현대·기아자동차의 차량에서 USB를 악용해 자동차를 해킹할 수 있는 보안 취약점이 발견돼 회사가 이를 패치하기 위한 긴급 소프트웨어 업데이트를 발표했다.
현대자동차그룹에 따르면, 미국 10대 사이에서 SNS 틱톡을 통해 '엔진 이모빌라이저'가 없는 현대·기아자동차 차량을 대상으로 차를 훔치는 방법을 공유하는 절도 챌린지가 유행했다. 이를 통해 USB 케이블을 사용해 강제로 점화 실린더를 작동시켜 시동을 걸 수 있었다.
업계에 따르면, 이 결과로 미국에서는 현대·기아자동차 차량에 대한 절도가 급증했다. 2022년 로스앤젤레스에서는 차량의 도난이 전년 대비 85% 증가한 것으로 나타났다.
사건이 알려진 후 대응을 위해 현대자동차그룹은 차량에 도난 방지 장치가 장착됐다는 것을 알리는 스티커를 고객에게 제공하기로 했다. 또한 소프트웨어 업데이트도 2월 말부터 향후 몇달에 걸쳐 단계적으로 진행할 예정이다. 대상이 되는 차량은 약 380만 대로 2017년-2020년 엘란트라, 2015-2019년 소나타, 2020-2021년 베뉴 모델에 대한 업그레이드가 먼저 진행된다.
기아자동차 또한 이달 말부터 단계별 접근 방식으로 무료 소프트웨어 업데이트를 진행한다. 대상이 되는 차량은 약 450만 대다.
또한 현대·기아자동차는 소프트웨어 업그레이드를 설치할 수 없는 일부 2011-2022년 차량 소유자에게 스티어링 휠 잠금 장치 구입 비용을 제공한다.
한편, 2022년 9월에는 현대·기아자동차 제품의 취약점을 빌미로 캘리포니아 오렌지 카운티 연방 법원에 집단 소송이 제기됐다. 소송을 건 이들은 현대자동차그룹이 엔진 이모빌라이저 없이 차량을 만들어 해킹을 방치했다고 비판했다. 현대자동차가 20년 동안 관련 보안 조치를 하지 않았다는 것이다.
이에 대해 랜디 파커(Randy Parker) 현대자동차 미국법인 CEO는 “현대자동차는 지속적인 개선을 통해 제품의 품질과 무결성을 보장하기 위해 최선을 다하고 있으며, 이번 소프트웨어 업그레이드를 통해 추가 피해가 없도록 할 것이다. 또한 가장 많이 판매되는 차량을 우선적으로 업그레이드 할 것이다”라고 말했다.
*이 기사는 글로벌 정보 보안 블로그 ‘시큐리티 어페어즈(Secutiry Affairs)’의 설립자이자 유럽네트워크정보보안기구(ENISA) 소속 보안 전문가 피에루이지 파가니니(Pierluigi Paganini)와의 공식 파트너십을 통해 작성됐습니다.
