카스퍼스키랩(지사장 이창훈, www.kaspersky.co.kr)이 스페인의 마케팅 및 디지털 미디어 기업인 IBA와 함께 첫 번째 ‘연례 커넥티드 카 연구조사(Annual Connected Cars Study)’를 발표했다.

이번 연구조사는 현재 각 운영 체제 제조사별로 파편화된 소프트웨어 생태계에 대한 잠재적인 보안 문제에 답을 얻고 커넥티드 카 시장에 대한 전반적인 개요를 제공하기 위해 실시됐으며 카스퍼키스랩의 비센티 디아즈(Vicente Diaz) 수석 보안 연구원은 커넥티드 카의 안전성 문제를 분석하기 위해 개념증명(Proof of Concept)을 수행했다.

보고서에 따르면 이제 새로운 커넥티드 카 시대를 맞아 자동차에서의 소셜 네트워크, 이메일, 스마트폰 연결, 경로 탐색 및 자동차 내부 앱에 대한 접속 등 통신 및 인터넷 연결이 갖는 안전성 문제에 관심을 가져야 한다고 밝혔다.

이러한 기술은 오늘날 운전자들에게 많은 혜택을 가져다주는 한편 새로운 차원의 위협을 야기하기도 하므로 사이버 공격 및 데이터 유출 사고, 부실한 자동차 관리와 같은 여러 요인들에 대한 분석이 필수적이다.

사이버 범죄자들은 커넥티드 카의 프라이버시, 업데이트 및 스마트폰 애플리케이션과 같은 3가지 요인을 사용해 사이버 공격을 감행한다.

디아즈 연구원은 “커넥티드 카로 인해 PC 및 스마트폰에서 야기됐던 여러 보안 위협들이 재확산 될 위기에 있다. 예를 들어 커넥티드 카의 비밀번호가 탈취될 경우 자동차의 위치 추적은 물론 원격으로 자동차의 잠금 장치의 기능을 조작할 수 있다”며 “이처럼 프라이버시 이슈는 매우 중요하고 커넥티드 카 운전자들은 과거엔 존재하지 않았던 새로운 위협에 대해 인지하고 있어야 한다”고 말했다.

카스퍼키스랩은 BMW가 발표한 커넥티드 드라이브(ConnectedDrive) 시스템 분석 결과를 바탕으로 ▲계정 탈취 ▲모바일 애플리케이션 ▲업데이트 ▲통신 등 향후 발생가능성이 높은 공격 요인에 대해 조사했다.

우선 피싱 등의 공격으로 BMW 웹사이트에 등록된 사용자의 개인정보가 탈취될 경우 사용자 정보에 대한 비승인된 외부 접근이 가능해지고 이를 통해 잠재적으로 자동차를 조작할 수 있는 원격 서비스가 가능해진다.

또 자동차를 모바일에서 조작 가능하게 설정돼 있고 별도의 앱 보안이 갖춰져 있지 않다면 휴대폰을 도난당할 경우 자동차에 접근해 애플리케이션 변경 및 비밀번호 인증 수행이 가능하므로 보다 쉽게 사이버 공격을 실행할 수 있으며 블루투스 운전자는 BMW 웹사이트가 제공하는 파일을 다운로드 및 USB에 설치함으로써 더 높은 차원의 커넥티드 카를 경험할 수 있다.

그러나 해당 파일은 암호화 또는 인증되지 않은 상태로 제공되며 자동차 구동을 가능케 하는 내부 시스템에 관한 방대한 정보를 포함하고 있다. 이는 잠재 공격자들에게 타깃 환경에 대한 접속 권한을 제공하며 악성 코드가 설치될 수 있게 수정될 수도 있다.

더불어 일부 커넥티드 카의 기능들은 문자 메시지 전송 서비스(SMS)를 활용한 자동차 내부의 유심(USIM)과 통신이 가능하다. 이 통신 채널을 뚫으면 운영자의 암호화 수준에 따라 ‘가짜’ 명령이 전송될 수 있는데 심한 경우 BMW의 커뮤니케이션이 사이버 범죄자들의 명령 및 서비스로 대체되기도 한다.

또한 보고서에는 커넥티드 카 플랫폼과 관련한 비즈니스 모델 및 미래 동향 연구를 비롯해 온라인 연결성 및 자동차 업계의 주요 앱에 대해서도 상세히 기술하고 있다.

21개의 서로 다른 자동차 모델을 대상으로 조사한 결과 ▲파편화된 운영체계(OS), 연결 모드 및 앱 ▲한정된 시간의 무료 서비스(제조업체의 다수 특정 시간 내 무료 이용권 제공) ▲커버리지 이슈(온라인 서비스 대부분은 3G 연결 필요) ▲데이터 사용(사용자 일부 추가 데이터에 대한 별도비용을 지불) ▲음성 지원(대부분의 모델 원격 제어 위한 가장 안전한 방법으로 음성 활용) 등의 내용을 포함하고 있다.

이광재 기자 다른기사 보기