자동차 보안취약점 해킹 Pwn2Own Automotive 2025 대회 첫날, 전 세계 해커들이 총 16개의 제로데이 취약점을 선보이며 38만 2,750달러(약 4억 9,000만 원)의 상금을 획득했다.

이 대회는 트렌드마이크로(Trend Micro)의 제로데이 이니셔티브(Zero Day Initiative, ZDI)가 주최했으며, 도쿄에서 개최됐다. 참가자들은 자동차 인포테인먼트 시스템, 전기차(EV) 충전기, 자동차 운영체제 등을 표적으로 삼아 다양한 취약점을 성공적으로 공격해 보였다.

첫날 가장 큰 주목을 받은 팀 중 하나는 '퍼즈웨어닷아이오(fuzzware.io)' 팀이었다. 토비아스 샤르노프스키(Tobias Scharnowski), 펠릭스 부크만(Felix Buchmann), 크리스티안 코빅(Kristian Covic)으로 구성된 이 팀은 여러 취약점을 성공적으로 발견하며 5만 달러와 ‘마스터 오브 포운(Master of Pwn)’ 포인트 10점을 획득했다. 이들의 성과는 자동차 소프트웨어에서 발견 가능한 결함을 조기에 식별하고 완화하는 데 있어 철저한 테스트의 중요성을 강조했다.

소환 팀(Summoning Team)의 시나 케이르카(Sina Kheirkhah)는 가장 큰 상금인 5만 달러와 5포인트를 받았다. 그는 우비퀴티(Ubiquiti) 충전기에서 하드코딩된 암호 키 취약점을 발견했는데, 이는 민감한 키를 장치에 삽입해 발생할 수 있는 심각한 보안 위협을 단적으로 보여줬다.

PHP 훌리건스(PHP Hooligans) 팀 역시 5만 달러와 5포인트를 획득했다. 이들은 오텔(Autel) 충전기의 힙 기반 버퍼 오버플로우 취약점을 활용해 공격을 시연하며 전기차 충전 인프라의 위험성을 다시 한번 입증했다.

시냅티브(Synacktiv) 팀은 스택 기반 버퍼 오버플로우 취약점과 오픈 차지 포인트 프로토콜(Open Charge Point Protocol, OCPP)의 기존 버그를 연결해 차지포인트(ChargePoint) 충전기를 공격했다. 이들은 커넥터를 통해 신호를 조작해 공격에 성공했으며, 4만 7,500달러와 4.75포인트를 획득했다. 이 공격은 다중 벡터 공격의 위험성을 보여주는 대표적인 사례로 평가된다.

테크니컬 데트 컬렉터스(Technical Debt Collectors) 팀의 롭 블레이클리(Rob Blakely)와 안드레스 캄푸자노(Andres Campuzano)는 오픈소스 자동차 운영체제인 '오토모티브 그레이드 리눅스(Automotive Grade Linux)'에서 다수의 버그를 이용해 공격에 성공했다. 이들은 이미 알려진 취약점 일부를 사용했음에도 3만 3,500달러와 3.5포인트를 획득했다.

테슬라 차량 공격 시도는 없었다

이번 대회에서는 주최 측이 테슬라(Tesla) 차량의 오토파일럿 공격에 대해 50만 달러라는 높은 보상을 제안했음에도 불구하고, 이를 시도한 팀이 없었다. 전문가들은 테슬라의 엄격한 보안 체계와 자율주행 시스템의 복잡성이 참가자들의 도전을 막았을 가능성이 크다고 분석했다.

보안 전문가 피에를루이지 파가니니(Pierluigi Paganini)는 이번 대회에서 발견된 취약점들이 커넥티드카와 전기차 인프라의 증가하는 공격 표면을 보여준다고 말했다. 그는 제조업체들이 보안 코딩 관행과 철저한 취약점 테스트, 그리고 신속한 패치 관리를 우선적으로 실행해야 한다고 강조했다.

또한, 자동차 보안을 위해 계층형 보안 아키텍처와 런타임 애플리케이션 셀프 프로텍션(RASP), 침입 탐지 시스템(IDS) 같은 보안 기술을 도입해야 한다고 권장했다. 특히, 하드코딩된 암호 키와 버퍼 오버플로우와 같은 오래된 취약점은 반복적으로 발견되고 있어, 개발 초기 단계에서의 강력한 코드 리뷰와 자동화된 보안 테스트가 중요하다고 덧붙였다.

★정보보안 대표 미디어 데일리시큐 /Dailysecu, Korea's leading security media!★