커넥티드카가 휴대폰 SMS를 통해 자동차 내부 유심(USIM)과 통신할 수 있는데, 이 과정에서 사이버 범죄자들이 통신을 장악할 수 있다는 연구조사 결과가 발표됐다.
카스퍼스키랩이 스페인 마케팅·디지털 미디어 기업 IBA와 함께 진행한 ‘연례 커넥티드 카 연구조사(Annual Connected Cars Study)’에 따르면 일부 커넥티드 카의 기능은 문자 메시지 전송 서비스(SMS)를 활용한 자동차 내부의 유심과 통신이 가능하다. 이 통신 채널을 뚫으면 운영자의 암호화 수준에 따라 가짜 명령이 전송될 수 있는데, 심한 경우 BMW의 커뮤니케이션이 사이버 범죄자들의 명령 및 서비스로 대체되기도 한다.
이 연구조사는 현재 각 운영 체제 제조사별로 파편화된 소프트웨어 생태계에 대한 잠재적인 보안 문제에 답을 얻고, 커넥티드 카 시장에 대한 전반적인 개요를 제공하기 위해 실시됐으며, 카스퍼키스랩의 비센티 디아즈 수석 보안 연구원은 커넥티드 카의 안전성 문제를 분석하기 위해 개념증명(PoC)을 수행했다.
보고서에 따르면 새로운 커넥티드 카 시대를 맞아 자동차에서의 소셜 네트워크, 이메일, 스마트폰 연결, 경로 탐색 및 자동차 내부 앱에 대한 접속 등 통신 및 인터넷 연결이 갖는 안전성 문제에 관심을 가져야 한다고 밝혔다.
이러한 기술은 오늘날 운전자들에게 많은 혜택을 가져다 주는 한편, 새로운 차원의 위협을 야기하기도 하므로 사이버 공격 및 데이터 유출 사고, 부실한 자동차 관리와 같은 여러 요인들에 대한 분석이 필수적이다.
사이버 범죄자들은 커넥티드 카의 프라이버시, 업데이트 및 스마트폰 애플리케이션과 같은 세가지 요인을 사용해 사이버 공격을 감행한다. 디아즈 연구원은 “커넥티드 카로 인해 PC 및 스마트폰에서 야기됐던 여러 보안 위협들이 재확산 될 위기에 있다. 예를 들어 커넥티드 카의 비밀번호가 탈취될 경우 자동차의 위치 추적은 물론 원격으로 자동차의 잠금 장치의 기능을 조작할 수 있다”며 “이처럼 프라이버시 이슈는 매우 중요하며, 커넥티드 카 운전자들은 과거엔 존재하지 않았던 새로운 위협에 대해 인지하고 있어야 한다”고 말했다.
카스퍼키스랩은 BMW가 발표한 커넥티드 드라이브(ConnectedDrive) 시스템 분석 결과를 바탕으로 향후 발생가능성이 높은 공격 요인에 대해 계정탈취, 모바일 애플리케이션 보안 취약점 공격, 업데이트 과정에서의 문제, 통신 채널 공격 등의 문제를 들었다.
▲계정 탈취= 피싱 등의 공격으로 BMW 웹사이트에 등록된 사용자의 개인정보가 탈취될 경우, 사용자 정보에 대한 비승인된 외부 접근이 가능해지고 이를 통해 잠재적으로 자동차를 조작할 수 있는 원격 서비스가 가능해진다.
▲모바일 애플리케이션=자동차를 모바일에서 조작 가능하게 설정돼 있고 별도의 앱 보안이 갖춰져 있지 않다면, 휴대폰을 도난 당할 경우 자동차에 접근해 애플리케이션 변경 및 비밀번호 인증 수행이 가능하므로 보다 쉽게 사이버 공격을 실행할 수 있다.
▲업데이트=블루투스 운전자는 BMW 웹사이트가 제공하는 파일을 다운로드 및 USB에 설치함으로써 더 높은 차원의 커넥티드 카를 경험할 수 있다. 그러나 해당 파일은 암호화 또는 인증되지 않은 상태로 제공되며, 자동차 구동을 가능케 하는 내부 시스템에 관한 방대한 정보를 포함하고 있다. 이는 잠재 공격자들에게 타겟 환경에 대한 접속 권한을 제공하며, 악성 코드가 설치될 수 있게 수정될 수 있다.
▲통신=일부 커넥티드 카의 기능들은 문자 메시지 전송 서비스(SMS)를 활용한 자동차 내부의 유심(USIM)과 통신이 가능하다. 이 통신 채널을 뚫으면 운영자의 암호화 수준에 따라 '가짜' 명령이 전송될 수 있는데, 심한 경우 BMW의 커뮤니케이션이 사이버 범죄자들의 명령 및 서비스로 대체되기도 한다.
