• Korea Council of Chief Information Security Officers
      회원안내      

자료실

  • HOME
  • 자료실
  • 보안 제품정보

자료실

보안 제품정보

미러링크 취약점, 자동차 산업구조 자체 문제점 드러내 2016.09.06

합법적인 수리 및 판매업자들의 미러링크 사용법, 취약점 만들어내
책임자 판명하고 사용자에게 패치 배포하기 어려운 유통 구조가 문제

[보안뉴스 문가용] 미러링크(MirrorLink)라는 차량용 인포테인먼트(infotainment) 소프트웨어에서 발견된 취약점 때문에 ‘차량에서 발견된 보안 사고는 누가 책임져야 하는가?’의 문제가 다시 한 번 제기되고 있다.

▲ 주유도 셀프, 취약점 점검과 패치도 셀프?


뉴욕주립대학의 데이먼 맥코이(Damon McCoy) 교수는 조지메이슨대학의 학생들과 함께 스마트폰과 자동차 내 인포테인먼트(일명 IVI) 시스템을 연결해주는 표준 툴인 미러링크에서 취약점을 발견했다. 미러링크는 2011년에 처음 제작된 것으로, 세계 자동차 업체들의 80%가 소속되어 있는 카 커넥티비티 컨소시엄(Car Connectivity Consortium, CCC)이 감독하고 있다. 스마트폰과 IVI를 연결하는 기능을 가진 첫 산업 표준이라고 볼 수 있다. 뒤이어 애플은 카플레이(CarPlay)를, 구글은 안드로이드오토(Android Auto)를 출시한 바 있다.

그런데 자동차 개조를 해주는, 일명 튜너(tuner)들이 미러링크를 활성화시키는 법을 친절하게 설명해주는 동영상을 유튜브에 올렸다. 이미 6만 명이 넘게 시청했다. 유튜브 영상에 따라 미러링크를 활성화시키면 차량 주인은 IVI에서 터치스크린, 오디오 스피커, 차량 내 마이크로폰 등 앱을 돌릴 수 있게 된다. “자동차가 좀 더 ‘펀(fun)’해 지는 것이죠. 사실 자동차 개량이 다 사용자 경험을 더 풍족하게 하기 위한 것이었고, 미러링크에도 그런 식으로 접근하고 있습니다.”

문제는 미러링크를 활성화시키면 사용자 경험만큼 취약점 또한 풍족해진다는 것이다. “미러링크 활성화를 통하여 브레이킹 시스템 등 치명적인 안전 기능에 도달할 수 있습니다. 해당 문제에 대한 기술적인 내용은 지난 달에 발표되었습니다.” 해당 보고서는 여기서 열람이 가능하다.

물론 아직 관련이 있는 자동차 제조업체나 튜너들의 이름은 정확히 밝히지 않은 상태다. 하지만 맥코이 교수 등은 관련자들과 연락을 취하고는 있다고 한다. “관련자들이 악의적으로 일을 진행한 건 아닙니다. 미러링크를 개발했을 뿐이고, 그걸 잘 사용하는 법을 알려줬을 뿐이죠. 이는 자동차 시장의 전반적인 구조가 드러낸 문제지 개개인의 문제는 아닙니다.” (‘튜너’들은 합법적인 자동차 판매 및 수리 업체를 말한다.)

CCC의 회장인 알란 에윙(Alan Ewing)은 “최근 CCC에서도 자체적으로 취약점을 분석하기 시작했다”고 밝혔다. “보고서를 저희도 받아 보았고 검토 중에 있습니다. 가장 집중하고 있는 건 과연 이것이 미러링크라는 소프트웨어 자체의 취약점인가, 아니면 자동차 유통 구조의 다양한 이해관계자들의 잘못된 도입에서 발생한 취약점인가, 하는 것이죠.”

CCC에게 있어서 보안은 매우 중요한 문제라고 설명한 에윙 회장은 “이제 분석을 시작했기 때문에 아직까지는 패치가 없다”고 해명하기도 했다. “CCC는 항상 보완과 발전의 방향을 택하며, 실사용 현황과 저희가 의도한 사용법에 차이가 있으면 메우는 것을 원칙으로 하고 있습니다. 다만 실제 자동차 산업에서 형성되어 있는 시장 구조에 저희가 주도적으로 개입할 수가 없어서, 분석 결과에 따라 패치이 향방이 결정될 것으로 보입니다.”

이는 복잡한 유통구조를 가진 자동차 산업 자체의 취약점을 드러낸 사건이기도 하다. 특히 정확한 책임자를 찾고, 패치 배포를 주도적으로 해야 하는 주체를 찾아내는 데에 있어 현재의 시장 구조는 매우 부적합하다는 것이 전문가들의 의견이다. “미러링크를 개발하지도 않은 자동차를 만든 업체가 패치를 개발해야 할까요? 아니면 미러링크의 사용법을 발견한 튜너들이 발표해야 할까요? 아니면 이런 방법을 생각지도 못한 CCC가 책임을 져야 할까요?” 답은 명확하지 않다.

이에 대해 많은 이들이 ‘스마트폰 앱의 생태계를 도입’하는 것이 어떤가 하는 의견을 갖고 있다. 하지만 안드로이드 생태계도 너무나 복잡해 앱에서 발견된 취약점들이 사용자에게까지 도달하지 못하는 경우가 많다는 지적이 있다. 맥코이 교수는 “결국 취약점으로 인해 가장 큰 피해를 입을 수 있는 건 공급망의 아랫단에 속한 사람들”이라며 “이들에게 취약점 패치가 일괄적으로 도달하지 못하는 구조라면, 차라리 공급체계 속에서 사용자와 가장 가까운 사람들이 취약점을 발견하는 즉시 수정하고 시스템을 보완할 수 있는 제도나 장치가 필요하지 않겠나”라고 한다.

“구글이나 애플은 자신들의 생태계에 속한 공급자들을 항상 모니터링하고 검사하죠. 자신들이 만든 ‘표준’에 부합하고 있는지를 살피고, 부합하지 않다면 생태계 안에 들이지 않는 겁니다. 이걸 CCC가 해야 할 수도 있습니다만, 그렇다고 CCC가 자동차 산업에서 차지하고 있는 위치가 구글이나 애플이 모바일 산업에서 갖는 위치와 같다고 볼 수도 없어서 애매합니다.”
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>