것이 인터넷과 연결될 것이다. 늘 그렇듯 해커들은 또 다른 기술들을 가지고 공격할 것이다. 이제 PC나 스마트폰을 넘어 내 자동차에 감염된 바이러스 까지 걱정 할 때가 도래했다. 참으로 피곤한 세상이다.

지윤성   saxoji@newstof.com    최근글보기
드론/자동차/카메라 등 대한민국 남자라면 좋아할 아이템들에 관심이 많은, 게임-소프트웨어-클라우드 서비스 관련 회사의 창업자 및 임원을 지내며 정보격차 없는 낭만적인 IT 세상을 꿈꾸고 있습니다.


댓글삭제
삭제한 댓글은 다시 복구할 수 없습니다.
그래도 삭제하시겠습니까?
댓글 0
댓글쓰기
계정을 선택하시면 로그인·계정인증을 통해
댓글을 남기실 수 있습니다.
주요기사