번호판 입력하면 '차량 원격제어' 가능…美서 기아車 해킹사건

웹사이트 결함을 통한 해킹…확인된 완성차만 12개

(지디넷코리아=김재성 기자)한 사이버 보안 연구원들이 기아가 미국에서 운영하는 웹사이트의 결함을 찾아냈다. 차량 번호판과 해당 주를 입력하면 수백만대의 차량을 원격 제어할 수 있게 된다.

26일(현지시간) 와이어드, 미국 지디넷 등에 따르면 연구원들은 지난 6월 기아 차량의 번호판을 이용해 주요 기능을 원격으로 제어할 수 있는 방법을 찾아냈다. 이들은 이 방법을 통해 원격으로 차량 위치를 추적하고, 문을 열고, 시동을 켤 수 있다. 일부 차량을 먼 거리에서 카메라도 활성화할 수 있다.

연구원들은 와이어드에 기아가 운영하는 웹사이트 결함을 통해 접근할 수 있었으며, 이는 지난해에도 비슷한 결함을 발견했었다고 밝혔다. 특히 이와 유사한 결함은 지난 2년간 현대차, 혼다, 토요타, 메르세데스-벤츠, BMW 등 수많은 브랜드에서도 발견됐다.

기아 디스플레이 테마 New York Knicks (사진=기아)

연구원 중 한명인 샘 커리는 자신의 유튜브에 '기아툴'이라는 커스텀앱으로 2022년형 기아 EV6를 해킹하는 모습을 직접 게시했다.

영상에 따르면 샘 커리는 먼저 차량 번호판 번호와 미국 주를 입력해 차량식별번호(VIN)를 얻었다. 처음에 문을 열었을 땐 열리지 않던 문이 데이터를 얻은 후 '잠금 해제'를 누르자 문이 열렸다.

기아툴은 웹사이트 결함을 이용해 차량 제어를 가능하게 할 뿐만 아니라 이름, 전화번호, 집 주소 및 과거에 주행한 경로를 포함한 기아 고객의 개인정보를 대량으로 제공했다.

샘 커리가 기아툴을 이용해 차량을 해킹하는 장면 (영상=@samcurry1228)

다만 연구원들은 기아에 해당 문제를 알렸고, 회사는 이를 해결했다.

미국 기아 측은 이 결함이 아직 악의적으로 사용된 적은 없으며 기아툴이 일반 대중에게 공개된 적도 없다고 밝혔다. 이 같은 문제는 최근 토요타에서도 똑같이 발생했다. 토요타 측도 빠르게 조처했다.

미국 지디넷은 "신속하게 조치를 취하는 것은 좋은 일이지만 문제는 버그가 하나 있을 때는 항상 더 많은 버그가 있다는 것"이라며 "완성차 제조업체가 보안을 최우선으로 삼고 차량이 보호를 받을 수 있도록 소프트웨어 패치를 해야한다"고 지적했다.

한편 완성차 업계가 소프트웨어 중심으로 차량을 전환하면서 이 같은 문제는 계속 불거질 것으로 전망된다. 연구팀은 약 2년간 12개 완성차 브랜드 웹사이트를 해킹하고 수백만대 차량을 원격 제어할 수 있었다.

와이어드는 스테판 새비지 교수의 말을 인용해 "스마트폰 지원 기능을 통해 젊은 층에 어필하려는 기업들의 노력이 웹사이트를 통해 차량을 원격으로 제어할 수 있는 취약점을 늘렸다"며 "이러한 사용자 기능과 클라우드 기능을 휴대폰에 연결하면 생각지도 못했던 것들이 공격이 시작된다"고 덧붙였다.

김재성 기자(sorrykim@zdnet.co.kr)