취약점 공략하면 남의 차량 마음대로 조종할 수 있어
실제 피해는 아직 드러난 바 없으며, 현대차 패치 마쳤다

[보안뉴스 오다인 기자] 현대자동차의 블루링크(Blue Link) 애플리케이션 소프트웨어에 치명적인 취약점이 있었던 것으로 드러났다. 취약점을 발견한 사이버 보안 전문업체 래피드7(Rapid7)은 사이버 공격자가 본 취약점을 공략하면 차량을 마음대로 조종할 수도 있었다고 밝혔다.


현대차는 래피드7으로부터 취약점을 보고 받은 뒤 패치를 끝냈다. 자동차 제조업체 중 커넥티드 카(connected car: IT기술과 자동차를 연결해 양방향 소통을 실현한 차량) 소프트웨어의 취약점에 맞닥뜨린 것은 이번 현대 사례가 가장 최신이다. 이 취약점으로 인한 피해 사실은 아직까지 드러난 바 없다고 현대차 미국법인(Hyundai Motor America)은 성명서에서 밝혔다.

지난 12월 8일 출시된 현대차의 블루링크 애플리케이션 소프트웨어 버전 3.9.4와 3.9.5는 공격자가 불안정한 와이파이 연결을 이용해 취약점을 공격하거나 중간자 공격(man-in-the-middle)을 할 수 있는 가능성이 있었다.

공격이 성공하면 공격자는 현대차 소유자의 이름과 비밀번호, PIN 번호 등을 파악할 수 있는 데다 해당 차량을 원격 조종 및 잠금장치 해제하고 시동을 걸 수 있다고 래피드7은 보고서에서 지적했다. 커넥티드 카 소프트웨어 문제를 겪은 건 현대차뿐만이 아니다. 2015년, 이탈리아의 자동차기업 피아트 크라이슬러(Fiat Chrysler)는 자사의 유커넥트 인포테인먼트 시스템(UConnect Infotainment System)에 공격자가 차량을 원격 조종 및 제동을 할 수 있게 하는 약점이 발견돼 1백4십만 대의 차량을 리콜 조치했다.
[국제부 오다인 기자(boan2@boannews.com)]

Copyrighted 2015. UBM-Tech. 117153:0515BC
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>