컴퓨테스트(Computest)의 단 큐퍼(DaanKeuper)와 티스 알케마데(ThijsAlkemade)는 일부 폭스바겐 차량에 설치된 하만 장치에서 취약점을 발견했다.
개념증명테스트(PoC)는 폭스바겐 Golf GTE(2015년형), 아우디 A3 스포츠백 e-tron 차량을 포함해서 9개의 자동차에서 수행되었다.
찰리 밀러(Charlie Miller)와 크리스 발라섹(Chris Valasek)이 이전에 수행한 작업을 기반으로 하만의 자동차 엔터테인먼트 시스템에 존재하는 취약점을 이용해 해킹을 시도하기로 결정했다.
보고서는 “취약점이 악용될 경우, 해커는 자동차 키트를 통해 운전자의 대화를 듣고 마이크를 켜거나 끌 수 있고, 전체 주소록과 대회 기록에 접근할 수 있다. 또한 네비게이션 시스템을 통해 운전자가 어디에 있었는지 정확하게 확인할 수 있다”라고 설명했다.
연구원의 목표는 인터넷을 통해, 하드웨어에 직접 접근하지 않고 자동차에 접근하는 것이었다. 최종 공격 경로는 차량의 와이파이 핫스팟을 활용했고, 따라서 공격자와 목표차량은 근접해 있어야 했다.
해당 문제점은 폭스바겐에게 보고되었으며 현재 문제점은 해결된 상태다. 보고서에 따르면 적용되는 모든 패치는 판매자가 수행해야하며 단순히 무선 펌웨어 업데이트를 통해서는 처리할 수 없다.
큐퍼와 알케마데는 그들이 접근할 수 있었던 시스템이 간접적으로 자동차의 제동력과 가속력으로 연결된다는 점을 지적했다. 그러나 컴퓨테스트는 결론적으로 이것을 확실히 입증하기 이전에 테스트를 중단하기로 결정했다.
컴퓨테스트의 창립자 하트거 루이스(HartgerRuijs)는 “우리는 디지털화의 가치와 관련 위험에 대한 조사 그리고 이에 대해 관심을 끌기 위한 윤리적인 해커 커뮤니티의 역할을 믿는다. 그러나 그런 일들은 정당한 것이어야 한다. 중요한 기능의 취약점 테스트는 잠재적으로 불법적이고 지적 재산권 위배일 수 있다. 따라서 매우 신중해야 한다”라고 말했다.
★정보보안 대표 미디어 데일리시큐!★