기아 자동차의 보안 결함, 해커들이 번호판을 이용해 차량을 조종하는 것을 가능하게 해

최근의 조사에서는 기아차의 인터넷 연결 시스템에 보안 취약점이 있음이 밝혀졌고, 이로 인해 수백만 대의 차량이 해킹 위험에 노출되었습니다.

독립 보안 연구원들은 기아차의 번호판만 있으면 차량에 해킹하여 문 잠금 해제, 위치 추적, 심지어는 점화 시스템 시작과 같은 주요 기능을 불법적으로 조종할 수 있다는 사실을 발견하였습니다. 이 모든 과정은 단순히 몇 초만에 이루어집니다.

이전에 다양한 자동차 제조업체에서 유사한 취약점을 발견한 연구자들이 6월에 기아에 이 문제를 알렸습니다. 기업은 수정책을 적용했지만, 문제가 완전히 해결되지 않은 것으로 보입니다.

“이 문제를 더 깊게 조사할수록, 차량의 웹 보안이 매우 미흡하다는 것이 명백해졌습니다.”라고 발견에 참여한 연구원 중 한 명인 Neiko Rivera가 WIRED에 보도되었습니다.

연구자들이 조사하는 동안, Kia가 운영하는 웹 포털에서 취약점을 발견했습니다. 이 결함으로 인해 연구자들은 대부분의 현대적인 Kia 차량의 인터넷 연결 기능을 제어할 수 있었습니다.

이 취약점에 영향을 받는 모델은 도로 위에 수백만 대의 차량을 차지하고 있습니다. 이 취약점을 악용하면, 연구자들은 차량 소유자의 스마트폰에서 자신들의 기기로 제어권을 이전할 수 있습니다.

연구 팀의 또 다른 멤버인 샘 커리에 따르면, 이 결함은 해커가 사람의 움직임을 모니터링하는 데 이용될 수 있다고 합니다.

“만약 누군가가 당신을 교통상에서 차단하면, 그들의 번호판을 스캔하고 원할 때마다 그들이 어디에 있는지 알 수 있고, 그들의 차를 해킹할 수 있습니다.” 커리는 WIRED에 이렇게 말했습니다.

“우리가 이 문제를 기아에게 알리지 않았다면, 누구든지 차량 번호를 조회할 수 있는 사람이 그들을 사실상 추적할 수 있었을 것입니다.”

연구자들은 다양한 기아차량, 렌터카 및 판매점에 있는 차량들을 대상으로 그들의 방법을 테스트하여, 이 방법이 일괄적으로 효과적임을 확인했습니다.

이러한 취약점이 얼마나 쉽게 악용될 수 있는지를 보여주기 위해, 연구자들은 사용자 친화적인 대시보드를 만들었습니다.

이 도구는 사용자가 번호판 번호를 입력하고 소유자의 개인 정보를 검색할 수 있게 해주어, 공격자가 차량을 장악하고 통제할 수 있는 방법을 보여줍니다.

대시보드에는 번호판 번호를 차량 식별 번호(VIN)로 변환하는 양식이 포함되어 있었습니다. “Takeover” 버튼은 차량에 접근하기 위한 일련의 단계를 실행시켰습니다.

게다가, 다른 버튼 하나는 차주의 개인 정보를 보여주었습니다. 마지막으로, ‘차고’ 탭을 통해 공격자는 침해당한 차량에 명령을 내릴 수 있게 되었습니다.

WIRED는 차량 제조사의 웹사이트에 존재하는 많은 취약점들이 스마트폰 기능으로 소비자들을 끌어들이려는 노력에서 비롯된 것이라고 강조합니다. 이 취약점들로 인해 차량의 원격 제어가 가능해졌습니다.

UC 샌디에고의 컴퓨터 과학 교수인 스테판 세비지는, WIRED가 지적한 바와 같이, 이러한 기능들의 통합이 보안 위험을 높일 수 있다고 강조합니다.