최근 국내에서도 인기를 끌고 있는 메르세데스-벤츠 E클래스가 원격 해킹에 취약하다는 연구 결과가 나왔다. 중국 보안 기업 치후360(Qihoo 360)의 모빌리티 보안 사업부 스카이고(Sky-Go)팀에 따르면, 현재 E클래스는 19개의 취약점을 드러낸 것으로 밝혀졌다.

한국수입자동차협회에 따르면, 올해 1월부터 7월까지 E클래스는 국내에서 1만 7605대가 판매돼 수입 승용차 판매 1위에 올랐다. 이 같은 인기에 힘입어 E클래스를 포함한 메르세데스-벤츠의 신규 등록은 7월 한달 동안 5215대를 기록해 2위인 BMW(3816대)를 따돌리고 압도적 1위를 기록 중이다.

이번 보안 연구는 다임러(Daimler)의 의뢰로 지난 2018년 시작됐다. 다임러와 스카이고는 올해 온라인 개최된 블랙햇 사이버 보안 컨퍼런스를 통해 벤츠의 보안 취약성에 대한 연구 결과를 공개했으며, 악용을 방지하기 위해 기술적 세부 사항은 공개하지 않았다.

연구 결과 E클래스에서는 원격으로 차량 도어를 열고 시동까지 걸 수 있는 보안 취약점이 발견됐다. 연구원들은 우선 네트워크 토폴로지, 핀 정의, 칩 모델과 같은 대상 장치에서 관련 정보를 수집하고 차량에서 신호를 활성화했다. 이후 차량의 중앙 패널을 분해해 ECU(Electronic Control Unit) 간의 배선 연결을 분석했다.

이를 통해 연구원들은 루트 권한이있는 대화 형 쉘을 획득했고, 액세스 권한을 얻은 차량의 TCU (Telematics Control Unit) 파일 시스템을 분석해 백엔드 서버에 대한 비밀번호와 인증서를 발견했다. 또한 외부 연결에 사용되는 차량의 내장형 SIM(eSIM) 카드를 분석해 백엔드 서버에 액세스가 가능하다는 것을 밝혀, E클래스가 사이버 공격을 받을 수 있다고 발표했다.

또한 연구원들은 백엔드 서버와 모바일 앱인 ‘메르세데스 미(Mercedes me)’ 간의 인증이 부족하다는 사실도 발견했다. 이 앱을 통해 사용자는 자동차를 원격으로 제어 할 수 있으며, 만약 해커가 백엔드에 액세스할 경우 중국의 모든 E클래스 자동차를 제어 할 수 있다고 설명했다.

한편 다임러는 지난 2019년 12월 치후360 그룹과 메르세데스-벤츠의 보안성 재고를 위한 파트너십을 체결하고 공동 연구를 진행 중이다.

*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성되었습니다.
 

최형주 기자 다른기사 보기