PC, 모바일에 이어 이제는 자동차 환경에서 불거지는 정보보안

소비자들은 조심스런 습관, 제조사는 책임감 있는 제조와 패치

[보안뉴스 문가용] 편리함에는 항상 대가가 따르기 마련이다. 자동차도 예외는 아니다. 요즘은 상당히 멀리 떨어진 곳에서도 버튼 하나로 시동을 걸 수 있고 심지어 열쇠가 필요 없는 자동차가 보편화되고 있는데, 이런 편리함에 도사리고 있던 위험요소들이 하나하나 얼굴을 드러내고 있다.

지난 주 아우디, 시트로엥, 피아트, 혼다, 볼보, 폭스바겐과 같은 유명 자동차 제조사에서 그 동안 100개가 넘는 모델의 생산에 사용해온 메가모스 크립토(Megamos Crypto) 이모빌라이저의 보안 오류가 2년 여 동안 방치되어 왔다는 사실이 밝혀지면서 업계에 커다란 충격을 안겼다. 이들은 ‘방치’한 것이 아니라 누군가 악용할까봐 내부에서 해결하는 중이었다고 주장하고 있는데, 마냥 거짓말이라고 몰아붙이기는 곤란하지만 그렇다고 설득력이 강하지도 않다.

일단 ‘보안을 위해 대중들에게 알리지 않고 있었다’고 할 만큼 생산자들이 보안 문제에 민감히 반응했다는 게 의아하다. 차라리 문제가 생각보다 심각해 해결하는 데 2년의 시간이 필요했다고 말했다면 더 신뢰가 갔을 것이다. 사실 취약점을 발견했다는 소식이 매일처럼 일어나서 그렇지, 이는 생각보다 굉장히 복잡하고 어려운 일이다. 구멍을 발견하는 것도 어려운데 이를 막는 것도 뚝딱 해결되는 게 아니다. 패치를 만들어냈다고 해서 그게 모든 시스템에 100% 완벽하게 적용된다는 보장도 없고 말이다.

자동차 제조에 이런 취약점 해결 과정을 적용한다면 일은 매우 커지고 ‘비싸진다’. 하지만 가장 어려운 건 뭐니뭐니 해도 업데이트의 배포다. 어느 거리에 돌아다니고 있을지 모르는 자동차들에 어떻게 일일이 업데이트를 설치할 것인가? 테슬라(Tesla)가 최근 OTA 방식의 버그 픽스를 적용한 것도 겨우 최근의 일이다. 이 방식의 업데이트가 없는 나머지 제조사들의 경우 업데이트는 굉장히 시간이 많이 걸리고 복잡하며 비용이 높아진다.

그렇다고 OTA가 만능열쇠냐 하면, 그렇지도 않다. 왜냐하면 오히려 OTA가 있기 때문에 ‘패치? OTA가 가능하니 급하게 굴 필요 있나? 나중에 천천히 하지 뭐’하는 태도를 유발시킨다는 치명적인 단점이 있으며 한번 패치로 모든 문제가 해결되지 않기 때문에 수정 작업을 영원히 해야 한다는 것 자체는 변하지 않는다.

최근 펜테스트파트너스(Pen Test Partners)라는 곳에서는 자체적으로 발견한 자동차 관련 취약점을 가지고 여러 제조사들에게 연락을 취했다고 한다. 제조사들의 반응은 각양각색이었다. 빨리 알려달라고, 얼른 고치고 싶다고 한 기업도 있었고 누가 시킨 짓이냐고, 불법 활동에 대한 신고를 할 예정이니 콩밥 먹을 준비나 하라고 쏘아붙이는 곳도 있었단다. “그래도 위험을 초래할 수 있는 취약점을 알게 되면 일단 제조사에게 먼저 알리는 것이 마땅히 할 일이라고 믿었습니다. 취약점이 존재한다면 결국 누군가 발견해 악용한다는 건 시간문제잖아요. 먼저 발견해서 조치를 취할 수 있으면 먼저 알려야죠.” 펜테스트파트너스의 말이다.

2년 동안 묻혀있던 메가모스 크립토 취약점은, 그러면, 어떻게 다뤘으면 더 좋았을까? 위에 열거한 대로 이 취약점과 관련된 기업들은 이름이 세계 곳곳에 알려진, 가히 국제적인 기업들이다. 이런 소문 하나가 이들의 명성과 고객과의 신뢰에 큰 상처를 낼 수 있고, 이것으로 커다란 손실을 입을 수 있는 입장인 것이다. 혹은 대규모 리콜사태까지 이를 수도 있다. 이는 실제적인 돈과 명성 모두를 잃는 최악의 사태다. 회사 입장에서는 차라리 이를 보안에 미리 투자했다면 돈과 명성을 모두 잃는 상황을 막을 수 있었던 것이었다.

이런 면에서 보다 현명하게 대처한 기업이 있으니 바로 유나이티드 항공사다. 이들은 버그바운티를 운영했는데, 돈 대신 항공마일리지를 보상으로 내걸었다. 그리고 실제 중요한 취약점에 대한 제보가 들어왔을 때 이들은 약속을 후하게 지켰고, 이 소식 또한 전파를 타면서 유나이티드 항공사에 대한 고객의 신뢰도는 상승곡선을 탈 수 있었다.

그게 기업 측면에서의 아쉬운 점이었다면 한 고객으로서 뒤늦게 발견된 취약점에 대해 어떤 조치를 취해야 하는가? 누군가 이 취약점을 악용해 내 차를 훔칠 수 있다는 가능성에서 어떻게 자유해질 수 있을까? 애석하지만, 소비자가 할 수 있는 일은 아무 것도 없다. 그저 제조사가 자비로이 패치를 배포해주기를 기다리는 수밖에 없다.

하지만 그럼에도 할 수 있는 일이 아주 없는 건 아니다. 일단 자동차의 주인들이라면 스마트키의 보관 방식을 일반 자동차 열쇠의 그것과 달리해야 한다. 주머니에 넣고 다니는 게 아니라 전파를 통한 원격 공격을 방지해주는 특수 보관함을 마련하는 것도 한 방법이다. 그리고 될 수 있는 한 자동차와 가까운 거리에서만 작동하는 것도 안전성을 높인다. 또한 일단 주차를 했다면 자동차와 스마트키 사이의 거리는 최대한 벌려두는 편이 좋다. 결국 조심에 조심을 기하는 것뿐.

현대의 자동차들에는 최소 1억 줄의 코딩이 포함된다고 한다. 그리고 이는 빠른 속도로 증가하고 있는 추세다. 그렇다면 예전 PC가 그러했듯, 요즘 모바일이 그러했듯, 자동차의 정보보안도 일반인들의 생활 속에 금방 들어올 것이라는 건 자명하다. 아주 가까운 미래에 윈도우 정기적으로 패치했듯 자동차도 패치해야 할 것이다. 그렇다는 건 자동차 제조사들의 본격적인 ‘보안 참여’가 필수가 될 거라는 소리다. 이를 좀 더 깔끔하고 간편하게, 사용자의 편리를 최대한 유지하면서 할 수 있다면 자동차 시장에서 새로운 강자가 될 수 있을 것이다.

글 : 켄 문로(Ken Munro)

Copyrighted 2015. UBM-Tech. 117153:0515BC

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(http://www.boannews.com/) 무단전재-재배포금지>