일본 혼다 자동차의 일부 모델에 탑재된 원격 키리스 엔트리(RKE: Remote Keyless Entry) 시스템을 무력화하는 치명적인 공격이 발견됐다.
롤링-PWN(Rolling-PWN)이라고 이름 붙여진 이 공격은 누구나 원격으로 자동차의 잠금장치를 해제하거나 시동을 걸 수 있게 해 주는 것으로 알려졌다.
Star-V랩 보안 연구팀에 소속된 케빈2600(Kevin2600)과 웨슬리 리(Wesley Li)라고 밝힌 연구원이 깃허브에 올린 내용에 따르면, 이 취약점은 RKE 개발에 사용된 롤링 코드 메커니즘에서 발견됐으며 CVE-2021-46145로 분류된다.
연구팀은 혼다 자동차의 최신 모델로 취약점을 테스트 해 RKE를 무력화하는데 성공했으며, 이 취약점이 현재 판매되고 있는 모든 혼다 자동차에 영향을 미칠 것이라고 주장했다. 또 이 취약점이 혼다 자동차 외의 다른 제조사의 자동차에도 영향을 미칠 수 있다고 경고했다.
연구팀이 취약점 테스트에 성공한 모델
· Honda Civic 2012
· Honda X-RV 2018
· Honda C-RV 2020
· Honda Accord 2020
· Honda Odyssey 2020
· Honda Inspire 2021
· Honda Fit 2022
· Honda Civic 2022
· Honda VE-1 2022
· Honda Breeze 2022
더욱이 이 취약점을 악용할 경우 기존 로그 파일에는 어떠한 흔적도 남지 않으므로, 자동차 주인이나 제조사에서 공격자를 탐지할 수 없을 것이라고 연구팀은 설명했다.
한편, 연구팀은 이 보안 취약점에 대한 보고서를 혼다 측에 전달했지만 어떠한 답변도 받지 못했다고 밝히며, 한 외신 보도를 인용해 혼다가 보안에는 별 관심이 없는 듯하다고 덧붙였다.
혼다는 올해 3월에도 비슷한 취약점이 노출돼 언론에 보도된 바 있는데, 당시 외신에 따르면 혼다 측에서는 자신들의 자동차가 실제로 해당 공격에 취약한지 확인할 수 없으며, 취약점이 있다고 해서 구형 모델을 업데이트할 계획은 없다고 밝힌 바 있다.