번호판 하나만 알고 있어도 기아차 수백만 대의 시동을 걸고 마음대로 움직일 수 있는 것으로 나타나 충격을 주고 있다.

미국 보안 회사 멀웨어바이트(Malwarebytes)의 연구자들은 최근 악의적인 공격자가 번호판을 이용해 30초 만에 수백만 대의 기아차를 해킹할 수 있다는 것을 발견했다. 연구팀은 차량을 원격으로 잠그거나 잠금 해제하고, 시동을 걸거나 멈추고, 차량 위치를 찾아내는 데 사용할 수 있는 도구를 개발했다. 해당 그룹은 기아 측에 이 문제에 대해 즉시 알렸다.

연구팀은 기아 포르테(K3)부터 EV9에 이르기까지, 2013년 이후 제작된 수백만 대의 기아차가 번호판만 있어도 해킹당할 수 있다는 사실을 발견했다.

이 문제점은 지난 6월에 샘 커리(Sam Curry) 등이 소속된 연구팀에 의해 처음 발견됐는데, 이를 통해 공격자는 약 30초 만에 차량을 제어할 수 있었다. 또한, 이름과 전화번호, 이메일 주소, 집 주소를 포함한 고객의 개인 정보도 알아냈다.

연구팀의 커리는 모의 공격에 대해 설명했는데, 자신의 웹사이트에서 딜러로 등록하고 인증을 받은 후 이를 통해 기아 딜러 포털에 액세스할 수 있었다고 밝혔다.

기아 딜러 포털에서 고객 정보에 액세스하고 대상 차량의 ‘주요 계정 소유자’가 되는 방법을 알 수 있었다. 부분적으로 차량에 연결된 이메일 주소를 공격자가 제어하는 ​​다른 계정으로 변경한 것이다. 연구팀은 또한 VIN이 필요하다는 점을 깨닫고, 제3자 API를 사용해 번호판 번호를 VIN으로 변환했다.

결론은 번호판만 있어도 악의적인 공격자들이 원격으로 기아차를 잠그거나 잠금 해제하고, 시동을 걸고, 멈추고, 위치를 알아내는 도구를 손쉽게 만들 수 있다는 것이다.

영향을 받은 차량 목록에는 사실상 모든 기아차가 포함된 것으로 보인다. 여기에는 셀토스, 쏘울, 쏘렌토, 스포티지, 스팅어, 텔루라이드 등이 있다. 포르테, 니로, K5, EV6, EV9도 공격에 취약한 것으로 드러났다.

다행히도 이 문제점은 윤리적 해커에 의해 발견됐고, 연구팀의 연락을 받은 기아는 바로 조사를 시작해 8월에 문제점을 해결했다.

이후 연구팀은 테스트를 진행해 실제로 문제가 해결됐다는 것을 확인했다. 또한, 기아는 문제점이 악의적으로 이용된 적이 없다고 판단했다.

조윤주 기자