크라이슬러가 와이어드를 통해 공개된 자동차 해킹시연에 늦장대처하다가 결국 취약점이 악용될 수 있는 140만대 차량에 대한 리콜을 결정했다. 이 과정에서 보안업데이트를 위한 후조치 중 하나로 USB드라이브를 배달하도록 했다는 점이 논란이 되고 있다. USB드라이브를 누군가 중간에서 바꿔치기해 보안 업데이트용 파일 대신 악성코드를 심어 2차 피해를 유발할 수도 있다는 설명이다.
자동차가 다른 차들과 서로 통신하는 것은 물론 자율주행까지 논의되고 있는 시점에서 각종 위협에 대응하기 위한 보안업데이트가 필수로 자리잡을 것으로 전망된다. 그러나 PC, 노트북, 스마트폰 등 기기들과 달리 자동차는 아직까지 외부저장매체를 통해 수동으로만 업데이트를 진행해야한다는 점에서 지속적인 업데이트를 위한 보다 손쉽고, 안전한 방법에 대한 고민이 필요해진 시점이다.
크라이슬러는 인터넷을 통해 자동으로 핵심 소프트웨어에서 발견된 취약점에 대한 보안패치를 제공할 수 없다. 이에 따라 3가지 옵션이 제공된다. 운전자가 내비게이션 지도를 업데이트 하듯이 보안 업데이트 파일을 자신이 갖고 있는 USB드라이브에 옮겨서 수동으로 업데이트하는 것이 첫번째 방법이다. 두번째는 자동차 대리점으로 가서 업데이트하는 방법이다. 세번째로 크라이슬러는 우편을 통해 USB드라이브를 신청한 고객들에게 직접 제공하기로 했다. 보안업데이트 파일이 담긴 USB드라이브를 대상 고객들에게 우편배달하겠다는 방침을 밝힌 것은 처음이다.
미국 지디넷에 따르면 카릴 세네이 크립톤시큐리티 창업자는 "(크라이슬러가 보안 업데이트용 USB드라이브를 배송하는 것은) 외과수술의사가 환자 배 안에 수술용 가위를 집어넣은 채 봉합한 뒤 이를 꺼내기 위해 메스를 배달하려는 것과 같다"고 혹평했다.
크라이슬러가 리콜을 결정한 것은 이번이 처음이 아니다. 지난 2월에는 소프트웨어 문제로 인한 에어백 오작동 이슈가 불거지면서 23만대 지프 그랜드 체로키 모델에 대한 리콜을 진행한 바 있다.
관련기사
- 크라이슬러, 자동차 140만대 리콜...해킹 위험 때문2015.07.28
- 美 NHTSA "자율주행차, 무선 해킹 공격에 취약"2015.07.28
- 자동차 해킹 진화…스마트폰 공격 위협2015.07.28
- 아이폰 해커 "NFC-자동차도 해킹 가능"2015.07.28
가능성은 낮지만 만약 우편으로 배달된 USB드라이브를 누군가 중간에서 가로챈 뒤 악성코드가 담긴 가짜 USB드라이브를 고객들에게 전송했을 때 또 다른 2차 피해가 우려된다는 지적이다.
이에 따라 PC, 노트북, 스마트폰과는 달리 자동차에서 발생되는 보안취약점을 해결하기 위한 대규모 업데이트 방식에 대한 새로운 방법이 검토돼야할 것으로 전망된다.
