일본 도쿄에 모인 해커들이 일제히 달려들어 전기 자동차를 분해하기 시작했다. 그러자 숨겨져 있던 제로데이들이 마구 튀어나오기 시작했다.

[보안뉴스=네이트 넬슨 IT 칼럼니스트] 일본 도쿄에서 2024년 폰투온(Pwn2Own) 대회가 개최되고 불과 이틀 만에 참가자들은 여러 전기 자동차들과 충전 시스템, OS를 침해하는 데 성공했고, 수십 개의 제로데이 취약점을 발굴하는 데 성공했다.


지난 해 밴쿠버에서 열린 폰투온 대회에서부터 전기 자동차가 모의 해킹 실험의 대상이 됐다. 당시 테슬라가 처음 자사 자동차들을 해커들에게 제공하기도 했었다. 하지만 어디까지나 여러 가지 실험 대상의 일부였을 뿐 자동차가 ‘메인 이벤트’인 것은 아니었다. 올해는 ‘자동차 해킹 대회’라고 해도 무방할 정도로 본격적으로 전기 자동차에 대한 해킹이 주를 이뤘다. 성과도 좋았다. 첫 날에만 24개의 제로데이가 발견돼 해커들은 총 72만 2500 달러의 상금을 획득했다. 이틀 째에도 20개의 제로데이가 발견됐다.

트렌드마이크로(Trend Micro)의 제로데이이니셔티브(ZDI) 책임인 더스틴 차일즈(Dustin Childs)는 “전기 자동차는 점점 더 복잡해지고 있는 IT 시스템”이라고 말한다. “그럼에도 여태까지는 전기 자동차에 대한 깊은 연구가 진행되지 않았습니다. 심지어 전기 자동차 안전을 강화하는 가이드라인이나 규정도 아직 미완성인 상태이죠. 역사적으로 규정이 미흡할 때 거의 모든 IT 시스템들은 취약해집니다. 전기 자동차라고 해서 예외일 리가 없습니다.”

테슬라 해킹
작년 폰투온 해킹 대회에서 가장 큰 관심을 끈 건 시낵티브(Synactive)라는 참가 팀이었다. 테슬라의 모델 3 차량을 2분도 안 돼서 침해했기 때문이다. 이 시낵티브 팀은 올해에도 폰투온에 참가했으며, 유비키티 커넥트(Ubiquiti Connect)와 주스박스40스마트(JuiceBox 40 Smart)라는 공공 전기 자동차 충전소와 차지포인트홈플렉스(ChargPoint Home Flex)라는 가정용 전기 자동차 충전 장치 등을 공략하는 데 성공했다. 또한 테슬라의 모뎀에서 두 개의 취약점을 연쇄적으로 익스플로잇 하는 방법을 개발해 차량 내 인포테인먼트 시스템에 침투하기도 했다. 시낵티브는 이 두 개의 취약점으로만 20만 달러의 상금을 획득했다.

폰투온 대회에서 발견된 모든 취약점들은 전부 참가 기업들에 전달된다. 그리고 90일 동안 비공개로 처리된다. 기업들은 자사 제품들을 해커들의 손에 내놓는 대신 그 동안 발견할 수 없었던 취약점 정보를 얻게 되고, 90일간의 패치 기회도 획득하는 것이다. 다만 90일 안에 패치를 개발하지 못하면 그 취약점은 사실상 제로데이 취약점 상태로 공개된다.

2년 연속 테슬라를 해킹해낸 시낵티브의 CEO 르노드 페일(Renaud Feil)은 이런 규정 때문에 테슬라 차량의 보안 상태에 대해 상세히 공개할 수 없어 다음과 같이 말한다. “테슬라 차량은 동전의 양면 같습니다. 먼저 테슬라 차량은 처음부터 끝까지 IT 요소들로 구성되어 있어 대단히 큰 피격 가능성을 내포한 시스템이라고 할 수 있습니다. ‘공격 당할 잠재력’이 높다는 것이죠. 그런데 다른 한편으로는 테슬라는 보안 팀이 강력한 것으로도 유명하죠. 그래서 테슬라는 맞추기 쉬운 표적이기도 하지만 정타를 날리기에는 까다로운 표적이라고 할 수 있습니다.”

오늘날의 전기 차량들, 해커의 표적이 될 수밖에 없어
페일은 계속해서 “전기 자동차 생산 업체들이 무선 연결 기능과, 그런 기능을 기반으로 한 애플리케이션들을 계속해서 추가하고 있다”며 “이런 흐름 속에 원격에서 차량에 접속할 수 있게 해 주는 기능들도 다양한 모습으로 탑재되고 있다”고 설명한다. “그래서 해커들에게는 전기 자동차가 꽤나 흥미로운 연구 대상 혹은 공격 표적이 되고 있습니다.”

캐니스오토모티브랩스(Canis Automotive Labs)의 CTO인 켄 틴델(Ken Tindell)도 이 점에 동의한다. “차량이 IT 기술이라는 측면에서 흥미로워지면 질수록 보안의 관점에서는 위험해집니다. 좀 더 새로운 차, 좀 더 획기적인 뭔가가 더 들어간 차는 반드시 새로운 취약점과 공격 가능성을 같이 가지고 시장에 나타납니다. 아이러니 하면서도 재미있는 현상이죠.”

다만 이것이 어제 오늘 생겨난 패턴은 아니라고 틴델은 설명을 잇는다. “자동차들에는 이런 아이러니가 최소 20년 동안 꾸준히 존재해 왔습니다. 인포테인먼트 시스템이라는 게 처음 도입되면서 컴퓨팅 파워가 차량과 합체하기 시작했는데, 이미 그 순간부터 자동차들은 공격 가능성을 잔뜩 내포한 시스템이 됐죠. 그런 다음에는 각종 무선 연결 기능들이 차 안으로 들어왔어요. 블루투스, 와이파이가 대표적입니다. 그 후에는 CE(control electronics)라는 게 도입됐죠. 최신 기술이 계속해서 들어오면서 새로운 공격 가능성들도 열리는 형국입니다.”

더 우려가 되는 건 앞으로도 전기 자동차 제조사들이 계속해서 최신 컴퓨팅 기술들을 차량에 녹여낼 것이기 때문이다. 결국 전기 자동차 회사들은 경쟁력을 높이려고 자신들의 제품을 더 취약하게 만드는 흐름을 멈추지 못할 것이고, 누적되는 위험은 전부 소비자들에게 돌아갈 것이 분명해 보인다. 이런 패턴을 이어지게 하는 뿌리에서부터 해결 방안이 나오지 않는다면 폰투온과 같은 해킹 대회를 아무리 계속 열고 취약점을 찾아내 고친다 하더라도 거죽만 어루만지는 것이 되기 때문에 큰 의미를 가질 수 없게 된다.

자동차 산업, 어떤 방향으로 나아가야 하는가
틴델에게 있어 가장 시급한 건 “차량 내 네트워크들과 기능들을 제각각 분리시키는 방안이 마련되는 것”이다. “최신 인포테인먼트 시스템을 차량 제어 시스템으로부터 분리시키는 등의 노력이 있어야 한다는 뜻입니다. 이런 개념은 이론적으로는 오래 전부터 주장되어 왔지만 실제 자동차 생산 단계에서는 잘 지켜지지 않았습니다. 이것만 잘 해도 큰 향상이 있을 텐데 말입니다.”

페일도 “자동차 업체들은 이미 뭘 더 어떻게 해야 하는지 충분히 알고 있다”고 말한다. “일반 IT 망과 기술을 보호하는 것과 자동차를 보호하는 게 크게 다르지 않습니다. 우리가 사무실과 집에서 일상적으로 쓰는 각종 IT 기술들이 차 안으로 들어오는 것 뿐인데, 보호 방법이 획기적으로 달라질 수는 없지요. 전기 자동차가 새로운 기술이라 보호 방법도 새로워야 한다는 식의 생각을 가진 사람이 있다면 크게 오해하고 있는 겁니다. 보안은 늘 아는 대로만 하면 잘 할 수 있는 분야였습니다.”

글 : 네이트 넬슨(Nate Nelson), IT 칼럼니스트
[국제부 문정후 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>