[보안뉴스 김지언] 정보통신 기술과 자동차를 연결시켜 양방향 인터넷과 모바일 서비스 등이 가능한 커넥티드 카가 주목받고 있다. 그러나 커넥티드 카를 겨냥한 계정탈취 등의 위협이 도사리고 있어 주의가 요구된다.

이와 관련 카스퍼스키랩(지사장 이창훈)이 스페인의 디지털 미디어 기업인 IBA사와 함께 첫 번째 ‘연례 커넥티드 카 연구조사(AnnualConnected Cars Study)’를 발표했다.

이번 연구조사는 현재 각 운영체제 제조사 별로 파편화된 소프트웨어 생태계에 대한 잠재적인 보안 문제에 답을 얻고, 커넥티드 카 시장에 대한 전반적인 개요를 제공하기 위해 실시됐다.

보고서에 따르면 사이버 범죄자들은 커넥티드카의 프라이버시, 업데이트, 스마트폰 애플리케이션과 같은 세가지 요인을 사용해 사이버 공격을 감행할 수 있다.

카스퍼스키랩의 비센티 디아즈 수석 보안 연구원은 “커넥티드 카로 인해 PC와 스마트폰에서 야기됐던 여러 보안 위협들이 재확산될 위기에 있다. 예를 들어, 커넥티드 카의 비밀번호가 탈취될 경우 자동차의 위치 추적은 물론 원격으로 자동차의 잠금 장치의 기능을 조작할 수 있다”며, “이처럼 프라이버시 이슈는 매우 중요하며, 커넥티드 카 운전자들은 과거엔 존재하지 않았던 새로운 위협에 대해 인지하고 있어야 한다"고 말했다.

실제로 커넥티드드라이브 시스템 분석결과에 따르면 피싱 등의 공격으로 BMW 웹사이트에 등록된 사용자의 개인정보가 탈취될 경우, 사용자 정보에 대한 비승인된 외부 접근이 가능해지고 이를 통해 잠재적으로 자동차를 조작할 수 있는 원격 서비스가 가능해진다.

또한 자동차를 모바일에서 조작할 수 있도록 설정돼 있고 별도의 앱 보안이 갖춰져 있지 않다면, 휴대폰 도난 시 자동차에 접근해 애플리케이션 변경과 비밀번호 인증 수행이 가능하므로 보다 쉽게 사이버 공격을 실행할 수 있다.

또 블루투스 운전자는 BMW 웹사이트가 제공하는 파일을 다운로드하거나 USB에 설치함으로써 더 높은 차원의 커넥티드카를 경험할 수 있다. 그러나 해당 파일은 암호화 또는 인증되지 않은 상태에서 제공되며 자동차 구동을 가능케 하는 내부 시스템에 관한 방대한 정보를 포함하고 있다. 이는 잠재 공격자들에게 타겟 환경에 대한 접속 권한을 제공하는 것이며, 악성 코드가 설치될 수도 있다. 

이외에도 일부 커넥티드카의 기능들은 문자 메시지 전송 서비스(SMS)를 활용한 자동차 내부의 유심(USIM)과 통신이 가능하다. 이 통신 채널을 뚫으면 운영자의 암호화 수준에 따라 가짜 명령이 전송될 수 있는데, 심한 경우 BMW의 커뮤니케이션이 사이버 범죄자들의 명령과 서비스로 대체되기도 한다.

[김지언 기자(boan4@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>