by김관용 기자
2014.07.21 09:16:49
계정 탈취와 업데이트 및 통신 악용한 커넥티드 카 공격
새로운 차원의 위협 야기
[이데일리 김관용 기자] 정보통신기술(ICT)과 자동차를 연결시켜 양방향 인터넷과 모바일 서비스 등이 가능케한 ‘커넥티드 카(connected car)가 주목받고 있다. 하지만 이를 겨냥한 계정 탈취와 모바일 앱 및 업데이트 등을 악용한 공격들이 발생하고 있어 주의가 요구된다.
카스퍼스키랩은 21일 스페인의 마케팅 및 디지털 미디어 기업인 IBA사와 함께 조사한 첫 번째 연례 커넥티드 카 연구 결과를 발표했다. 보고서는 자동차에서의 소셜 네트워크 사용과 이메일, 스마트폰 연결, 경로 탐색 및 자동차 내부 앱에 대한 접속 등 통신과 인터넷 연결이 갖는 안전성 문제에 관심을 가져야 한다고 조언했다. 이같은 기술이 운전자들에게 많은 혜택을 주지만, 새로운 차원의 위협을 야기하기 때문에 사이버 공격과 데이터 유출 사고 등에 유의해야 한다는 것이다.
보고서에 따르면 사이버 범죄자들은 커넥티드 카의 프라이버시, 업데이트 및 스마트폰 앱을 사용해 사이버 공격을 감행하는 것으로 나타났다. 디아즈 카스퍼스키랩 연구원은 “커넥티드 카로 인해 PC 및 스마트폰에서 나타났던 여러 보안 위협들이 재확산 될 위기에 있다”고 강조했다.
특히 디아즈 연구원은 “커넥티드 카의 비밀번호가 탈취될 경우 자동차의 위치 추적은 물론 원격으로 자동차의 잠금 장치의 기능을 조작할 수 있다”면서 “이처럼 프라이버시 이슈는 매우 중요하며, 커넥티드 카 운전자들은 과거엔 존재하지 않았던 새로운 위협에 대해 인지하고 있어야 한다”고 말했다.
실제로 조사결과에 따르면 피싱 등의 공격으로 비엠더블유(BMW) 웹사이트에 등록된 사용자의 개인정보가 탈취될 경우, 사용자 정보에 대한 비승인된 외부 접근이 허용되고 이를 통해 잠재적으로 자동차를 조작할 수 있는 원격 서비스가 가능해진다.
또한 자동차를 모바일에서 조작할 수 있도록 설정 돼 있고 별도의 앱 보안이 갖춰져 있지 않다면, 휴대폰 도난시 자동차에 접근해 애플리케이션 변경과 비밀번호 인증 수행이 가능하므로 보다 쉽게 사이버 공격을 실행할 수 있다.
특히 블루투스 운전자는 BMW 웹사이트가 제공하는 파일을 다운로드하거나 USB에 설치함으로써 더 높은 차원의 커넥티드 카를 경험할 수 있다. 하지만 해당 파일은 암호화 또는 인증되지 않은 상태로 제공되며, 자동차 구동을 가능케 하는 내부 시스템에 관한 방대한 정보를 포함하고 있다.
이와 함께 일부 커넥티드 카의 기능들은 문자 메시지 전송 서비스(SMS)를 활용한 자동차 내부의 유심(USIM)과 통신이 가능하다. 이 통신 채널이 뚫리게 되면 운영자의 암호화 수준에 따라 ’가짜‘ 명령이 전송될 수 있는데, 심한 경우 BMW의 커뮤니케이션이 사이버 범죄자들의 명령과 서비스로 대체되기도 한다.