지난 7월 1일 중국 상하이에서 개최된 MOSEC 2016 컨퍼런스에서 러시아 마이클 엘리자로브(Michael Elizarov)는 최근 이슈가 되고 있는 자동차 해킹과 관련된 발표를 진행했다.

 
이번 발표에서 그는 “자동차는 ECU(Electronic Control Unit: 엔진, 자동변속기, ABS 등을 제어하는 전자제어 장치)와 센서간 통신을 위한 CAN 네트워크를 가지고 있다”며 “이CAN 네트워크를 리버스 엔지니어링하기 위한 오픈소스 프레임워크인 ‘CANToolz’를 개발했으며, 이를 통해 통신을 제어하는데 성공한 내용을 공유했다”고 전했다. 발표후 데일리시큐는 마이클과 인터뷰 시간을 가질 수 있었다.
 
그는 6개월 전에 혼다 시빅 9세대(2012년)를 해킹하는데 성공했다고 밝혔다. 엔진을 끄고 자동자 문을 열고 닫고 속도를 조절하는 등 원격에서 할 수 있는 모든 것에 성공했다고 전했다. 그가 소속돼 있는 ‘TRUST M’이라는 자동차 해킹팀에서 ‘CANToolz’를 개발해 해킹이 가능했다는 것.

 
CANToolz는 차량에서 발생하는 패킷을 분석할 수 있는 소프트웨어라고 할 수 있다. 이 패킷을 조작해 자동차를 제어할 수 있게 되는 것이다.
(CANToolz에 대한 보다 자세한 사항은 다음 링크를 참조하면 된다. github.com/eik00d/CANToolz)
 
마이클이 현재까지 테스트한 차량 종류는 혼다, BMW, 폭스바겐, 벤츠 등이며 모두 해킹에 성공했다고 한다. 다음은 닛산차를 연구할 계획이다. 또 그는 한국 자동차에 대해서도 일본차와 시스템이 크게 다르지 않기 때문에 해킹이 가능하다고 주장한다. 그것도 일주일이면 모든 제어권을 가져올 수 있다고 한다.
 
마이클은 “제조사에 해당 문제점에 대해 연락을 취해 알려줬다. 하지만 현실적인 해결책이 없다. 차량 소프트웨어 펌웨어 전체를 바꿔야 하기 때문에 엄청난 비용문제가 발생하기 때문이다. 하지만 향후 차에는 더 많은 소프트웨어들이 사용되고 컴퓨터로 제어할 수 있는 부분이 증가하고 있어 악의적 해커에 의해 사고로 이어질 수 있는 확률이 더욱 높아지고 있어 대비책이 필요하다”고 강조했다.

 
특히 그는 “차에 탑재된 안드로이드 전용 ‘안드로이드 오토(Android Auto)’라는 프로그램은 너무 취약하다. 안드로이드 오토는 구글에서 개발한 커넥티드카 소프트웨어로 스마트폰을 자동차와 연동시키는 역할을 한다. 최근 출시되고 있는 대부분 차량에 탑재되고 있다. 현대기아차, 혼다, 포드, 폭스바겐, 아우디, 벤틀리, 제네시스 등 모든 차량에 탑재되고 있는 소프트웨어다. 하지만 안드로이드 오토에 사용되는 안드로이드 버전 업데이트가 제대로 되지 않아 이미 알려진 익스플로잇만으로도 얼마든지 해킹이 가능한 상황이다”라고 우려했다.
 
CANToolz 등 차량 패킷 조작이 가능한 프로그램으로 해킹이 가능한 상황이며 ‘안드로이드 오토’ 등 차량용 안드로이드의 버전 업데이트가 제대로 이루어지지 않아 이미 알려진 취약점에도 공격이 가능한 상황이다.

 
또 그는 차 해킹 도구로 50달러면 시중에서 누구나 구입할 수 있는 ‘Usbtin’을 보여주며 차에 연결해서 모든 기능을 해킹할 수 있다고 설명한다. 마이클은 최근 Usbtin 무선버전을 연구하고 있다. 원격에서도 차에 대한 해킹이 가능하도록 말이다. 전기자동차와 자동주행 차량이 향후 자동차 시장을 주도할 것으로 예상되는 만큼 자동차 해킹으로 인한 사고는 우리의 생명까지 위협할 수 있는 상황이다. 자동차 제조사와 이 분야 전문해커들의 유기적인 연구를 통한 대책마련이 시급해 보인다. (Usbtin에 대한 자세한 사항은 데일리시큐 자료실에서 다운로드 가능하다.)
 
★정보보안 대표 미디어 데일리시큐!★
 
<중국 상하이=데일리시큐 길민권 기자> mkgil@dailysecu.com