해킹대회에서 보안 뚫린 테슬라
에너지관리 시스템, 블루투스 칩셋에 취약점 노출
자동차 소프트웨어 이대로 괜찮을까?
자율주행 기술 상용화에 앞서 사이버 보안의 필요성이 대두되고 있다. 그런데 업계 선두로 꼽히는 테슬라의 소프트웨어가 해커톤 대회에서 손쉽게 해킹됐다는 소식이 전해졌다.
지난 26일(현지시간) 악시오스와 블리핑컴퓨터 등 주요 외신 보도에 따르면, 캐나다 밴쿠버에서 개최된 폰투온(Pwn2Own) 해커톤에서 테슬라 시스템 해킹이 시연됐다.
이 해킹 대회에서 프랑스의 보안 기업인 시낙티프(Synacktiv)는 테슬라의 최신 모델 3 제어 관련 소프트웨어를 해킹하는 데 성공했다.
테슬라는 사이버 보안에 많은 투자를 하고 있으며, 우크라이나 전쟁 중 러시아 해커들이 스타링크 인터넷 서비스를 뚫지 못한 사실이 알려져 테슬라의 보안이 입증되기도 했지만 이번 대회에서 이틀 연속, 단 2분 만에 손쉽게 해킹이 이뤄져 큰 충격을 안겨 주고 있다.
[글] 박재희 에디터
폰투온은 제로데이이니셔티브가 마이크로소프트(MS), 애플, 테슬라 등과 협력해 해킹 과제를 제시하고 이를 성공적으로 풀어낸 팀에게 상금을 부여하는 방식으로 진행되는 해킹대회다.
시낙티프는 지난해 대회에서도 테슬라 인포테인먼트 시스템(IVI) 해킹에 성공한 바 있다. 올해 대회에서 시낙티브는 에너지 관리 인터페이스와 블루투스 취약점을 악용해 해킹에 성공한 것으로 알려졌다.
올해 대회에서 시낙티프의 연구팀은 단 2분 만에 테슬라 모델3 주행 중 차량문을 열 수 있음을 입증했다. 테슬라 게이트웨이(Tesla Gateway) 에너지 관리 시스템의 취약점을 통해 액세스 권한을 획득함으로써 해커는 차량이 움직이는 동안 모델3의 프렁크 또는 차량 문을 열 수 있었던 것으로 전해졌다.
이뿐만 아니었다. 시낙티프 팀은 다음날 훨씬 더 어려운 해킹에 성공했다. 인포테인먼트 시스템을 파괴하고 다른 하위 시스템에 대한 루트 액세스 권한을 얻었다는 설명이다. 외부 구성 요소인 블루투스 칩셋에서 발견된 힙 오버플로우 취약점(heap overflow)과 아웃 오브 바운드 라이트(out-of-bound write) 취약점을 추적해서 테슬라 내부 인포테인먼트 시스템으로 침투하는 데 성공한 것이다. 그리고 이를 발판 삼아 다른 하위 시스템들에 대한 루트 권한을 얻어낼 수도 있었다.
주목되는 점은 인포테인먼트 시스템 해킹을 통해 실제 차량 제어와 연결되는 영역까지 침입에 성공했다는 점이다. 해커가 취약점을 악용해 침입에 성공할 경우 차량의 앱은 물론 차량 내 다양한 장치의 제어권을 획득할 수 있다는 의미다. 점차 소프트웨어를 비롯해 전자제어 장치의 비중이 증가하는 자동차 시장에 경종을 울릴 수 있는 사례다.
특히 성장하고 있는 전기차 업계는 내연기관 차 대비 훨씬 더 많은 전자제어 장치가 들어간다. 소프트웨어 만으로 차량 대부분의 기능을 제어하기 때문에 보안이 한번 뚫리면 치명적일 수 있다. 만약 주행 및 조향 관련 소프트웨어까지 침입이 이뤄지고 악용된다면 교통사고와 인명피해까지 발생할 수 있는 문제다.
해커톤 대회의 취지는 소프트웨어 취약점을 발견해 이를 보완하는 것이다. 따라서 대회 주최 측은 참가팀들로부터 공격 방법을 공유 받아 취약점을 패치하고 보고서를 공유할 예정이라고 밝혔다. 다만 취약점이 치명적으로 작용할 수 있는 만큼 이번 대회를 계기로 제조사는 경각심을 가질 필요가 있겠다.
