발행일 : 2017.07.03

#“비트코인을 송금하지 않으면 차를 폭파시키겠다.” 자동차를 몰고 아파트 지하 주차장을 빠져나가는 동안에 협박 음성이 울렸다.

범인은 차량용 모니터로 전자지갑 주소를 안내했다. 주차장에 있는 많은 자동차에서 범인 찾기는 쉽지 않았다.

ⓒ게티이미지뱅크

<ⓒ게티이미지뱅크>

차량용 블루투스가 해킹에 노출됐다. 블루투스에 외부 접속 기기가 자동 등록돼 음성이나 문자로 메시지를 전한다.

보안보다는 편의를 고려한 블루투스 시스템 설계가 취약점을 만들었다는 지적이다.

국내 보안기업 노르마(대표 정현철)는 3일 블루투스 자동 등록 기능을 활용한 해킹의 취약점을 발견했다고 밝혔다.

노르마는 지난해 출시한 K사의 자동차 블루투스 시스템을 대상으로 한 해킹용 스마트폰 접속에 성공했다.

해킹용 스마트폰으로 음성과 텍스트 메시지를 운전자에게 마음대로 전달했다.

노르마는 블루투스 도청(스니핑) 장비와 노트북을 활용, 차량 블루투스 맥(MAC) 주소와 기기 정보를 확인했다.

이후 해킹 프로그램을 이용, 해당 차량 블루투스 주소로 해커 스마트폰 자동등록을 유도했다. 인증 절차가 없어 비인가된 기기를 마음대로 등록할 수 있다.

노르마가 실험한 K사 자동차는 5초가 지난 후 해커 스마트폰을 자동 등록했다. 이후 등록된 기기를 이용, 표적 차량에 메시지를 전할 수 있다.

이 같은 취약점은 비단 K사 모델만의 문제가 아니다.

노르마가 국내외 자동차 제조사 7곳의 12개 자동차 모델(2017년형)을 조사한 결과 5곳이 기기를 자동 등록하는 취약점을 보였다.

5곳 가운데 4곳은 국내 제조사 자동차 모델이다. 반면에 해외 제조사 자동차 제조사 2곳은 기기 등록 과정에서 개인식별번호(PIN)를 요구했다.

정현철 노르마 대표는 “해커가 인가되지 않은 스마트폰을 차량에 등록하는데 불과 5초밖에 걸리지 않아 운전자가 스마트폰 등록 변경 상황을 인지하기 어렵다”면서

“국내 제조사가 블루투스 시스템 보안보다는 사용자 편의를 고려한 결과로 보인다”고 설명했다.

앞으로 커넥티드 카 시장이 떠오를 것으로 예상되면서 자동차 해킹 위협도 증가할 것으로 전망된다.

시장조사 기관 BI인텔리전스는 2020년 세계 자동차 생산량 9200만대 가운데 6900만대(약 75%)가 무선이동통신과 연결된 커넥티드 카가 차지할 것으로 전망했다.

정 대표는 “커넥티드 카 시장이 커지면 많은 정보가 자동차에 모인다”면서 “사용자 편의 이전에 보안을 고려한 설계가 필요하다”고 강조했다.

[전자신문 CIOBIZ] 변상근기자 sgbyun@etnews.com

Leave a Reply

Your email address will not be published. Required fields are marked *

clear formPost comment