Vulnerability
고속도로 위를 달리는 자동차 해킹
2016 09 10
  • Facebook
  • Twitter
  • Copy URL

차를 타고 시속 100km로 달리고 있는 와중에 차가 나의 의지대로 움직여지지 않는다면 어떨까. 한술 더 떠서 차가 내 의지가 아닌 다른 사람의 의지대로 움직이고 있다면 그것만큼 소름 돋는 일도 없을 것이다. 왠지 그 사람은 내 차의 핸들을 움직이면서 카트라이더 하는 기분으로 운전할 것 같다. 오늘은 자동차에 관련된 이야기를 해보려 한다.

이미지를 불러오는데 실패했습니다.

갑작스레 음악이 흘러나오고 핸들이 운전자의 의지와 상관없이 제멋대로 움직인다. 달리는 고속도로 위에서 속도를 늦추고 급기야는 고속도로 한가운데서 시동을 꺼트려 버린다. 생각만 해도 아찔하다. 영화에서 볼 법한 이 이야기는 약 16km 정도 떨어진 두 명의 해커를 통해 벌어진 일이다.

이 일을 만들어 낸 오늘의 주인공은 현재 트위터의 보안 엔지니어로 일하고 있는 찰리밀러(Charlie miller)와 보안 컨설팅 업체에서 자동차 안전 관련 일을 하는 크리스 발라섹(Chris Valasek)이다. 두 사람의 시작은 2012년으로 거슬러 올라간다. 그들은 2012년에 네트워크와 연결되는 스마트 카 혹은 커넥티드 카라 불리는 자동차를 대상으로 자동차 해킹 연구를 시작했다. 그 후 1년 뒤인 2013년에 자동차와 노트북을 USB 케이블로 연결하여 자동차 뒤 좌석에 앉아 클락션을 울렸지만 사람들은 심각하게 받아들이지 않고 웃어넘긴다. 이런 반응에 욱한 그들은 무선으로 해킹해야겠다는 생각을 했고 2년 뒤 2015년에 멀리 떨어진 지점에서 무선으로 자동차 해킹에 성공한다. 특히나 발라섹은 자동차 무선해킹을 하고 나서 이제는 어떠냐고 말해보라는 말을 남기기도 했다.

그들의 해킹은 전 세계 사람들을 놀라게 했고 해킹 대상이었던 자동차 회사 크라이슬러사는 위험성을 감지하고 자발적으로 140만대의 차량을 리콜했다. 140만대 리콜 결정 후에 며칠 지나지 않아 크라이슬러사는 연료 탱크 불량으로 100만대 늦장 리콜 때문에 벌금 약 1230억 원을 물었다. 해커들에게 한방 벌금에 한방 크라이슬러사는 험난한 2015년을 보냈다. 또한, 물리적 결함이 아닌 자동차 소프트웨어 취약점으로 대량 리콜을 하게 된 것은 전 세계적으로 처음 있었던 일이었고 미국 CNBC에서 2015년 9월 23일에 발표한 세계적으로 규모가 가장 컸던 자동차 결함 10선에 들기도 했다.

아래의 동영상은 찰리 밀러와 크리스 발라섹이 와이어드의 기자 한 명을 태우고 자동차 해킹 시연을 하는 동영상이다. 와이어드 기자는 자동차 안에서 혼비백산하지만 정작 두 해커는 멀리 떨어진 자신들의 집에서 소파에 앉아 편하게 해킹했다.

그들의 해킹 대상인 크라이슬러 자동차는 유커넥트(Uconnect)가 설치되어 있다. 유커넥트는 네트워크로 연결되어 영상과 음악을 실시간으로 보고 들을 수 있고 차의 버튼으로 전화를 받을 수 있었다. 또한, 문자가 올 때는 또박또박 읽기도 하고 핫스팟 기능은 물론 와이파이가 끊겨도 주고받았던 데이터를 통해 계속하여 인터넷 연결 유지가 가능하게 하는 셀룰러 기능이 포함되어 있어 끊김 없는 인터넷 연결이 가능하게 한다. 두 해커는 이러한 유커넥트 기능을 통해 차량 내부와 네트워크로 연결하였고 특히나 셀룰러 기능 덕분에 거리와 상관없이 어디에 있든지 해킹할 수 있었다.

네트워크를 통해 자동차와 연결되면 유커넥트에 설치된 기존 프로그램 위에 해커들이 만든 조작된 프로그램으로 덮어씌웠다. 즉, 기존의 프로그램이 아닌 조작된 프로그램을 실행시켜 해커들이 조작할 수 있는 상태를 만들었고 그들은 이를 이용해 자동차를 해킹했다. 이러한 원리로 그들은 멀리 떨어져서 고속도로 위를 달리는 자동차를 해킹할 수 있었다.

사실 그들의 해킹은 유커넥트가 설치된 지프 그랜드 체로키를 비롯한 체로키 서브, 마이 캐슬러 200~300시리즈 등을 포함하여 2013년 후반에서 2015년 초반에 생산된 크라이슬러 자동차만 해당한다. 하지만 그들은 다른 차는 아직 시도를 안 해봤을 뿐이라며 어떠한 차든 스마트 카라면 해킹할 수 있을 것이라 말했다.

현재는 이러한 공개적인 해킹시연도 있고 크라이슬러사에서도 대량 리콜하여 많이 회수했지만 2015년 기준 약 47만대 정도가 여전히 도로를 달리고 있다고 한다. 찰리밀러와 발라섹은 이러한 차를 위해 크라이슬러사의 웹 사이트를 통해 이러한 취약한 부분을 보완한 소프트웨어 업데이트를 제공하고 있다. 하지만 수동적으로만 업데이트할 수 있어 아직 많은 차가 업데이트를 하지 않았을 것으로 추측했다. 해당사의 차를 가지고 계신 분은 아래에 있는 다운로드 버튼으로 해당 사이트로 이동할 수 있다.

자동차 해킹은 소설과 같은 이야기가 아니고 정말로 현실에서 일어날 수 있는 일이며 국내에서도 가능한 일이다. 또한, 이러한 해킹은 굳이 총이 없더라도 사람을 다치게 하거나 해할 수 있게 만들 수 있다. 혹은 일부러 사고를 내서 빅똥을 맥일 수도 있을 듯하다. 더욱이 그들이 시연했던 자동차와 그들과의 거리는 16km이고 이 거리는 대략 마포에서 강남까지의 거리이다. 한마디로 서울의 중심인 종로에서 해킹을 시도할 때 그 해킹대상이 되지 않을 서울에 있는 차량은 아마도 없을 것이다.

한국시간 2017년 2월 12일, 찰리밀러와 크리스 발라섹은 그 동안 연구 했던 자동차 해킹과 관련하여 해킹자료 및 툴을 모두 공개하였다. 해당 관련 자료는 아래 링크에서 확인할 수 있다.

유성경 yuopboy@grayhash.com