커넥티드 카 첨단기술도 해킹 도난 노출.
이호근 교수 / 대덕대학교 자동차학과
얼마 전에 영국 BBC 방송에서 나온 이야기이다. 영국 감청기관인 정보통신본부의 국장이 라디오 인터뷰에서 각 정부기관과 기업의 비밀자료를 노린 공격이 한 달에 약 70회에 이른다고 했다. 2년간 지속적으로 해킹을 당하고 있고, 산업적인 규모로 이루어져서 피해가 막심하다는 것이다. 우리나라에서는 최근 6.25 사이버대란이 있었고, 그 후로 1주일도 지나지 않아 다시 전국 곳곳에서 7월 1일에 ‘디페치스’ 공격을 받았습니다.
즉 홈페이지에 해커가 남긴 메시지로 채워지는 것이다. ‘어나니머스’를 자칭하는 곳에서 해킹했다고는 하는데, 분명치 않다. 심각하지만 재미있는 것은, 이렇게 해킹을 당한 곳 중에 보안전문회사도 있다는 것이다. 경찰서가 털린 것과 마찬가지로 충격적이다. 또 다른 에피소드는 우리나라에서 정부가 ‘정보보호의 달’을 맞아 개최한 해킹방어대회가 최근에 있었다. 월요일인 7월 1일 오전 9시부터 서울 양재동에서 해킹방어대회를 진행했는데, 4시간 만에 중단되었다. 이유는 문제지가 사전에 유출되어서 중단된 것이란다. 물론 미래부에서는 해킹에 의해 유출된 것은 아닌 것 같다고 하지만 정확한 파악을 못하고 있는 것을 보면, 여러모로 의심이 간다.
21C 자동차 시장의 최대 이슈는 IT와의 융합이다. 특히 우리나라의 경우는 자동차에 IT 기술을 접목시키는 분야에서 세계적으로 가장 앞서 있다고 해도 과언이 아니다. 1980년대 등장한 전자식 연료분사장치와 자동변속기 ABS 그리고 차체자세제어장치 등의 개발로 차량의 전자화가 급속히 빨라지고 있다.
2000년대 들어서면서 부터는 엔진구동이나 제동장치, 조향장치 및 각종 센서 등 거의 대부분을 전자장치가 제어하고 있다 보니, 차량에서도 ECU끼리 상호정보를 전송하는 통신 규약이 필요하게 되어, 차량 내부에서도 CAN(Controller Area Network) 통신이라는 것을 통해 정보를 주고받고 있다.
20년 가까이 사용해 오면서 안전성과 신뢰도가 보장된 것이라 계속 사용하고 있다. 그런데 최근 들어 자동차에 외부 인터넷 망과 통신이 가능한 모듈이 직접 설치되거나 스마트폰을 통해 외부 인터넷망과 연결이 가능한 차량이 등장했는데, 이를 커넥티드 카 라고 한다. 본래 목적은 외부 통신망을 통해 서비스 공급자들로부터 교통정보 및 다양한 멀티미디어 서비스를 지원받을 수 있도록 하는 것인데 이런 통신망을 통해 해킹이 가능한 길이 열리게 된 것이다.
현대 블루링크 시스템이나 기아 유보 시스템 그리고 쉐보레의 경우는 인포테인먼트 시스템을 넥스트 젠이라고 부른다. 해외에서도 오토 파킹 시스템 등 다양한 첨단 기능이 있는데, 지금 분위기라면 매년 출시되는 차량마다 새로운 시스템이 선보일 것으로 예상된다. 이제는 스마트폰의 앱을 차량에서 그대로 구현하는 것은 기본이고, 스마트폰의 음악을 차량에서 듣는 것은 당연하고, 동영상이나 사진 나아가 네비게이션 중에 정확도가 가장 좋다는 스마트폰의 맵을 연동해 사용하는 시스템 등이 최근에 소개되고 있다.
자동차가 완전 자동화되면서 겪는 어려움이라면, 영화 마이너리티 리포트에서 탐 크루즈가 중앙조절장치 때문에 차 안에 갇힌 채 빠져나오지 못하는 장면이 있었다. 그런데 이런 영화 속 장면 중에서 가장 고전적인 것이 토탈리콜이다. 80년대에 나온 원작을 생각해보면, 아놀드 슈왈츠 제네거가 주인공으로 등장하는 영화인데, 화성에서 나쁜 사람들에게 쫒기다가 총격전이 벌어지고 주인공은 도망가다가 택시를 탄다. 택시는 로봇이 자동 조정하는 것인데, 목적지를 물어보는 장면이 나온다. ‘
손님 어디로 가시겠습니까?’ 주인공은 급한 마음에, ‘아무데나...’ 그런데 로봇은 ‘아무데나라는 목적지는 없습니다.’ 이러면서 출발을 안 한다. 주인공이 결국 로봇을 뽑아서 부순 후 직접 운전하는 장면이 있었다. 최근 영화인 영화 분노의 질주에서 전자식 총을 쏴서 차가 마비되는 경우도 있었다. 좋은 목적의 해킹은 다이하드에서에서, BMW에 탄 후 키가 없으니까, 에어백을 일부러 터뜨리고, 에어백이 터지면 관제센터에 연락이 자동으로 가게 된다. 상담원이 무슨 일인지 경찰과 119를 보내겠다고 하자 아빠가 쓰러졌다, 위험하다, 기다리다 보면 아빠가 돌아가실 것 같다, 시동을 걸어달라, 내가 운전하고 가겠다, 이렇게 애원하니까 원격으로 시동을 걸어주는 장면이 나온다. 그 영화를 보면서 필자는 이해를 했지만, 같이 영화를 보던 아이들은 ‘저게 뭐래? 말이 돼?’ 이렇게 의아해 했던 기억이 난다. 최근 드라마 유령에서 자동차 해킹으로 인해 살인하는 장면도 나오고 있다.
우리나라에서는 아직 자동차 해킹으로 인하 피해가 없다고 안심하는 일부 사람들이 있다. 그런데, 왜 없는지 생각해 보면 간단하다. 큰돈이 안 되기 때문이다. 힘들게 시스템 구축하고 여럿이 머리 짜내고 해킹해서 훔쳐야 차 한 대이기 때문이다.
은행 해킹이나 기업의 기술 정보 해킹이 오히려 수입이 좋지 않겠는가? 결국 기술적으로 해킹이 불가능한 것은 아니고, 필요성이 없어서인데, 문제는 차량을 훔쳐서 돈을 벌겠다는 개념의 해킹이 아니라. 드라마 유령에서와 같이 중요한 인물에게 해를 끼치기 위해 해킹하는 경우가 더욱 걱정되는 것이다.
지난해 7월 유튜브에는 신형 BMW가 3분 만에 도난당하는 동영상이 올라와 화제가 되었다. 절도범은 차 유리창을 깨고 OBD(On-Board Diagnosis, 차량 자가진단시스템)를 해킹하여 스마트키를 복제한 것으로 밝혀졌다. 실제로 인터넷에서 BMW의 스마트키 복사 방법을 공개하는 동영상과 30달러 정도의 해킹 키트를 쉽게 찾아볼 수 있으며, 유럽에서는 지난해에만 같은 수법으로 300여 대 이상의 BMW가 도난당한 것으로 알려졌다. 이와 같이 자동차 해킹은 차량 내부시스템에 대한 물리적 접근을 통해 일어날 수 있다.
특히 OBD는 자동차 해킹에 악용될 소지가 가장 높다. 주요 차량 네트워크의 대부분과 연결되어 있으며 튜닝과 같이 외부에서 내부시스템을 조작하는 데에도 활용될 수 있기 때문이다. 게다가 OBD 단자가 대시보드 아래에 위치하고 있어 정비사, 주차요원, 지인 등 제3자의 접근도 용이하다는 것도 큰 문제이고, 실제 필자 같은 경우도 다른 사람이 내 차에 타는 것을 크게 신경 안고 있다.
중요한 지갑이나 핸드폰이 있었나? 정도만 신경 쓰고 있기에, 언제든지 해킹이 가능한 것이다. 또한 물리적 접근을 통한 해킹은 CD, USB, 스마트기기 등의 IT기기를 통해서도 발생할 수 있다. 특히 스마트기기와 자동차 시스템간의 연동성이 커지고 있어, 향후 이러한 IT기기가 자동차 해킹의 주요공격 경로로 부상할 전망으로 보인다.
차량 내부의 전장부품 수가 늘어나면서 OBD를 이용한 서비스 시장은 점차 확대되고 있다. 필자의 제자 한명도 OBD에 키트 하나를 끼워 놓고, 블루투스로 핸드폰에 깔린 앱과 통신하면서 현재 에코드라이브를 하고 있는지? 연비는 어떻게 되는지? 등을 디스플레이 해주는 아이템을 사업화 하고 있다.
이런 장비는 델파이에서도 OBD 커넥터를 출시해서 많이들 사용하고 있다. 일부 보험사에서는 운전이력 정보까지 수집하는 수준인데도, 보안은 여전히 필요성을 못 느끼고 수준이 낮은 상황이다. 완성차업체에서는 차량 네트워크 사이에 데이터 검증필터를 설치하는 것을 고려중이다. 일종의 바이러스를 체크하는 문지기 역할을 하는 것인데, 결국 내부시스템이 외부로 고스란히 노출되는 것을 막아 줄 수 있는 것이다. 현재 IT관련 회사들도 자동차 보안에 대한 연구를 진행 중이고, 특히 외부와의 커넥티비티를 제공하는 인포테인먼트 시스템이 주용 공격 대상이 될 수 있어 연구를 한다고 한다.
2011년 블랙 햇 보안 컨퍼런스에서는 스바루의 SUV인 아웃 백을 SMS를 통해 원격으로 문을 열고 시동을 켜는 장면을 시연했다. 이러한 공격에 대응하기 위해 완성차업체에서는 방화벽을 강화해야 한다. 또한 텔레메틱스를 통해 스마트폰과 정보를 주고받을 시에는 은행 인터넷 뱅킹 수준으로 데이터를 인증받고 암호화할 필요가 있다. 실제 포드에서는 각 전장부품에 각각의 방화벽을 설치하고 해킹 모의 테스트를 거치고 있다.
간단히 이야기 하자면 점점 살기 힘들어지고 있는 듯하다. 처음 컴퓨터가 나왔을 때를 생각하면 지금은 전체 시스템을 이해하기도 힘들고, 그냥 시키는 대로 암호 누르고 인증서 번호 누르고, 전화로 ‘고객님! 당황하지 마시고, 은행 비밀번호 알려주세요!’ 하면 알려주면서 살아야만 하는 세상이 된 것 같다.
백색가전은 전체 원가에서 전기전자 부품이 차지하는 비율이 40%를 넘는게 기준이고, 냉장고, 세탁기 등이 해당되는 상품이다. 그런데, 이미 자동차의 전장부품 비중은 40%를 훌쩍 넘어서고 있다. 하이브리드나 전기자동차의 경우는 70% 이상이기에 자동차는 더 이상 기계가 아닌 것이다. 전자 제품이라 생각하면 되는데, 중요한 것은 우리의 생명을 다루는 제품이라는 것이다.
단순 절도의 경우 차를 새로 구매하면 그만이지만 라고, 그렇게 간단히 생각할 문제가 아니다. 메이커에서는 우리나라에서 아직 차량 해킹 관련 문제가 발생하지 않았다고 안이하게 생각할 것이 아니고, 세계적인 자동차 수출국으로서, 이러한 분야의 연구개발에 타 회사를 리드해 나가는 적극적인 자세가 필요한 시점이다. 한 3~4년 후에 대부분의 차량들이 해킹으로 도난당하는 시점에, 대한민국의 현대자동차는 해킹에서 자유롭다. 이런 뉴스 하나만 나가면 대박날 것이다. 이를 정립하면 신형 BMW의 3분 도난 동영상처럼, 현대자동차 역시 도난 등과 관련된 해킹취약 단점을 비롯 손쉬운 대상이라는 게 문제인 만큼 사전 대응체계가 필요하다는 것이다.
