2017.03.14

"자동차 해킹 탐색한 CIA? 놀랍지도 않다" 보안 전문가 평가

Lucas Mearian | Computerworld
위키리크스(Wikileaks)에 따르면 점차 많은 차량과 트럭에 자동화 기능이 탑재되고 있는 가운데, CIA가 차량 컴퓨터 제어 시스템을 해킹하는 방안에 관해 연구하고 있다. 이 에 대해 소비자들이 관심을 가질 필요가 있다는 주문이 제기됐다.

프라이버시 그룹 EFF(Electronic Frontier Foundatio)의 변호사 키트 월쉬는 “차량에 추가되는 모든 컴퓨터에 대한 관심을 가지는 것이 적절하다. CIA 또는 국가별 정보기관 또는 악당이 이런 취약성을 이용해 사람들을 해치지 않을 이유가 없다”라고 말했다.

그는 이어 “자율 주행 자동차를 신뢰하는 경우 위험이 더 클 수 있다”라고 덧붙였다.

이번 주 위키리크스는 CIA의 CCI(Center for Cyber Intelligence)에서 입수했다는 8,700건 이상의 문건을 공개했다. 그 중 일부에는 이 정보기관이 스마트폰, 스마트 TV, 차량 컴퓨터 시스템의 보안 취약성을 연구했다고 명시되어 있다.

위키리크스는 게시물을 통해 "2014년 10월 현재, CIA는 오늘날의 차량과 트럭이 사용하는 차량 제어 시스템을 감염시키는 방법을 찾고 있었다. 그 목적은 명시되어 있지는 않다. 그러나 만약 CIA가 이를 이용해 가담한 암살 사건이 발생한다면, 그를 발견하기가 거의 불가능할 것이다”라고 주장했다.

또한 위키리크스는 CIA의 EDB(Embedded Devices Branch)에서 “잠재적인 목표 영역”을 열거한 2014년의 회의록도 링크했다. 해당 메모에서는 ‘차량 시스템’ 그리고 텔레매틱스 및 IVI(In-Vehicle Information) 시스템용 블랙베리(Blackberry)의 자동차 소프트웨어 플랫폼인 ‘QNX’가 언급되어 있었다.

실제로 자동차 기업들은 점차 QNX를 도입하고 있다. 예를 들어, 2016년 포드(Ford)는 자사의 SYNC 인포테인먼트 시스템용 플랫폼으로써 마이크로소프트 대신에 QNX를 도입한다고 발표했다. QNX를 사용하는 포드의 새로운 SYNC 3는 지난 해 새로운 차량에 적용돼 출시되었다.

또한 자동차 제조사들은 악성 코드를 온보드 컴퓨터 시스템에 업로드할 수 있는 차량용 OTA(Over The Air) 소프트웨어 업데이트를 지원하는 차량을 선보이고 있다.

정부의 역할은 국민을 보호하는 것이다
미 정부의 역할은 제품 제조사들이 잠재적인 위험을 악용하는 것이 아니라 인지하도록 보안 취약성을 연구하는 것이라고 월쉬가 지적했다.

2014년, 오바마(Obama) 행정부는 미국인들에게 VEP(Vulnerability Equities Process) 정책으로 인해 연방 조직이 주요 보안 취약성에 영향을 받는 기업들에게 이를 공개할 것이라고 약속한 바 있다. 이에 따르면 보안기관들이 발견한 보안 구멍은 국가 방어에만 활용해야 한다.


BMW i3 자율 주행 자동차는 BMW, 인텔, 모바일아이(Mobileye)가 공동 개발했다.

월쉬는 “정부 기관들이 취약성을 공개함으로써 기업들이 이를 수정하고 미국인들을 보호할 수 있도록 해야 한다. 이번 사례는 대형 정부 조직이 규칙을 준수하지 않고 악용할 수 있는 대표적인 예다”라고 말했다. 그는 “이전에도 미 정부가 이런 적이 있었다”라고 말했다.

지난해, 자칭 셰도우 브로커스(Shadow Brokers)라는 그룹은 네트워크 방화벽을 침투하도록 개발된 NSA(National Security Agency)의 해킹 툴셋의 일부로 보이는 것을 공개했다. 여기에는 제로데이(Zero Day) 취약성으로 알려진 이전에 알려지지 않았던 여러 보안 구멍에 관한 정보가 포함되어 있었다.

로이터의 보도에 따르면 NSA 툴셋은 시스코와 포티넷이 생산하는 네트워킹 제품에서 널리 사용되는 취약성을 악용하기 위해 개발됐다.

현재, 취약성 공개 여부에 대한 결정은 이론적으로 VEP가 관장하고 있지만 정책은 정부에 법적 구속력이 없기 때문에 힘이 없다고 EFF가 한 블로그를 통해 밝혔다.

암호 기법과 컴퓨터 보안 전문가 브루스 슈나이어는 정부의 규제가 보완될 필요가 있다고 말했다.

그는 “큰 문제다. 직접적인 물리적 방식으로 세계에 영향을 끼치고 재산과 생명에 위험을 끼칠 수 있다”라고 말했다.

슈나이어는 CIA가 시민들을 염탐하고 적들을 암살할 방법을 찾기 위해 제로데이 취약성을 연구한 것이 분명하다고 분석했다.



그는 “최악의 상황은 VEP가 방어를 우선시한다는 오바마 행정부의 약속이 거짓으로 드러나는 것”이라고 말했다.

워싱턴 포스트(The Washington Post)에 따르면 위키리크스가 공개한 CIA의 해킹 노력의 목적을 개별적으로 확인할 수는 없었으며 해당 정보 기관은 해당 활동을 부인했다.

수 차례 화이트 햇(White Hat) 해킹을 통해 차량을 원격으로 해킹하여 통제할 수 있음이 입증되면서 차량 사이버 보안이 자동차 제조사 및 입법자들의 선결과제로 부상했다.

오늘날의 차량은 수 십 대의 컴퓨터로 1억 줄의 코드를 처리하며, 평균 1,000줄당 15개의 버그가 존재해 해커 지망생들이 악용할 수 있다고 내비건트 리서치(Navigant Research)가 밝혔다.

더 많은 차량 모델에 셀룰러, Wi-Fi, 블루투스(Bluetooth) 연결성이 탑재되면서 전문가들은 무선 스니핑(Sniffing) 장치나 인터넷을 통해 해커들이 원격으로 액세스를 획득할 수 있는 위험성이 나타나고 있다고 지적하고 있다. 가트너에 따르면 2020년까지 2억 5,000만 대의 무선 커넥티드 차량들이 도로 위를 달릴 전망이다.

일례로 2015년에는 보안 전문가 찰리 밀러와 크리스 발라섹은 와이어드(Wired)지와 협업하여 지프 체로키(Jeep Cherokee)의 엔터테인먼트 시스템과 다른 좀 더 중요한 기능을 원격으로 해킹하여 통제하는 방법을 시연한 바 있다.

두 해커들은 숙련된 IT보안 연구원들이다. 밀러는 NSA 해커 출신이자 트위터(Twitter)의 보안 연구원이고 발라섹은 컨설팅 기업 IO액티브(IOActive)의 보안 연구 책임자이다.

해킹 시연으로 인해 세계에서 7번째로 큰 자동차 제조사인 피아트-크라이슬러 오토모빌(FCA)은 소프트웨어 구멍을 수정하기 위해 140만 대의 차량을 리콜해야 했었다.

월쉬에 따르면 과거의 행동을 분석할 때 악의적인 해커들은 일반적으로 사람들을 해치기 위해 컴퓨터 시스템에 침투하지 않는다. 대개는 시스템을 악용해 재정적인 이득을 취하는 것이다. 그러나 CIA가 차량 컴퓨터 시스템을 해킹하는 방법을 연구하고 있었다면 일반적인 용도는 아니었을 것이라고 그는 지적했다.

슈나이어 또한 “20년 전에도 차량의 브레이크 라인을 손상시켜 사람을 죽이는 방법을 찾던 사람들이다. 그것이 CIA이다. 그들은 그런 일을 한다. 분명 그랬을 것이라 확신한다. 그러지 않았다면 오히려 놀랄 일이다”라고 말했다. ciokr@idg.co.kr 



2017.03.14

"자동차 해킹 탐색한 CIA? 놀랍지도 않다" 보안 전문가 평가

Lucas Mearian | Computerworld
위키리크스(Wikileaks)에 따르면 점차 많은 차량과 트럭에 자동화 기능이 탑재되고 있는 가운데, CIA가 차량 컴퓨터 제어 시스템을 해킹하는 방안에 관해 연구하고 있다. 이 에 대해 소비자들이 관심을 가질 필요가 있다는 주문이 제기됐다.

프라이버시 그룹 EFF(Electronic Frontier Foundatio)의 변호사 키트 월쉬는 “차량에 추가되는 모든 컴퓨터에 대한 관심을 가지는 것이 적절하다. CIA 또는 국가별 정보기관 또는 악당이 이런 취약성을 이용해 사람들을 해치지 않을 이유가 없다”라고 말했다.

그는 이어 “자율 주행 자동차를 신뢰하는 경우 위험이 더 클 수 있다”라고 덧붙였다.

이번 주 위키리크스는 CIA의 CCI(Center for Cyber Intelligence)에서 입수했다는 8,700건 이상의 문건을 공개했다. 그 중 일부에는 이 정보기관이 스마트폰, 스마트 TV, 차량 컴퓨터 시스템의 보안 취약성을 연구했다고 명시되어 있다.

위키리크스는 게시물을 통해 "2014년 10월 현재, CIA는 오늘날의 차량과 트럭이 사용하는 차량 제어 시스템을 감염시키는 방법을 찾고 있었다. 그 목적은 명시되어 있지는 않다. 그러나 만약 CIA가 이를 이용해 가담한 암살 사건이 발생한다면, 그를 발견하기가 거의 불가능할 것이다”라고 주장했다.

또한 위키리크스는 CIA의 EDB(Embedded Devices Branch)에서 “잠재적인 목표 영역”을 열거한 2014년의 회의록도 링크했다. 해당 메모에서는 ‘차량 시스템’ 그리고 텔레매틱스 및 IVI(In-Vehicle Information) 시스템용 블랙베리(Blackberry)의 자동차 소프트웨어 플랫폼인 ‘QNX’가 언급되어 있었다.

실제로 자동차 기업들은 점차 QNX를 도입하고 있다. 예를 들어, 2016년 포드(Ford)는 자사의 SYNC 인포테인먼트 시스템용 플랫폼으로써 마이크로소프트 대신에 QNX를 도입한다고 발표했다. QNX를 사용하는 포드의 새로운 SYNC 3는 지난 해 새로운 차량에 적용돼 출시되었다.

또한 자동차 제조사들은 악성 코드를 온보드 컴퓨터 시스템에 업로드할 수 있는 차량용 OTA(Over The Air) 소프트웨어 업데이트를 지원하는 차량을 선보이고 있다.

정부의 역할은 국민을 보호하는 것이다
미 정부의 역할은 제품 제조사들이 잠재적인 위험을 악용하는 것이 아니라 인지하도록 보안 취약성을 연구하는 것이라고 월쉬가 지적했다.

2014년, 오바마(Obama) 행정부는 미국인들에게 VEP(Vulnerability Equities Process) 정책으로 인해 연방 조직이 주요 보안 취약성에 영향을 받는 기업들에게 이를 공개할 것이라고 약속한 바 있다. 이에 따르면 보안기관들이 발견한 보안 구멍은 국가 방어에만 활용해야 한다.


BMW i3 자율 주행 자동차는 BMW, 인텔, 모바일아이(Mobileye)가 공동 개발했다.

월쉬는 “정부 기관들이 취약성을 공개함으로써 기업들이 이를 수정하고 미국인들을 보호할 수 있도록 해야 한다. 이번 사례는 대형 정부 조직이 규칙을 준수하지 않고 악용할 수 있는 대표적인 예다”라고 말했다. 그는 “이전에도 미 정부가 이런 적이 있었다”라고 말했다.

지난해, 자칭 셰도우 브로커스(Shadow Brokers)라는 그룹은 네트워크 방화벽을 침투하도록 개발된 NSA(National Security Agency)의 해킹 툴셋의 일부로 보이는 것을 공개했다. 여기에는 제로데이(Zero Day) 취약성으로 알려진 이전에 알려지지 않았던 여러 보안 구멍에 관한 정보가 포함되어 있었다.

로이터의 보도에 따르면 NSA 툴셋은 시스코와 포티넷이 생산하는 네트워킹 제품에서 널리 사용되는 취약성을 악용하기 위해 개발됐다.

현재, 취약성 공개 여부에 대한 결정은 이론적으로 VEP가 관장하고 있지만 정책은 정부에 법적 구속력이 없기 때문에 힘이 없다고 EFF가 한 블로그를 통해 밝혔다.

암호 기법과 컴퓨터 보안 전문가 브루스 슈나이어는 정부의 규제가 보완될 필요가 있다고 말했다.

그는 “큰 문제다. 직접적인 물리적 방식으로 세계에 영향을 끼치고 재산과 생명에 위험을 끼칠 수 있다”라고 말했다.

슈나이어는 CIA가 시민들을 염탐하고 적들을 암살할 방법을 찾기 위해 제로데이 취약성을 연구한 것이 분명하다고 분석했다.



그는 “최악의 상황은 VEP가 방어를 우선시한다는 오바마 행정부의 약속이 거짓으로 드러나는 것”이라고 말했다.

워싱턴 포스트(The Washington Post)에 따르면 위키리크스가 공개한 CIA의 해킹 노력의 목적을 개별적으로 확인할 수는 없었으며 해당 정보 기관은 해당 활동을 부인했다.

수 차례 화이트 햇(White Hat) 해킹을 통해 차량을 원격으로 해킹하여 통제할 수 있음이 입증되면서 차량 사이버 보안이 자동차 제조사 및 입법자들의 선결과제로 부상했다.

오늘날의 차량은 수 십 대의 컴퓨터로 1억 줄의 코드를 처리하며, 평균 1,000줄당 15개의 버그가 존재해 해커 지망생들이 악용할 수 있다고 내비건트 리서치(Navigant Research)가 밝혔다.

더 많은 차량 모델에 셀룰러, Wi-Fi, 블루투스(Bluetooth) 연결성이 탑재되면서 전문가들은 무선 스니핑(Sniffing) 장치나 인터넷을 통해 해커들이 원격으로 액세스를 획득할 수 있는 위험성이 나타나고 있다고 지적하고 있다. 가트너에 따르면 2020년까지 2억 5,000만 대의 무선 커넥티드 차량들이 도로 위를 달릴 전망이다.

일례로 2015년에는 보안 전문가 찰리 밀러와 크리스 발라섹은 와이어드(Wired)지와 협업하여 지프 체로키(Jeep Cherokee)의 엔터테인먼트 시스템과 다른 좀 더 중요한 기능을 원격으로 해킹하여 통제하는 방법을 시연한 바 있다.

두 해커들은 숙련된 IT보안 연구원들이다. 밀러는 NSA 해커 출신이자 트위터(Twitter)의 보안 연구원이고 발라섹은 컨설팅 기업 IO액티브(IOActive)의 보안 연구 책임자이다.

해킹 시연으로 인해 세계에서 7번째로 큰 자동차 제조사인 피아트-크라이슬러 오토모빌(FCA)은 소프트웨어 구멍을 수정하기 위해 140만 대의 차량을 리콜해야 했었다.

월쉬에 따르면 과거의 행동을 분석할 때 악의적인 해커들은 일반적으로 사람들을 해치기 위해 컴퓨터 시스템에 침투하지 않는다. 대개는 시스템을 악용해 재정적인 이득을 취하는 것이다. 그러나 CIA가 차량 컴퓨터 시스템을 해킹하는 방법을 연구하고 있었다면 일반적인 용도는 아니었을 것이라고 그는 지적했다.

슈나이어 또한 “20년 전에도 차량의 브레이크 라인을 손상시켜 사람을 죽이는 방법을 찾던 사람들이다. 그것이 CIA이다. 그들은 그런 일을 한다. 분명 그랬을 것이라 확신한다. 그러지 않았다면 오히려 놀랄 일이다”라고 말했다. ciokr@idg.co.kr 

X