<손안의 스파이 스마트폰-2> 자동차를 해킹한다

아주경제 장윤정 기자 = 스마트폰이 자동차를 해킹할 수 있다는 사실이 본지 시연을 통해 입증됐다.
26일 본지와 고려대학교 정보보호대학원의 시연에 따르면 안드로이드 마켓에 올려둔 악성 앱을 이용, 원격으로 자동차를 해킹해 제어할 수 있다는 사실이 밝혀졌다. 

특히 최근 스마트 카 등이 인기를 끌며 고급형 자동차일수록 언제 어디서나 인터넷과 연결돼 전자적으로 구현, 제어되는 내부 장치들이 증가하고 있다. 이에 따라 자동차 해킹은 더 이상 드라마, 영화속의 공상과학이 아닌, 현실에서 발생할 수 있는 문제로 부상했다.

스마트폰을 이용한 자동차해킹 시나리오 구성도

◆ 자동차 해킹, 생명과 직결된 치명적 위협

고려대 정보보호대학원과 본지는 먼저 안드로이드 마켓에 올려진 자동차 연비, 이동거리 경로 등을 체크해주는 자동차 자가진단 앱을 내려 받아 이를 가짜 앱으로 위변조했다. 이어 고려대 정보보호대학원 실험팀은 자동차 내부 OBD2단자에 와이파이, 블루투스 통신을 지원하는 무선통신모듈을 설치했다. 

무선통신모듈로 운전자의 스마트폰과 자동차를 무선으로 연결, 웹 서비스를 통해 가짜 자동자 자가진단 앱을 스마트폰에 설치하자 피해자의 스마트폰은 해커의 손아귀에 들어갔다. 가짜 앱이 차량 내부 네트워크(CAN 통신)와 무선 연결돼 엔진 출력과 엔진오일 잔여량, 연비 상태, 주행거리 등 모든 차량 정보를 해커에게 전송했다.

 

스마트폰을 이용해 자동차내부와 연결, 해킹을 시도하는 장면

해커가 자동차의 운용현황을 모니터링한 후 공격을 수행하자 운전자가 건드리지도 않은 엑셀이 밟혀 자동차가 저절로 움직였다. 브레이크도 듣지 않았다. 해커의 명령에 따라 자동차의 RPM이 제멋대로 치솟는가 하면 핸들을 조작, 방향도 해커 마음대로 바꿀 수 있었다. 

고려대 정보보호대학원의 조사에 의하면 지난 2012년 4월 조사결과 안드로이드마켓에 130여종, 애플 앱스토어에 40여종의 자동차 관련 앱이 판매되고 있다. 

이 앱들이 위변조 된다면 거리에 상관없이 미국에서 서울의 자동차를 해킹, 제어가능할 수도 있다. 위변조된 자동차 관련 앱을 내려 받은 사용자들을 무작위로 공격할 수도 있고 국가 주요 인사 등 특정 사용자를 겨냥, 표적공격을 수행할 수도 있다. 

이동훈 고려대학교 정보보호대학원 교수는 “무선모듈은 2~30만원선의 제품으로 누구나 장비와 앱을 쉽게 구입할 수 있다”며 “이처럼 누구나 손쉽게 구매 할 수 있는 장비를 이용해 자동차 내부 네트워크에 특정 신호를 발생시켜 엔진, 바퀴, 기어, 엑셀, 계기판 등에 오작동 유발하는 공격이 가능하다”고 말했다. 

운전자의 의지와 상관없이 해커가 스마트폰으로 시동을 끄고 켜는 등 조작이 가능하다

◆차량 보안 메커니즘 연구·개발 시급

특히 스마트폰은 다른 디바이스들과 달리 24시간 켜져 있기 때문에 상시 감염이 가능하고 제어도 할 수 있어 스마트폰을 통한 자동차 해킹이 상대적으로 손쉽다. 감염된 후에도 스마트폰의 백그라운드에서 앱이 작동되고 있기 때문에 사용자는 스마트폰이 감염된 사실조차 눈치 채지 못한다. 

또한 통신접근 권한이나 명령 제한이 없는 무선통신모듈은 외부 공격에 취약해 암호화되지 않은 내부 정보를 쉽게 탈취할 수 있다. 

고려대 정보보호대학원 실험팀은 자동차 CAN 통신상의 모든 데이터가 평문으로 암호화되지 않았다는 사실에 착안해 리버싱(역추적)을 통해 CNA 명령어를 찾아내 이를 공격에 활용했다. 모든 자동차회사의 CAN 명령어 형식이 각기 다르고 기밀에 속하지만 마음만 먹으면 이처럼 해독이 가능하다. 

이번 시연에서 보여진 바와 같이 커넥티드 카(Connected Car)와 스마트폰 앱(App)을 통한 자동차 위협 가능성이 급증하고 있지만 국내에서 이에 대한 대비는 거의 전무하다. 

이 교수는 “미국, 독일 등에서는 해외에서는 자동차 해킹에 대한 연구가 진행중이지만 국내에서는 아직 대응이 미약하다”며 “국내서도 차량 자동차 전자 제어 시스템(ECU)을 통제하는 CAN 통신에 적용 가능한 보안 메커니즘 연구 및 개발이 시급하다”고 설명했다.

스마트폰을 이용한 자동차해킹 순서 공격시나리오

그는 “자동차 해킹은 스미싱이나 도청 등 경제적, 정보유출 등의 피해에 국한되는 것이 아니라 생명과 직결된 문제이므로 더욱 중요하다”며 “자동차는 향후 IT기기와의 결합으로 더욱 지능화되어가겠지만 보안 상 서비스의 역기능, 위변조 위협을 사전에 해결해야할 것”이라고 강조했다.