보안연구진이 기아(Kia)차 딜러 포털의 심각한 취약점을 발견해 2013년 이후 제조된 수백만 대의 기아차가 원격으로 추적, 잠금 해제, 시동 등의 공격에 노출될 수 있었던 것으로 밝혀졌다. 이 심각한 취약점은 전 세계 기아차 소유자들에게 심각한 보안 위협을 야기했다.
2024년 6월, 유명한 버그바운티 헌터인 샘 커리(Sam Curry)를 포함한 보안 연구진이 기아차 딜러 포털 'kiaconnect.kdealer.com'에서 심각한 보안 취약점을 발견했다. 이 취약점을 악용하면 원격 접속 하드웨어를 탑재한 모든 기아차에 대해 원격 제어가 가능했으며, 심지어 기아 커넥트(Kia Connect) 구독이 활성화되어 있지 않은 차량조차도 공격 대상이 될 수 있었다.
연구진은 공격자가 차량 번호판만으로 해당 차량을 원격으로 잠그거나 해제하고, 시동을 걸고, 경적을 울리며, 위치를 추적할 수 있다는 사실을 보여주었는데, 이 모든 과정은 30초 이내에 이루어질 수 있었다. 이로 인해 수백만 명의 기아차 소유자들이 심각한 보안 및 사생활 침해 위험에 노출되었다.
연구진은 공격자가 기아 딜러 포털에 딜러 계정을 등록함으로써 어떻게 이 취약점을 악용할 수 있는지 시연했다. 인증을 완료한 후, 이들은 유효한 액세스 토큰을 생성해 딜러 백엔드 API에 접근할 수 있었고, 이를 통해 차량 소유자의 이름, 전화번호, 이메일 주소, 실제 주소 등의 민감한 정보를 획득했다. 이후 공격자는 이 정보를 활용해 차량의 접근 권한을 조작할 수 있었다.
이 공격 과정은 다음과 같이 진행됐다:
-토큰 생성: 공격자는 딜러 계정을 등록하고 HTTP 응답을 통해 액세스 토큰을 획득했다.
-개인 정보 접근: 이 토큰을 통해 차량 소유자의 민감한 개인 정보, 이메일 주소, 전화번호에 접근할 수 있었다.
-접근 권한 수정: 공격자는 이 정보를 사용해 자신을 해당 차량의 부가 사용자로 추가했다.
-원격 제어: 차량 식별 번호(VIN)를 API를 통해 입력함으로써 공격자는 차량의 원격 기능에 완전한 접근 권한을 확보했다.
커리 연구원은 피해자에서는 이러한 공격이 진행되고 있다는 알림이 전혀 전달되지 않았다는 점을 강조했다. 이로 인해 공격자가 차량에 대한 불법적인 조작을 실행하더라도 소유자는 이를 전혀 알 수 없었다.
연구진이 발견한 이 취약점은 단순히 차량 원격 제어를 넘어선 위험을 내포하고 있었다. 공격자는 피해 차량에 무단으로 접근해 소유자의 접근 권한을 조작하거나 심지어 소유자 정보를 수정할 수도 있었다. 이는 차량 도난뿐만 아니라 차량의 오작동 및 안전 문제를 유발할 수 있는 심각한 위협으로 이어질 수 있었다.
연구진은 실제로 공격자가 번호판을 입력하면 30초 이내에 기아차의 원격 잠금, 해제, 시동, 경적, 위치 추적 등을 실행할 수 있는 툴을 제작해 시연하면서 그 위험성을 강조했다.
이는 샘 커리 연구진이 자동차 산업에서 발견한 첫 번째 취약점이 아니다. 2022년, 이들은 페라리(Ferrari), BMW, 롤스로이스(Rolls Royce), 포르쉐(Porsche)를 포함한 15개 이상의 자동차 제조사의 시스템에서 유사한 취약점을 발견했다. 해당 취약점은 1,500만 대 이상의 차량을 대상으로 원격 시동 해제, 도어 잠금 해제 등의 기능을 악용할 수 있는 수준이었다.
취약점에 대한 통보를 받은 기아는 즉각적으로 대응해 해당 취약점을 수정했다. 기아는 연구진과 협력해 이 취약점이 해결되었음을 확인했고, 악의적인 공격에 노출된 흔적은 없었다고 밝혔다. 하지만 이 사건은 자동차 산업에서 커넥티드 차량의 보안 위험성이 커지고 있다는 점을 다시 한번 일깨워주는 계기가 됐다.
보안 전문가들은 커넥티드 차량 시스템에서 강력한 보안 대책이 반드시 필요하다고 강조한다. 여러 전문가들은 자동차 제조사들이 다음과 같은 조치를 취할 것을 권고했다:
-강력한 인증 메커니즘 도입: 딜러 포털에 대한 접근 시 다중 인증(MFA)을 필수화해 비인가 접근을 방지해야 한다.
-정기적인 보안 감사: 모든 웹 애플리케이션과 커넥티드 시스템에 대한 정기적인 보안 감사를 통해 잠재적인 취약점을 식별해야 한다.
-암호화 및 토큰 만료 관리: 모든 데이터 교환에 대해 종단 간 암호화를 적용하고, 짧은 수명의 액세스 토큰을 사용해 공격자가 활용할 수 있는 시간적 창을 최소화해야 한다.
-실시간 모니터링 및 알림: 비정상적인 접근 패턴을 감지하기 위한 실시간 모니터링 시스템을 구축하고, 비인가 접근 시 즉각적인 대응이 가능하도록 해야 한다.
차량 소유자들은 또한 자신이 보유한 차량의 커넥티드 시스템에 대한 보안에 각별한 주의를 기울여야 한다. 전문가들은 차량 소프트웨어 및 관련 앱을 정기적으로 업데이트해 최신 보안 패치를 적용받을 것을 권장한다. 앞으로 자동차 산업의 커넥티드 기술이 더욱 발전함에 따라, 제조사와 소비자 모두 사이버 보안 위험에 대해 인지하고 대처하는 것이 매우 중요하다.
★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★