BMW가 6월부터 국내 출시한 '커넥티드 드라이브'를 포함해 인터넷 환경, 스마트폰과 연동되는 커넥티드 카 구동 시스템과 관련한 보안 취약점을 경고하는 보고서가 나왔다.
러시아 보안 업체 카스퍼스키랩은 디지털 마케팅 회사인 IAB 스페인과 함께 21일 발표한 '연례 커넥티드 카 연구 조사' 보고서를 통해 이 같은 내용을 공개했다.
보고서에 따르면 자동차의 경우 소셜 네트워크, 이메일, 스마트폰 연결, 경로 탐색 및 자동차 내부 애플리케이션(앱)에 대한 접속 등 통신 및 인터넷 연결이 갖는 안전성 문제에 주의를 기울여야 한다.
이러한 기술은 현재 운전자들에게도 많은 혜택을 가져다 줄수 있지만 자동차를 통한 사이버 공격, 데이터 유출 사고로도 이어질 수 있다.
카스퍼스키랩 비센티 디아즈 수석 보안연구원은 커넥티드 카의 보안성을 분석하기 위해 취약점 적용여부를 확인하기 위한 개념증명(POC)를 수행했다.
그 결과 사이버 범죄자들은 커넥티드 카에 대해 프라이버시, 업데이트, 스마트폰 앱과 같은 세 가지 영역에서 공격을 감행할 수 있는 것으로 확인됐다. 디아즈 연구원은 커넥티드 카로 인해 PC 및 스마트폰에서 야기됐던 여러 보안 위협들이 재확산 될 위기에 있다며 예를 들어 커넥티드 카의 비밀번호가 탈취될 경우 자동차 위치 추적은 물론 원격으로 자동차 잠금 장치의 기능을 조작할 수 있다고 밝혔다. 과거에 자동차를 운전하면서 겪지 않았던 위협을 인지해야 한다는 것이다.
카스퍼키스랩은 BMW가 발표한 커넥티드 드라이브 시스템 분석 결과를 바탕으로 향후 발생가능성이 높은 공격 요인에 대해 공개했다.
먼저 계정탈취 문제가 발생할 수 있다. 피싱 등으로 BMW 웹사이트에 등록된 사용자 개인정보가 탈취되면 공격자가 외부에서 접근해 자동차에 대한 원격 조작이 가능해진다는 점이다.
두번째로 모바일 앱 역시 별도 보안대책이 필요하다. 스마트폰이 도난당하면 자동차에 접근해 앱을 통한 여러 조작이 가능해져 사이버 공격에 노출될 위험성이 높아지기 때문이다.
관련기사
- LG전자, ‘커넥티드 카’ 개발 연합 참여2014.07.21
- 세계 소비자 79%, 커넥티드 카 원한다2014.07.21
- 우리집 똑똑해지는 커넥티드 IT기기 톱52014.07.21
- IBM, 푸조와 커넥티드카 공동 개발2014.07.21
세번째는 업데이트에 대한 것이다. 블루투스 기능을 활용하는 운전자들은 BMW 웹사이트에서 제공하는 파일을 다운로드해 USB를 통해 설치한다. 문제는 해당 파일이 충분히 검증되지 않았을 경우 자동차 내부 시스템에 영향을 줄 수 있는 악성코드가 설치될 수 있다는 점이다.
마지막으로 통신부문에서는 일부 커넥티드 카 기능들은 문자메시지전송서비스(SMS)를 활용해 자동차 내부 유심과 통신이 가능하다. 이렇게 연결된 통신 채널을 통해 악성 명령어가 전송될 수 있다.
