지난해 7월 SUV인 체로키를 해킹한 해커가 또 다시 해킹에 성공했다. 지난해 시연한 해킹은 특정 환경에서만 유효했다. 하지만 이번에는 일반 주행을 할 때 핸들이나 브레이크까지 제어하는 데 성공했다고 한다.

다시 해킹에 성공한 인물은 보안 전문가인 찰리 밀러와 보안 업체인 IO액티브 연구원인 크리스 발라섹 2명. 이들이 지난해 체로키 해킹에 성공하면서 이 차량의 모기업인 피아트크라이슬러는 140만 대 규모 리콜을 실시하고 자동차 소프트웨어 업데이트 지원을 해야 했다.

당시 공개된 문제점은 피아트 크라이슬러가 차량에 탑재한 정보 단말기인 언커넥트(Uconnect) 소프트웨어에 존재하는 취약점을 이용해 주행 중 에어컨이나 오디오 경적을 자유롭게 조작하거나 고속도로 주행 도중 엔진을 멈춰버리는 게 하는 등 차량이 떨어진 곳으로 원격 실행을 한 것이었다.

물론 지난해 해킹 당시에도 핸들이나 브레이크 같은 차량 내 중요 장비도 제어할 수 있었다. 다만 이건 어디까지나 차량이 8km/h 이하 속도로 주행할 경우나 시프트를 R에 놓고 자동 주차 모드에 있을 때만 해당됐다. 차량 컴퓨터가 차량 상태를 점검해 이 조건에서 벗어나면 작업을 취소하도록 한 세이프가드 기능을 갖추고 있기 때문이다.

하지만 이들 두 사람은 다시 같은 차량에 취약점이 존재하는 건 발견했다. 이를 통해 핸들을 마음대로 원격 제어할 수 있다는 것. 물론 이번 해킹은 이전과는 달리 실제 차량이 PC와 연결되어 있어야 한다. 차량 정보를 얻을 수 있는 OBD2 커넥터를 통해 차량 시스템에 연결해야 한다는 것. 이런 점에서 실제 해킹을 시도해도 상대방 차량 OBD2 커넥터에 연결해야 하는 만큼 쉽게 악의적인 해킹이 이뤄질 가능성은 낮다고 할 수 있다.

https://www.youtube.com/watch?v=ONDSAMfNGP0

하지만 미국 내 보험회사는 OBD2 연결 타입인 차량 관리 장치를 사용하고 있다. 이 장치를 먼저 원격으로 해킹하면 해당 차량까지 해킹 당할 가능성도 있다.

다만 이번 해킹에 사용한 차량 소프트웨어는 1세대 이전에 사용되던 것이다. 피아트 크라이슬러 측은 이와 관련해 네트워크를 통해 작업이 불가능하다는 점을 강조한 뒤 이 해킹은 차량 내 OBD2 포트에 컴퓨터를 물리적으로 연결해야 한다면서 실제로는 외부에서 원격으로 차량을 탈취해 조작하는 새로운 방법은 없다고 밝히고 있다.

또 차량 소프트웨어가 이전 세대라는 것도 지적했다. 차량 소프트웨어를 최신 버전으로 업데이트하면 같은 문제가 발생하는 건 극히 생각하기 어려운 것이라면서 안전성을 강조하고 있다. 최신 소프트웨어라면 해결할 수 있는 취약점이라는 것이다.

하지만 해커 2명이 제시한 근본적인 문제는 어떤 방법을 쓰든 소프트웨어를 탈취할 수 있다면 차량 해킹도 자유롭게 될 수 있다는 데에 있다. 이 같은 문제는 디지털화가 진행된 자동차에서 공통적으로 나타날 수 있는 취약점일 수 있다. 제조사가 완벽한 소프트웨어를 만들 수 없다는 점을 인식해야 하며 PC나 스마트폰과 달리 운전자가 자위적 예방을 할 수 없다는 점을 기억할 필요가 있다는 것이다. 전문가들은 제조사의 책임은 앞으로 자동운전 차량이 나오면 더 중요해질 것으로 보고 있다. 자동차 선정 기준에서도 보안 문제 대응력이 들어갈 수 있다. 관련 내용은 이곳에서 확인할 수 있다.

윤신철 칼럼니스트  creact17@gmail.com

<저작권자 © 테크홀릭, 무단 전재 및 재배포 금지>