모든 기기는 언제든지 해킹된다
스마트폰, 스마트TV, 자동차, 세탁기, 냉장고 등 네트워크로 연결된 기기들이 해킹 대상이 되고 있는 시점에서 직접 NFC, 자동차 해킹을 직접 시연했던 인물이 한국을 찾았다. 2007년 아이폰 전문 해커로 유명했던 찰리 밀러가 주인공이다.
그는 5일 국내서 열린 차세대 보안리더 양성프로그램(BoB) 특강에 참석해 모든 기기는 언제든 해킹될 수 있는 만큼, 대비책을 마련해야 한다는 점을 분명히 했다.
이날 특강에서 그는 스마트폰에 적용된 근거리무선통신(NFC)칩을 활용한 해킹, 지난해 발표한 자동차 해킹에 대한 상세한 내용을 다뤘다.
2012년에 발견해 낸 NFC해킹에 대해 먼저 얘기를 풀어냈다. NFC는 10cm 이내 가까운 거리에서 기기들 간에 정보를 송수신할 수 있는 기술이다. 삼성전자 갤럭시S 시리즈 등 안드로이드 운영체제(OS)로 구동하는 대부분 최신 스마트폰들은 NFC 기능을 탑재하고 있다.
NFC는 버스나 지하철에서 교통카드를 찍는 것과 같은 '패시브 모드', NFC 탑재 단말기들 간에 정보를 교환할 수 있는 '액티브 모드(P2P)' 기능을 가졌다.
밀러에 따르면 별도로 조작한 NFC 탑재 스마트폰을 활용하면 NFC 기능을 활성화한 다른 사용자의 스마트폰으로부터 사진, 동영상, 문서 파일, 연락처, 방문한 페이지 목록 등을 훔쳐보는 일이 가능하다.
조작한 NFC 스마트폰으로 다른 사용자 스마트폰에 몰래 갖다 대기만 하면 되는 것이다. 지하철 같은 곳은 NFC 해킹이 손쉬운 장소다. 밀러는 여러 사람들이 가까이 모여있는 곳에서 실수인 것처럼 속여 다른 사람의 스마트폰에 조작된 스마트폰을 갖다 대는 것만으로 해킹이 가능하다고 말했다.
밀러는 지난해 블랙햇과 함께 글로벌 해킹 컨퍼런스의 또다른 축을 이루고 있는 데프콘21에 참석해 크로스토퍼 발라섹, 조즈(Zoz)라는 보안전문가들과 10개월 동안 연구한 자동차 해킹법과 관련 소스코드를 공개하기도 했다.
한국에서 개최된 특강 자리에서는 도요타 프리우스, 포드 이스케이프를 대상으로 한 해킹에 대해 보다 상세한 내역을 소개했다.
그가 공개한 영상자료에서는 노트북 조작만으로 자동차가 급발진하거나 경적을 울리게 하거나 운전대를 마음대로 조종할 수 있게 하는 모습이 담겨 있다.
밀러에 따르면 이러한 해킹이 가능한 것은 자동차가 사용하는 고유 네트워크인 '컨트롤러 영역 네트워크(CAN)'를 통해 자동차에 탑재된 각종 전자제어장치(ECU)를 조작하는 방법을 썼기 때문이다.
그는 CAN의 경우 자동차 보안에 대한 개념이 없었던 수십년 전에 고안된 기술이어서 기존 네트워크에 사용되는 일반적인 권한관리, 인증, 암호화 등에 대한 지원이 없다고 설명했다.
밀러에 따르면 네트워크로 연결되는 모든 기기는 해킹이 가능하다. 그는 이를 통해 뭔가 이득을 얻으려는 범죄자들은 닥치는대로 해킹을 시도할 것이라고 경고했다.
그는 해킹을 통해 여러 기기의 취약점을 연구하고 개발하는 해커다. 앞으로 심화될 해킹 위협에 대해 그는 여러 보안 제품을 만들고 취약점에 대한 연구개발 및 커뮤니케이션을 통해 대응책을 마련해 나갈 필요가 있다고 말했다.
밀러는 최근 문제가 되고 있는 미국 국가안보국(NSA) 산하 특수접근작전실(TAO)에서도 근무한 바 있다. 그는 NSA문건 폭로자인 에드워드 스노든과는 알지 못하며 2005년에 일을 그만뒀기 때문에 이후 상황에 대해서는 알지 못한다고 말했다.
그는 약 7년 동안 해커이자 보안컨설턴트로 활동해 왔다. 지금은 트위터에서 보안 담당자로 뛰고 있다. 트위터에 입사한 이유에 대해서는 애플에서도 요청이 왔었지만 트위터가 훨씬 임팩트 있을 것 같았기 때문이라고 말했다.
관련기사
- 안드로이드 자동차동맹 앞길 막는 변수2014.02.06
- 애플 iOS7, 아이폰 탈옥 어려워지나2014.02.06
- 영역 없는 해킹, 자동차서 의료기기까지2014.02.06
- 자동차 내맘대로 조종, 해킹용 코드 공개2014.02.06
밀러는 지난 2007년 7월 미국에서 개최된 해킹 컨퍼런스 블랙햇에 참가해 아이폰 관리자 권한을 획득, 원격에서 이메일을 보내고, 웹을 검색하는 방법을 공개했다.
6개월 뒤에 열린 보안컨퍼런스 캔섹웨스트 해킹 방어대회 '피우니움(Pwn2Own)'에서는 애플이 출시를 발표한 지 2분밖에 되지 않았던 때에 맥북에어를 해킹하는데 성공해 화제가 되기도 했다.