자동차 보안 취약점 노리는 공격, 연초부터 거세다
자동차 플랫폼이 강력한 CPU와 GPU, NPU를 결합한 시스템반도체(SoC)와 운영체제, 소프트웨어를 결합한 소프트웨어정의자동차(SDV)로 진화하며 이를 노리는 공격도 늘어나고 있다. 최근 자동차 사고나 고장시 운전자를 돕기 위한 위성통신 서비스 보안 취약점으로 운전자 이름과 우편번호, 이메일 주소 등 개인정보가 노출되는 문제가 발견됐다. 지난 주 진행된 버그바운티 해킹 경연대회 '폰투오운'(Pwn2Own)에서는 SDV 적용 자동차와 차내 인포테인먼트 시스템, 전기차 충전기 등 다양한 분야에서 총 49개 취약점이 발견됐다. "스바루 스타링크 서비스, 원격으로 차량 정보 유출" 완성차 업체 스바루가 일본과 북미 지역에 판매하는 자동차 대상 연결성 서비스 '스타링크'(Starlink)는 원격 시동과 제어, 내비게이션 등을 제공한다. 미국 보안 전문가 샘 커리는 "지난 해 11월 하순 스타링크 서비스를 제어하는 웹사이트에서 개인정보를 악용해 원격 시동, 위치 정보를 확인할 수 있는 보안 결함을 확인했다"고 밝혔다. 그는 "운전자의 성과 우편번호, 이메일 주소나 번호판만 알면 차량 위치 추적, 운행 이력 확인, 차 문 열기가 가능했다"며 "스바루에 이 문제를 통보해 해결했으며 더 이상 악용되지 않았다"고 밝혔다. 보안 콘테스트서 49개 신규 취약점 발견 제로데이이니셔티브(ZDI)와 보안업체 트렌드마이크로 자회사인 빅원(VicOne)은 지난 22일부터 24일까지 일본 도쿄에서 보안 콘테스트 '폰투오운 오토모티브 2025'를 진행했다. 지난 해 이어 올해 두 번째 진행된 이 행사는 현대 자동차 산업에 다가오고 있는 사이버 보안 위협을 드러냈다. 자동차 내 인포테인먼트 시스템과 전기차 충전기 등 다양한 분야에서 지금까지 공개되지 않았던 보안 취약점 49개가 공개됐다. 제로데이이니셔티브는 공식 블로그에서 "해킹 대상이 된 전기차와 각종 시스템은 최신 운영체제 버전과 보안 업데이트를 마쳤지만 근본적인 문제까지 완벽히 해결할 수 없었다"고 소개했다. 레드햇, 車 필수 기능 유지하는 '혼합 중요성' 구현 폰투오운 오토모티브 2025에서 발견된 다양한 취약점은 각종 제조사가 이를 보완할 수 있도록 90일 이후 공개될 예정이다. SDV의 한 축을 맡은 소프트웨어 업계도 보안 강화를 위해 나서고 있다. 레드햇은 최근 차량용 리눅스 운영체제가 ISO 26262 기능 안전성 인증을 받았고 '혼합 중요성 시스템'을 구현했다고 밝혔다. 혼합 중요성 시스템은 차량 운행이나 안전에 필요한 필수 기능과 인포테인먼트 등 부가 기능을 내부에서 가상화 등으로 분리하는 것이다. 예를 들어 인포테인먼트 시스템이 버그나 보안 문제로 작동을 멈춰도 차량 운행이나 긴급 제동은 문제 없이 작동하도록 하는 것이 핵심이다.
