페라리, BMW, 메르세데스 벤츠 등 전 세계의 유명 자동차 제조사에서 API(Application Programming Interface: 애플리케이션 프로그램 인터페이스)와 관련된 치명적인 보안 취약점이 발견됐다.
사이버 보안 전문가 Sam Curry와 그의 연구팀은 다수 자동차 제조사가 만든 자동차와 자동차 솔루션 기업에서 구현한 다양한 서비스에서 보안 취약점을 발견했다고 밝혔다.
연구팀에 따르면, 이번 취약점은 공격자가 자동차 잠금 해제에서 차량 추적까지 다양한 활동을 할 수 있게 만든다. 또한 취약점은 기아, 혼다, 인피니티, 닛산, 아큐라, 메르세데스-벤츠, 제네시스, BMW, 롤스로이스, 페라리, 포드, 포르쉐, 토요타, 재규어, 랜드로버 등 수많은 유명 자동차 브랜드에 영향을 미치는 것으로 알려졌다.
연구팀은 통합 인증(SSO)의 결함을 통해 수백 개의 메르세데스 벤츠 자동차의 미션 크리티컬 내부 앱에 접근할 수 있었다. 연구팀은 만약 공격자가 이 점을 악용했다면 여러 시스템에서 원격 코드를 실행할 수도 있었으며, 또한 공격자가 취약점을 통해 일부 시스템의 메모리 콘텐츠에 접근했다면 회사의 직원·고객 PII(개인 식별 정보)가 노출될 수도 있었다고 설명했다.
특히 BMW와 롤스로이스에서는 모든 직원의 앱에 접근할 수 있는 SSO 취약점이 발견되기도 했다. 이를 통해 공격자는 VIN 번호를 제공해 내부 딜러 포털에 접근하고 BMW의 판매 문서를 검색할 수 있었으며, 또한 원격 작업자 및 대리점에서 사용하는 앱을 포함해 모든 직원을 대신해 SSO 뒤에 잠긴 모든 앱에도 접근할 수 있었다.
연구팀은 “취약점을 조사하는 동안 BMW 직원 및 계약자를 위한 맞춤형 SSO 포털을 식별했다. 여기에서 확인된 모든 취약성은 잠재적으로 공격자가 BMW의 모든 자산에 연결된 모든 계정을 손상시킬 수 있다는 사실을 발견헀다”라고 설명했다.
이어 "취약점의 영향을 입증하기 위해 BMW 딜러 포털을 검색하고 일반 계정을 사용해 실제 BMW 및 롤스로이스 대리점에서 일하는 영업 사원이 사용하는 딜러 포털에 접근할 수 있었다"라고 덧붙였다.
연구팀이 발견한 취약점 중 일부는 실제 주소를 포함한 소유자 정보를 검색할 수 있게 해 주었고, 다른 경우에는 취약점을 통해 차량 추적도 가능했다.
한편, 연구팀은 취약점 발견 사실을 자동차 제조사와 서비스 제공사에 알렸으며, 해당 기업들은 보안 패치를 통해 해당 취약점을 해결했다.
이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
