[세계는지금]

"원거리 차량 해킹 언제든 가능"

인터넷에 연결된 커넥티드 카, 차량의 모든 기능 원격 조정

2년 만에 무선 해킹 비약적 발전… 美 정치권도 제도 보완에 나서

해커들의 원격 해킹으로 브레이크가 작동하지 않게 된 스포츠유킬리티 차량 지프 체로키가 도로변 구덩이에 빠져있다. 와이어드 제공

2년 전 발생한 독립언론 버즈피드 소속 마이클 해스팅스 기자(당시 33세)의 죽음은 많은 의구심을 낳았다. 해스팅스는 이라크와 아프가니스탄 전쟁에 종군기자로 일하면서 아프간 미군사령관과의 인터뷰를 통해 그를 경질시키는 등 미국 정부와 군의 비리를 캐며 종횡무진 활약해왔던 인물이다. 그런 그가 2013년 6월18일 새벽 미국 로스앤젤레스 할리우드거리에서 운전 중 돌연 중앙선을 넘어 나무를 들이받고 현장에서 즉사한 것. 그런데 사고 전날 그의 의문스런 행적이 드러나면서 그의 사망이 사고가 아닌 타살에 의한 것이라는 의혹이 제기됐다. 해스팅스는 사고 전날인 17일 버즈피드 동료들에게 메일을 보내 “미국 연방수사국(FBI) 등 정부 요원들이 내 친구와 지인들을 캐고 다닌다”라며 자신의 주변을 FBI가 감시하고 있음을 암시했다. 당시 해스팅스는 데이비드 페트레이어스 중앙정보국(CIA) 국장의 낙마를 부른 성 추문을 취재하고 있는 중이었다. 특히 사고 전날 해스팅스의 특이한 행동이 주목을 끌었다. 해스팅스는 “내 차가 누군가에 의해 조종당하고 있는 것 같다”라면서 급하게 이웃 주민의 차를 빌려 밖으로 나간 것이다.

미국 언론들은 “해스팅스의 차량은 안정성이 높은 벤츠였다”면서 “술에 취하지도 않은 그가 갑자기 차량을 몰아 중앙선을 넘어 나무로 돌진했다는 것은 선뜻 납득하기 어렵다”고 지적했다. 이 때문에 그의 사망 원인이 ‘자동차 해킹에 의한 타살’이라는 의혹이 제기됐다. CIA 또는 FBI가 해스팅스 차량을 해킹, 원격조정을 통해 사고를 유도했다는 것이다. 의혹이 커지자 FBI는 이례적으로 “해스팅스를 조사한 바 없다”고 부인하는 성명을 내놓기도 했다. 자동차 해킹과 관련한 해스팅스의 죽음에 관한 논란은 2년이 넘게 지났지만 여전히 현재 진행형이다.

차량 해킹에 의한 살인은 과거 공상과학 영화에나 나오던 얘기였다. 고속도로를 달리는 차량을 원거리에서 노트북으로 해킹한 후 핸들이나 브레이크 등을 조작해 대형 사고를 일으키는 일 말이다. 하지만 최근 이 같은 위협이 눈앞의 일로 현실화하고 있다. 인터넷과 무선통신 등을 통해 다른 정보기기와 연결되는 자동차 시스템인 ‘커넥티드 카’(Connected car)가 점차 보편화되고 있는데, 차량에 탑재되는 정보통신(IT) 기능이 강화될수록 해킹에 대한 취약도도 커질 수밖에 없다는 게 보안 전문가들의 공통된 의견이다.

커넥티드 카는 도로상황과 내비게이션, 기상 상태 등의 정보 제공은 물론 차량의 정비 및 원격진단, 차량 간 통신, 사고 발생시 응급서비스 자동 호출 등 편리함과 기능성을 갖추고 있기 때문에 아우디, 폭스바겐, 제너럴모터스(GM) 등 대형 자동차 기업들이 앞다투어 개발에 나서고 있다. 커넥티트 카는 최종적으로 자동차가 운전자 없이 움직이는 자율주행 자동차를 목표로 하고 있다는 점에서 차량 해킹 문제는 자동차 산업계의 기술 발전은 물론 운전자의 안전을 위해서라도 더 이상 방치할 수 없는 문제가 되고 있다.

해커들이 차량 내부 시스템을 해킹하기 위해 휴대폰을 이용, 타깃이 되는 차량 네트워크에 접속을 시도하고 있는 모습. 와이어드 제공

프로 해커, 차량 해킹 시연으로 충격

미국 IT 전문매체인 와이어드는 지난달 21일 국가안전보장국(NSA) 해커 출신 찰리 밀러와 보안 전문회사 IO액티브 연구원 크리스 발라섹이 피아트크라이슬러의 스포츠유틸리티(SUV) 차량인 지프 체로키를 해킹하는 영상을 공개해 충격을 줬다.

해커들은 약 16㎞ 떨어진 지점에서 달리던 차량의 라디오와 에어컨, 와이퍼, 브레이크 등을 마음대로 조정해 보였다. 동영상을 보면 미국 중서부 세인트루이스 인근 고속도로를 시속 110㎞로 달리던 지프 체로키가 해커들이 노트북으로 지시하는 명령에 따라 갑자기 속도를 줄이더니 에어컨을 운전자의 의도와 상관없이 가동하고, 앞유리의 와이퍼를 작동하기 시작한다. 운전자는 차량이 해킹된다는 사실을 알고 있었지만 얼굴에 당혹스러움을 감추지 못했다.

특히 앞유리에 세정액이 뿜어져 나와 시야를 가릴 때는 운전자의 얼굴이 사색이 됐다. 통제력을 잃은 차량이 결국 도로를 벗어나 구덩이에 빠지는 것으로 동영상은 끝났다. 동영상이 공개된 후 피아트크라이슬러는 지프 체로키 140만대를 미국에서 리콜한다고 밝혔다. 해킹을 막기 위한 보안 업데이트를 하겠다는 이유였다.

이런 식의 해킹이 가능했던 것은 지프 체로키가 ‘유커넥트’라는 시스템이 탑재된 최첨단 커넥티드 차량이기 때문이다. 인터넷에 연결된 차량은 개인 컴퓨터처럼 고유 인터넷프로토콜(IP) 주소를 갖는데, 해커는 IP 주소만 알아내면 해당 차량의 모든 기능을 원격 조정할 수 있다. 찰리 밀러와 크리스 발라섹은 지프 체로키의 유커넥트 시스템을 해킹해 차량의 고유 IP 주소를 알아냈다고 밝혔다. 해커가 IP 주소를 이용해 차량의 메인 시스템에 접근하고, 그곳에 악성코드를 심어 캔(Controller Area NetworkㆍCAN) 데이터 버스를 통해 강제 명령을 하달하는 식이다. 캔 데이터 버스는 자동차 안전시스템 등의 데이터 전송을 위해 사용되는 것인데 엔진 제어와 브레이크 잠김 방지장치인 ABS(Antilock Braking System), 서스펜션 등은 물론 전등, 자동잠금 장치, 운전석 시트조절 장치, 창, 에어백 등에까지 관여한다. 해커가 캔 데이터 버스에 대한 통제권을 확보할 경우 운전자가 할 수 있는 건 아무것도 없게 된다. 차를 멈추는 것도 불가능하지만, 심지어 차에서 화재가 나도 문을 열고 내릴 수 없게 되는 상황에 몰릴 수 있다.

이번 해킹 시연이 특히 충격적이었던 이유는 해킹 기술이 짧은 시간 동안 비약적으로 발달했다는 사실을 의심의 여지없이 확인할 수 있었기 때문이다. 찰리 밀러와 크리스 발라섹은 2년 전인 2013년 중순 포드의 이스케이프와 도요타의 프리우스에 대한 해킹을 시연한 적이 있다. 당시에는 무선 해킹이 불가능해 노트북을 차량과 데이터 선으로 연결, 겨우 해킹에 성공할 수 있었다. 하지만 2년이 지난 현재 해커들은 차량에 물리적으로 접촉하지 않고도 원거리에서 해킹해 언제든지 운전자를 위험에 빠뜨릴 수 있게 된 것이다. 발라섹은 “해킹을 통해 자동차의 위치 추적도 가능하다”면서 “기업들이 자동차 해킹 문제를 간과해 왔는데 악용되기 시작하면 이보다 끔찍한 일은 없을 것이다”고 지적했다.

BMW와 GM 등 차량 해킹 위협 전세계로 확산

IT 기술이 자동차 기능에 접목되면서 자동차 해킹에 대한 불안감은 점점 커지고 있는 실정이다. 지난 2월에는 약 220만대의 BMW 차량이 코딩 에러로 인해 제3자에 의해 원격으로 차문이 열릴 수 있다는 오류가 발견되면서 논란이 일었다. 커넥티브 카를 기본으로 하는 BMW가 사실상 자동차 해킹으로부터 안전하지 않다는 사실이 드러났기 때문이다. 지난달 30일에는 해커인 새미 캄가가 동영상 공유사이트인 유튜브를 통해 GM 차량을 해킹하는 시연을 선보이기도 했다. 그는 동영상에서 GM 차량의 위치를 추적하는 것은 물론 운전자 몰래 문을 열거나 시동을 걸기도 했다. 특히 새미는 약 100달러(약 11만원)를 들여 GM 차량을 해킹할 수 있는 단말기를 만들었다고 밝혀 충격을 줬다. 자동차 해킹을 하는데 드는 비용이 작은 만큼 불순한 목적을 가진 이들이 손쉽게 만들어 악용할 여지가 커지기 때문이다.

특히 자율주행차를 목표로 연구를 진행 중인 기업들에게 차량 해킹은 쉽게 넘지 못할 걸림돌이 될 것이란 우려가 확산되고 있다. AFP통신은 지난 6월 미국 보안업체 미션시큐어와 페론 로보틱스, 버지니아대 인력으로 구성된 공동 연구진의 연구결과를 인용해 자율주행차의 보안 위험성을 지적했다. 연구진은 해킹 공격을 받은 자율주행차가 장애물 감지 시 어떻게 반응하는지에 대한 시나리오를 구성하고 실험에 나섰는데, 연구결과 무선 해킹 공격을 받은 자율주행차는 장애물을 인지하지 못하고 그대로 충돌하는 것으로 나타났다.

미 정치권은 점차 문제의 심각성을 인식하고 대응에 나서고 있다. 에드워드 마키 미국 민주당 상원의원은 최근 차량의 보안 기준을 강화하도록 규제하는 내용의 법안을 제출하기로 했다. 마키 의원은 “자동차 업체들은 자율주행시스템 등으로 첨단화에 앞장서고 있지만 보안에는 취약하다”면서 “자동차 업체들이 보안 업체와의 실질적 합의를 통해 첨단 사양을 탑재하고 있는 운전자들의 안전을 보장해야 한다”고 강조했다.

하지만 날로 증가하는 차량 해킹 위험에 비해 차량 보안기술은 여전히 미진한 수준에 머물러있다. 찰리 밀러와 크리스 발라섹은 2013년 차량 해킹 시연을 보인 이후에 20개의 자동차 제조업체에 이메일을 보내 관련 위험성을 경고했다. 하지만 2년이 지난 현재 차량 해킹을 방지하기 위해 보안 업체와 기술 제휴를 맺은 업체는 7개에 불과한 것으로 나타났다. 차량 보안전문가인 조쉬 콜맨은 “해킹 기술은 보안 기술보다 훨씬 빠르게 발전하고 있다”면서 “새로 출시된 차량을 해킹하는데 1년이 걸린다면 그 차량의 보안기술을 개발하는 데는 3~4년이 걸리는 게 현실”이라고 경고했다.

김현우기자 777hyunwoo@hankookilbo.com

공감은 비로그인 상태에서도 가능합니다

api_db 저작권자 © 한국일보 무단전재 및 재배포 금지

국제 최신기사