제조사 실수로 벤츠 스마트카 부품 소스코드 유출

구글 검색에 깃랩 서버 노출…외부인 접근 차단책도 부재

컴퓨팅입력 :2020/05/20 07:29

메르세데스-벤츠에 탑재되는 스마트카 부품의 소스코드가 외부에 유출된 것으로 나타났다.

미국지디넷에 따르면 스위스 출신 소프트웨어 엔지니어 틸 코트만은 메르세데스-벤츠 차량을 생산하는 독일 기업 다임러 AG가 운영하는 깃웹 포털에서 해당 소스코드가 포함된 깃 저장소를 최근 발견했다.

코트만은 이 포털에 가입한 뒤, 메르세데스-벤츠에 설치되는 '온보드 로직 유닛(OLU)'의 소스코드를 포함하는 깃 저장소 580개 이상을 내려받을 수 있었다고 밝혔다.

다임러 AG는 자사 웹사이트에서 OLU는 자동차와 클라우드를 연결해주는 요소로, 서드파티 개발자들이 메르세데스-벤츠 차량용 앱을 개발할 수 있게 해준다고 설명했다. 이동 중인 차량 추적, 차량의 내부 상태 확인, 도난된 차량 잠금 등의 기능을 제공하는 앱들이 OLU를 이용해 개발됐다.

출처=다임러 AG

코트만은 구글 검색이라는 간단한 방식으로 다임러 AG의 깃랩 서버를 발견했다. 깃랩은 기업이 깃 저장소에 존재하는 작업물을 중앙화하기 위해 사용하는 웹 기반 소프트웨어 패키지다. 깃은 소스코드의 변화를 추적하는 데 특화된 소프트웨어로, 다수의 엔지니어가 코드를 작성한 뒤 중앙 서버와 동기화할 수 있게 해준다. 이번 경우에는 다임러 AG의 웹 포털이 중앙 서버인 셈이다.

코트만은 다임러 AG가 계정 확인 절차를 구현하지 않았기 때문에, 회사 메일을 사용하지 않고도 다임러 AG 전용 깃랩 서버에 접근할 수 있었다고 미국지디넷에 답했다.

코트만은 자신의 텔레그램 채널과 깃랩 서버에 획득한 다임러 AG 데이터를 올렸다. 미국지디넷이 데이터들을 분석한 결과 OLU의 소스코드와 원격 OLU 관리를 위한 다임러AG의 내부 구성요소, 라즈베리파이 이미지, 서버 이미지, 내부 문서, 코드 샘플 등이 포함돼 있었다.

관련기사

다임러AG 깃랩 서버에서 획득한 데이터를 올린 코트만의 텔레그램 채널(출처=미국지디넷)

위협 인텔리전스 기업 언더더브리치는 이번에 유출된 데이터들을 검토하는 과정에서 다임러AG의 내부 시스템에 쓰이는 API 토큰과 패스워드를 발견했다. 이 데이터들의 경우 다임러AG 클라우드와 내부망 침투를 준비하는 데 악용될 수 있다는 분석도 내놨다.

다임러 AG는 코트만이 데이터를 내려받은 깃랩 서버를 닫았다. 미국지디넷의 논평 요청에는 응답하지 않았다.