하우리 로고 이미지

전체메뉴 열기

Boan News

보안뉴스 매체사 기사

뉴스 클리핑

현대, 제네시스, 시리우스 차량의 웹 애플리케이션에서 중대한 취약점 발견돼
등록일 :
2022.12.05
운전자가 차량을 보다 쉽고 편리하게 제어할 수 있게 해 주는 애플리케이션에서 허술한 부분들이 발견됐다. 이 때문에 공격자가 오히려 쉽고 편리하게 남의 차량을 제어할 수 있게 된다고 한다. 다행히 대량 공격은 안 되고 표적 공격만 되긴 하는데, 위험한 건 여전히 사실이다.

[보안뉴스 문가용 기자] 먼 곳에서부터 자동차의 시동을 걸게 해 주고 잠금 장치를 해제시켜 주는 편리한 운전자 앱에서 보안 취약점들이 발견됐다. 이 취약점을 익스플로잇 하는 데 성공할 경우 인증을 통과하지 못한 공격자가 운전자와 똑같은 행위를 해 자동차를 조작할 수 있게 된다. API를 안전하게 사용하지 않아 생긴 문제였다고 한다.

[이미지 = utoimage]


보안 업체 유가랩스(Yuga Labs)는 얼마 전 “현대와 제네시스에서 만든 자동차용 앱들과 시리우스XM(SiriusXM)이라는 스마트 차량 플랫폼에서 중대한 취약점들이 발견됐다”고 발표했다. 시리우스XM의 경우 혼다, 닛산, 도요타 등과 같은 유명 차량 브랜드들도 사용하는 플랫폼이다. 이 취약점을 익스플로잇 함으로써 공격자들은 앱과 차량 사이에서 오가는 트래픽을 가로챌 수 있다고 한다. 2012년 이후에 만들어진 차량 대부분이 이 취약점에 노출되어 있는 것으로 분석됐다.

현대자동차의 앱, 원격 차량 제어 가능하게 해
현대자동차가 만든 앱들의 이름은 마이현대(MyHyundai)와 마이제네시스(MyGenesis)다. 이 앱들로부터 생성되는 API 호출들을 분석했을 때 “운전자의 이메일 주소와 여러 등록 관련 매개변수들을 맞춰보는 방식으로 자동차 소유주 인증이 진행된다”는 것을 알게 되었다고 유가랩스는 설명한다. 이를 뚫어내고 차량 소유주를 사칭하기 위해 여러 가지를 실험한 결과 공격이 가능하다는 것을 알게 됐다.

“피해자가 등록 시 제출하는 이메일 주소에 CRLF 문자 하나를 추가하면, 이 이메일을 진본과 비교하는 인증 절차를 건너뛸 수 있다는 사실을 알게 됐습니다. 거기서부터 공격을 추가적으로 진행함으로써 앱의 명령 체계를 완전히 장악하는 것도 가능하다는 걸 알 수 있었습니다. 그러면 자연스럽게 차량마저 제어할 수 있게 되는 것이죠. 시동도 걸 수 있고, 경적 소리가 나지 않게 할 수도 있으며, 에어컨디셔너도 마음대로 조정하고 트렁크도 아무 때나 열수 있게 됩니다.” 유가랩스의 설명이다.

공격을 자동화하는 것도 가능했다. “취약점을 익스플로잇 하는 데 필요한 모든 요청들을 하나의 파이선 스크립트에 넣었습니다. 그랬더니 피해자의 이메일 주소 하나만 알면 발동할 수 있는 자동 공격 도구가 완성됐습니다. 차량에서 모든 명령을 실행할 수 있었고, 실제 계정을 탈취할 수도 있었습니다.”

보안 업체 스택호크(StackHawk)의 CSO인 스콧 걸라흐(Scott Gerlach)는 “자동차 탈취 시나리오는 거의 대부분 API 보안의 미흡함과 관련이 깊다”고 강조한다. “모바일 앱의 민감한 데이터와 기능들은 전부 API에 저장됩니다. 그리고 다른 앱에서 이 API에 접근하게 되는 것이죠. API의 보강은 필수적일 수밖에 없습니다. 그나마 다행인 건 이렇게 API를 통해 차량에 접근하는 유형의 사이버 공격은 표적 공격만 가능하게 합니다. 대량 공격은 아직까지 어려운 것으로 알려져 있습니다.”

걸라흐는 오늘 날 커넥티드 차량이 소비자에게 판매되는 방식을 다음과 같이 비교하여 설명한다. “은행에서 새로운 계좌를 하나 고객을 위해 만들어줍니다. 당연히 그 계좌는 인터넷을 통해서도 접근이 가능합니다. 인터넷 뱅킹도 편리하게 할 수 있습니다. 그런데 온라인에서 그 계좌에 접속할 때 필요한 건 계좌번호 뿐이에요. 그러면 그 계좌는 어떻게 될까요? 계좌번호만 알면 누구나 손쉽게 접근해 모바일 뱅킹을 할 수 있게 되죠. 지금 스마트카들이 다 그런 식으로 판매되고, 그런 식으로 사용되고 있습니다.”

시리우스XM을 기반으로 한 공격
시리우스XM은 위성 라디오 서비스를 제공하는 것으로 유명하지만 커넥티츠 차량의 내부 부품과 기능을 제공하는 회사이기도 하다. 전 세계 1200만 대 이상의 커넥티드 차량에 시동 걸기, GPS 확인 및 추적, 날씨에 따른 원격 차량 제어와 같은 기능들을 제공한다. BMW, 혼자, 현대, 인피니티, 재규어, 랜드로버, 렉서스, 닛산, 도요타, 어큐라, 스바루 등에서 이미 시리우스XM 플랫폼을 사용하고 있다.

이번에 조사된 앱 중에는 닛산커넥트(NissanConnect)라는 것이 있다. 시리우스XM을 기반으로 한 앱이다. 유가랩스가 분석했을 때 “공격 대상의 차량 등록 번호만 알면 조작된 HTTP 요청문을 엔드포인트로 보내 호스트 정보를 얻어내는 게 가능하다”는 사실을 알아냈다고 한다. 호스트 정보란 운전자의 이름과 전화번호, 거주지 주소, 차량 상세 정보 등을 말한다. 이런 정보를 활용하면 공격자가 원격에서 차량에 명령을 실행할 수 있게 된다. 

보안 업체 태니엄(Tanium)의 보안 첩보 관리 수석인 코노 아이븐즈(Connor Ivens)는 “이번에 발견되고 공개된 차량 취약점들은 전부 임베디드 시스템이나 스마트카 제조 과정에서 유발된 것이 아니라 웹 애플리케이션 자체에 있던 것들”이라고 지적한다. “보안 연구원들은 쉽게 찾을 수 있는 차대번호(VIN)를 고객 ID로 활용했고, POST 요청들을 전송함으로써 토큰을 생성할 수 있었습니다. 여기까지 성공하면 관리자 권한을 가지고 다른 요청문을 차량에 전송할 수 있게 됩니다.”

“결국 문제는 IoT 보안이나 자동차 보안, 임베디드 시스템 보안이 아니라 애플리케이션 보안이라는 것”이라고 걸라흐도 동의한다. “자동차 제조사들이라고는 하지만 이제 스마트카를 본격화시키고 있는 만큼 웹 서비스와 애플리케이션의 보안 문제를 좀 더 진지하게 생각해야 합니다. 특히 고객 인증을 보다 철저히 하는 건 기본 중 기본인데, 이것부터가 잘 지켜지지 않는다는 건 보안을 아예 고려하지 않고 있다고 봐도 무방한 것입니다.”

자동차 산업의 또 다른 책임, 애플리케이션
유가 측은 자신들이 발견한 취약점을 현대와 시리우스 측에 전부 알렸다. 두 회사는 제 때 제보를 접수해 패치를 배포했다. 실제 공격 사례는 한 건도 발견되지 않았다. “하지만 이런 취약점들은 계속 나올 것이고, 취약점에 대한 정보와 지식이 누적되면 공격자들도 스스로 연구를 할 줄 알게 될 겁니다. 시장에 커넥티드 차량들이 더 많이 나온다는 것과, 공격자들의 차량 해킹 실력이 소리 소문 없이 발전한다는 것은 매우 안 좋은 소식이 될 수밖에 없습니다.”

보안 업체 알레그로 솔루션즈(Allegro Solutions)의 보안 컴플라이언스 책임인 카렌 월시(Karen Walsh)는 “스마트 차량 혹은 자율 주행 차량들에 대한 공격 방법들은 자꾸만 늘어나고 있는데, 사용자들에게 적정 수준의 안전이 보장되지 않고 있다”고 짚는다. “차량 회사들이 소비자 지갑만 바라보고 있다는 것이죠. 중요한 물건을 만드는 만큼 사용자들의 안전도 책임감 있게 생각해주었으면 좋겠습니다.”

3줄 요약
1. 현대와 제네시스의 운전자용 애플리케이션에서 차량 제어 취약점 나옴.
2. 시리우스XM이라는 차량 플랫폼에서 차량 내 정보 탈취 취약점 나옴.
3. 자동차 제조사는 차량 자체에만 신경 쓸 것이 아니라 웹 애플리케이션도 강화해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  • - 본 정보에 대한 저작권은 '보안뉴스'에게 있으며 이에 무단 사용 및 재배포를 금지합니다.
  • - 본 정보에 대한 이용문의는 "보안뉴스(www.boannews.com)"로 문의하여 주십시오.

Top