자동차 해킹 진화…스마트폰 공격 위협

웨이 얀 박사 인터뷰

일반입력 :2014/11/09 08:30    수정: 2014/11/10 07:53

손경호 기자

'자동차 엔진을 멈추게하고, 운전자 없이도 닫힌 차문과 트렁크가 열린다. 액셀을 밟지도 않았는데 계기판에는 시속 100km로 표시된다.'

자동차에 IT기술이 많이 스며들면서 해킹 기술 역시 진화하고 있다. 최근 연구를 통해 발견된 것은 자동차 점검을 위해 사용되는 'OBD2(On Board Diagnostic 2)'를 사용하는 방법이다.

7일 서울 양재동 더케이호텔에서 개최된 국제해킹컨퍼런스 'POC2014'에서 발표를 맡은 웨이 얀 박사는 도요타 캠리는 물론, 현대기아차가 제조한 소나타를 대상으로 모의해킹을 시연한 영상을 공개했다. 그는 실리콘밸리 보안 스타트업인 비주얼쓰렛 창업자로 이전에는 맥아피, 트렌드마이크로, 시만텍이 공동 설립한 조인트벤처회사에 근무하기도 했다.OBD2는 자동차에 탑재된 여러가지 전자장치(ECU)를 모니터링한다. 운전자나 카센터 수리기사가 블루투스 연결이 가능한 OBD2 동글을 자동차 내 OBD포트에 장착한 뒤 관련 스마트폰 애플리케이션(앱)을 설치한 스마트폰으로 블루투스 연결하면 OBD2가 분석한 자동차에 대한 여러 정보들을 볼 수 있다.

웨이 얀 박사는 이러한 통신 채널을 이용해 외부에서도 다른 스마트폰으로 공격 대상 자동차 내에 부착된 OBD2 동글에 접속해 ECU를 마음대로 조작할 수 있다고 설명했다. 자동차에 사용되는 통신프로토콜인 'CAN(Controller Area Network)'에 명령을 내려 공격을 수행할 수 있다는 것이다.

그는 커넥티드카(스마트카)의 경우 80개 이상 ECU를 활용하고 있으며, 하루 평균 1기가바이바이트 이상 데이터를 송수신한다며 외부 통신과 연결이 가능하다는 점(connected)은 그만큼 보안에 취약하다(vulnerability)는 뜻이라고 밝혔다.문제는 OBD2 동글에 어떤 보안기능도 탑재돼 있지 않다는 점이다. 함께 제공되는 앱 역시 쉽게 조작이 가능할만큼 보안에 취약한 것으로 나타났다.

웨이 얀 박사는 이 중에서도 카쉐어링 회사들이 보안에 취약할 가능성이 높다고 밝혔다. 그는 실제로 중국 유명 카쉐어링 회사의 앱에서 사용자들의 사진, 신용카드 정보, 사회보장번호 등을 빼갈 수 있다고 밝혔다. 국내서 서비스되고 있는 그린카, 소카, 시티카 등 역시 마찬가지일 것으로 본다고 덧붙였다.

이러한 공격을 막아낼 수 있는 방법은 뭘까. 그는 자동차와 충분히 대화할 수 있어야 한다고 강조했다. 자동차를 구동하는데 사용되는 ECU는 보안에서 일반적으로 사용되는 암호화 기술을 적용하기는 어렵다. 일반 PC, 스마트폰 등에 비해 메모리나 연산능력이 제한되기 때문이다. 또한 안전상 이유로 ECU는 오류가 발생하지 않도록 단순한 프로세스를 가져야 한다.

관련기사

결국 자동차도 실시간으로 이상행위를 탐지하고 대응할 수 있도록 충분히 정보를 공유하고 대응할 수 있도록 해야한다.

이를 위해 웨이 얀 박사는 화이트리스트 형태로 예를 들어 카센터에서 정지된 자동차들에게는 OBD를 통한 통신을 허용하지만 도로 주행 중인 상황에서는 구동하지 못하도록 차단하는 등 방법이 적용될 필요가 있다고 설명했다. 이밖에도 차주가 주차한 뒤 다른 곳에 있는 상황에서 갑자기 문이 열리면 스마트폰으로 알람을 줘서 문제에 조치를 취할 수 있게 하는 등 시스템도 필요하다.