앞 유리에 버젓이 찍힌 VIN 정보만 있으면 얼마든지 익스플로잇
생산자들의 낮은 보안 의식 그대로 드러내는 사건

[보안뉴스 문가용] 자동차 제조기업인 닛산(Nissan)이 준중형차 모델인 리프(Leaf)에 장착되어 있는 원격 텔레매틱 시스템을 일시적으로 차단시켰다. 보안 전문가들이 세계 어느 곳에서든 해당 시스템을 통해 자동차 배터리 충전 및 온도 조절 시스템에 불법으로 접근할 수 있다는 사실을 증명한 뒤에 곧바로 취한 조치였다.


닛산은 “닛산커넥트 EV(NissanConnect EV) 앱도 일시적으로 막아둔 상태”라며 현재 내부 감사 및 보안팀이 이번에 드러난 문제를 해결하기 위해 조사를 벌이고 있는 상태라고 밝혔다. 현재까지 밝혀진 바, 원격에서 리프의 온도 조절 장치를 조정하게 해주는 닛산커넥트 앱 전용 서버도 해당 문제와 연관이 있는 것으로 보인다.

“리프의 주행과 관련된 기능들은 아직까지 영향이 있어보이진 않습니다. 그러므로 전 세계에 있는 20만여 명의 리프 차주분들은 안전에 걱정 없이 계속해서 운전을 하시면 되겠습니다. 문제가 있는 건 모바일 기기로 조정이 가능한 부속 기능들 뿐입니다.” 닛산이 발표한 성명 중 일부다.

한편 이번에 닛산 리프의 결함을 발견한 건 호주의 보안 전문가인 트로이 헌트(Troy Hunt)다. 허트에 따르면 VIN, 즉 차량 고유 번호만 알면 언제 어디서건 리프 차량의 원격 조정 시스템에 접근하는 게 가능하다고 한다. 또한 그는 그 방법에 대해서도 상세히 밝히기도 했다.

이는 사용자의 스마트폰과 닛산 앱 서버 사이의 API와 관련이 있는 문제라고 헌트는 말한다. 닛산커넥트의 API가 백엔드에 있는 서버로의 요청을 인증하는 방식이 너무 약하다는 것. “VIN만 있으면 인증이 됩니다. 그게 전부에요. 즉 VIN만 있으면 누구나 어디서든 요청에 대한 인증을 조작할 수 있다는 것이죠. 닛산 시스템에 로그인할 필요도 없습니다.”

그러면 공격자는 어떤 정보를 얻어갈 수 있을까? “배터리 충전 상태 정보가 제공된다는 건 차량이 얼마나 움직였는지, 마지막으로 움직인 시각이 언제인지 등에 대한 정보를 유추할 수 있다는 겁니다. 또한 물리적인 피해도 가할 수 있습니다. 온도조절 장치를 강제로 켜둠으로써 배터리를 의도적으로 방전시킬 수 있는 것이죠.”

그러나 순수 보안의 관점에서 보면 이는 그리 심각한 취약점은 아니다. 이미 작년에는 구동 장치 및 주행 관련 기능에까지 원격에서 공격을 감행할 수 있다는 사실이 드러났기 때문이다. 다만 그때에 비해 이번에 발견된 취약점이 갖는 심각성은 ‘쉽다’는 것이다. “익스플로잇이 쉬워도 너무 쉬워요.” 리프 차량의 경우 앞 유리 밑부분에 VIN이 기재되어 있으며 바깥에서도 얼마든지 볼 수 있을 정도로 분명하다. 즉 마음만 먹으면 누구나 인증 과정을 통과할 수 있다는 것. “게다가 인터넷에서도 얼마든지 VIN 정보를 구할 수 있죠.”

“자동차 해킹 중 이렇게 쉬운 해킹 방법이 공개된 건 처음 있는 일입니다. 해킹이라고 부르기도 민망할 정도죠. 자동차 제조업체들이 사물인터넷의 유행에 뒤처지기 싫어서 생산에만 서두르다가 나온 결과라고 봅니다. 말로는 보안이 중요하다고는 하지만 결국 나온 취약점이 이렇게 기초적인 거라면, 사실 그들이 보안을 어떻게 생각하는지가 더 솔직히 드러나죠. 결국 아직도 보안은 귀찮기만 한 것이며, 생각조차 나지 않는 겁니다.”

HPE 시큐리티의 글로벌 제품 책임자인 라이너 카펜버거(Reiner Kappenberger)도 이에 동의한다. “프론트엔드와 백엔드 간 통신을 이렇게 간단히 침투하게 만들다니, 제조사가 보안을 어떻게 생각하고 있는지 잘 드러나고 있죠. 생산과정 이미 훨씬 이전인 설계 단계에서부터 보안은 고려되어야 하는 건데, 그렇게 생각하는 게 생산자들에겐 너무나 낯선 일입니다. 이번은 다행히 파장이 그리 커보이진 않습니다만, ‘그러니 괜찮아’가 아니라 ‘천운이 따랐다’고 해석해야 할 겁니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>