Home > 전체기사

현대, 제네시스, 시리우스 차량의 웹 애플리케이션에서 중대한 취약점 발견돼

  |  입력 : 2022-12-05 13:42
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
운전자가 차량을 보다 쉽고 편리하게 제어할 수 있게 해 주는 애플리케이션에서 허술한 부분들이 발견됐다. 이 때문에 공격자가 오히려 쉽고 편리하게 남의 차량을 제어할 수 있게 된다고 한다. 다행히 대량 공격은 안 되고 표적 공격만 되긴 하는데, 위험한 건 여전히 사실이다.

[보안뉴스 문가용 기자] 먼 곳에서부터 자동차의 시동을 걸게 해 주고 잠금 장치를 해제시켜 주는 편리한 운전자 앱에서 보안 취약점들이 발견됐다. 이 취약점을 익스플로잇 하는 데 성공할 경우 인증을 통과하지 못한 공격자가 운전자와 똑같은 행위를 해 자동차를 조작할 수 있게 된다. API를 안전하게 사용하지 않아 생긴 문제였다고 한다.

[이미지 = utoimage]


보안 업체 유가랩스(Yuga Labs)는 얼마 전 “현대와 제네시스에서 만든 자동차용 앱들과 시리우스XM(SiriusXM)이라는 스마트 차량 플랫폼에서 중대한 취약점들이 발견됐다”고 발표했다. 시리우스XM의 경우 혼다, 닛산, 도요타 등과 같은 유명 차량 브랜드들도 사용하는 플랫폼이다. 이 취약점을 익스플로잇 함으로써 공격자들은 앱과 차량 사이에서 오가는 트래픽을 가로챌 수 있다고 한다. 2012년 이후에 만들어진 차량 대부분이 이 취약점에 노출되어 있는 것으로 분석됐다.

현대자동차의 앱, 원격 차량 제어 가능하게 해
현대자동차가 만든 앱들의 이름은 마이현대(MyHyundai)와 마이제네시스(MyGenesis)다. 이 앱들로부터 생성되는 API 호출들을 분석했을 때 “운전자의 이메일 주소와 여러 등록 관련 매개변수들을 맞춰보는 방식으로 자동차 소유주 인증이 진행된다”는 것을 알게 되었다고 유가랩스는 설명한다. 이를 뚫어내고 차량 소유주를 사칭하기 위해 여러 가지를 실험한 결과 공격이 가능하다는 것을 알게 됐다.

“피해자가 등록 시 제출하는 이메일 주소에 CRLF 문자 하나를 추가하면, 이 이메일을 진본과 비교하는 인증 절차를 건너뛸 수 있다는 사실을 알게 됐습니다. 거기서부터 공격을 추가적으로 진행함으로써 앱의 명령 체계를 완전히 장악하는 것도 가능하다는 걸 알 수 있었습니다. 그러면 자연스럽게 차량마저 제어할 수 있게 되는 것이죠. 시동도 걸 수 있고, 경적 소리가 나지 않게 할 수도 있으며, 에어컨디셔너도 마음대로 조정하고 트렁크도 아무 때나 열수 있게 됩니다.” 유가랩스의 설명이다.

공격을 자동화하는 것도 가능했다. “취약점을 익스플로잇 하는 데 필요한 모든 요청들을 하나의 파이선 스크립트에 넣었습니다. 그랬더니 피해자의 이메일 주소 하나만 알면 발동할 수 있는 자동 공격 도구가 완성됐습니다. 차량에서 모든 명령을 실행할 수 있었고, 실제 계정을 탈취할 수도 있었습니다.”

보안 업체 스택호크(StackHawk)의 CSO인 스콧 걸라흐(Scott Gerlach)는 “자동차 탈취 시나리오는 거의 대부분 API 보안의 미흡함과 관련이 깊다”고 강조한다. “모바일 앱의 민감한 데이터와 기능들은 전부 API에 저장됩니다. 그리고 다른 앱에서 이 API에 접근하게 되는 것이죠. API의 보강은 필수적일 수밖에 없습니다. 그나마 다행인 건 이렇게 API를 통해 차량에 접근하는 유형의 사이버 공격은 표적 공격만 가능하게 합니다. 대량 공격은 아직까지 어려운 것으로 알려져 있습니다.”

걸라흐는 오늘 날 커넥티드 차량이 소비자에게 판매되는 방식을 다음과 같이 비교하여 설명한다. “은행에서 새로운 계좌를 하나 고객을 위해 만들어줍니다. 당연히 그 계좌는 인터넷을 통해서도 접근이 가능합니다. 인터넷 뱅킹도 편리하게 할 수 있습니다. 그런데 온라인에서 그 계좌에 접속할 때 필요한 건 계좌번호 뿐이에요. 그러면 그 계좌는 어떻게 될까요? 계좌번호만 알면 누구나 손쉽게 접근해 모바일 뱅킹을 할 수 있게 되죠. 지금 스마트카들이 다 그런 식으로 판매되고, 그런 식으로 사용되고 있습니다.”

시리우스XM을 기반으로 한 공격
시리우스XM은 위성 라디오 서비스를 제공하는 것으로 유명하지만 커넥티츠 차량의 내부 부품과 기능을 제공하는 회사이기도 하다. 전 세계 1200만 대 이상의 커넥티드 차량에 시동 걸기, GPS 확인 및 추적, 날씨에 따른 원격 차량 제어와 같은 기능들을 제공한다. BMW, 혼자, 현대, 인피니티, 재규어, 랜드로버, 렉서스, 닛산, 도요타, 어큐라, 스바루 등에서 이미 시리우스XM 플랫폼을 사용하고 있다.

이번에 조사된 앱 중에는 닛산커넥트(NissanConnect)라는 것이 있다. 시리우스XM을 기반으로 한 앱이다. 유가랩스가 분석했을 때 “공격 대상의 차량 등록 번호만 알면 조작된 HTTP 요청문을 엔드포인트로 보내 호스트 정보를 얻어내는 게 가능하다”는 사실을 알아냈다고 한다. 호스트 정보란 운전자의 이름과 전화번호, 거주지 주소, 차량 상세 정보 등을 말한다. 이런 정보를 활용하면 공격자가 원격에서 차량에 명령을 실행할 수 있게 된다. 

보안 업체 태니엄(Tanium)의 보안 첩보 관리 수석인 코노 아이븐즈(Connor Ivens)는 “이번에 발견되고 공개된 차량 취약점들은 전부 임베디드 시스템이나 스마트카 제조 과정에서 유발된 것이 아니라 웹 애플리케이션 자체에 있던 것들”이라고 지적한다. “보안 연구원들은 쉽게 찾을 수 있는 차대번호(VIN)를 고객 ID로 활용했고, POST 요청들을 전송함으로써 토큰을 생성할 수 있었습니다. 여기까지 성공하면 관리자 권한을 가지고 다른 요청문을 차량에 전송할 수 있게 됩니다.”

“결국 문제는 IoT 보안이나 자동차 보안, 임베디드 시스템 보안이 아니라 애플리케이션 보안이라는 것”이라고 걸라흐도 동의한다. “자동차 제조사들이라고는 하지만 이제 스마트카를 본격화시키고 있는 만큼 웹 서비스와 애플리케이션의 보안 문제를 좀 더 진지하게 생각해야 합니다. 특히 고객 인증을 보다 철저히 하는 건 기본 중 기본인데, 이것부터가 잘 지켜지지 않는다는 건 보안을 아예 고려하지 않고 있다고 봐도 무방한 것입니다.”

자동차 산업의 또 다른 책임, 애플리케이션
유가 측은 자신들이 발견한 취약점을 현대와 시리우스 측에 전부 알렸다. 두 회사는 제 때 제보를 접수해 패치를 배포했다. 실제 공격 사례는 한 건도 발견되지 않았다. “하지만 이런 취약점들은 계속 나올 것이고, 취약점에 대한 정보와 지식이 누적되면 공격자들도 스스로 연구를 할 줄 알게 될 겁니다. 시장에 커넥티드 차량들이 더 많이 나온다는 것과, 공격자들의 차량 해킹 실력이 소리 소문 없이 발전한다는 것은 매우 안 좋은 소식이 될 수밖에 없습니다.”

보안 업체 알레그로 솔루션즈(Allegro Solutions)의 보안 컴플라이언스 책임인 카렌 월시(Karen Walsh)는 “스마트 차량 혹은 자율 주행 차량들에 대한 공격 방법들은 자꾸만 늘어나고 있는데, 사용자들에게 적정 수준의 안전이 보장되지 않고 있다”고 짚는다. “차량 회사들이 소비자 지갑만 바라보고 있다는 것이죠. 중요한 물건을 만드는 만큼 사용자들의 안전도 책임감 있게 생각해주었으면 좋겠습니다.”

3줄 요약
1. 현대와 제네시스의 운전자용 애플리케이션에서 차량 제어 취약점 나옴.
2. 시리우스XM이라는 차량 플랫폼에서 차량 내 정보 탈취 취약점 나옴.
3. 자동차 제조사는 차량 자체에만 신경 쓸 것이 아니라 웹 애플리케이션도 강화해야 함.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
시큐아이 에스케어 파워비즈 배너 2022년 3월15일 시작~ 12개월 23년 1월12일 수정 위즈디엔에스 2018
설문조사
보안전문 기자들이 뽑은 2023년 보안 핫키워드 10개 가운데 가장 주목되는 키워드는?
보안에서 진짜 ‘핫’한 제로트러스트와 공급망 보안
전문화, 분업화로 더욱 심해지는 랜섬웨어 공포
2023년 클라우드 생태계를 위협할 다양한 보안이슈들
전 국민이 사용하는 스마트폰, 2023년 해커의 집중 타깃
피싱 공격, 새로운 서비스형 위협 ‘PhaaS’로 더 악랄해지다
2022년 말에 터진 서명키 탈취사건, 2023년의 서막에 불과하다
밀집도 모니터링, 지능형 CCTV와 영상분석 트렌드 주도
주 52시간 근무제 달라지나? 정부 정책 따라 출입·근태 인증 보안 시장 요동
메타버스, 주목받는 만큼 증가하는 보안위협
스마트농업 육성 본격화, 보안과 안전 기반 하에 추진돼야