2016.07.07

더 똑똑해진 자동차, '보안' 복병 만났다... 해결안은?

John Brandon | CSO
주차장에 가면 기업 보안에 대한 좋은 교훈을 얻을 수 있다. 여러 자동차 전문가들은 자동차를 ‘보안 부문에서 최악의 사례’라고 이야기했다. 게다가 이 문제는 더 심각해지고 있을 뿐 전혀 나아지지 않고 있다.


지프체로키(Jeep Cherokee (2014-2015))는 피아트 크라이슬러가 원격 해킹 취약점을 해결하고자 리콜한 14개의 모델 중 하나다. Credit: Fiat Chrysler

지난 수년 동안 자동차는 계속되는 리콜, 안전 위험, 디젤 엔진 속임수 등 여러 가지로 비난을 받았다. 하지만 보안 전문가들은 또다른 충격적인 일을 발견했다.

도구를 사용하지 않고 BMW에 무단으로 침입하기는 어려울 수 있다. 자동차 제조사는 무선 신호 보호, 표준 수립, 새로운 규정과 법률 제정, 더욱 공격적인 패치 제공 등에 많은 노력을 기울이지 않았다.

전문가들은 특히 자동차가 더욱 고도화되고 우리 주변의 인프라, 도로 표지판 등과 연결되기 시작하면서 자동차 업계가 이러한 문제 가운데 일부를 해결해야 한다고 말했다. 또 이를 통해 보안이 혁신에 어떻게 발맞춰야 하는지 알 수 있다.

가장 중요한 것은 기업 보안 종사자들이 주의를 기울여 문제가 어떻게 해결되고 있는지 파악해야 한다는 점이다. 왜냐하면 곧 변화가 일어나기 때문이다.


문제가 악화되고 있다
자동차 기술이 얼마나 발달했는지는 쉽게 알 수 있다. 구글은 자율주행 자동차를 개발했고, 미국 미시간주에서는 자동차가 서로 통신할 수 있는 시험이 진행되고 있다. 또 테슬라는 거대한 전기자동차 충전 인프라를 구축했다.

자동차 애널리스트 기업인 오토퍼시픽(AutoPacific)의 데이브 설리반이 지적했듯이 문제의 조짐이 계속해서 나타나고 있다. 닛산은 리프(Leaf) 전기차용 앱을 만들었지만 쉽게 해킹할 수 있다는 사실을 발견하고는 신속하게 해결했다. 설리반은 "자동차 제조사들에게 이는 완전히 새로운 세상이다"고 말했다.

설리반은 "자동차 제조사가 여전히 새롭고 신선하면서 보안 취약성을 신속하게 업데이트할 수 없는 세계 속에 있으며 이 세계는 상대적으로 스마트폰 등에서는 손쉽게 패치할 수 있다"고 전했다.

자동차 제조사들은 공격적인 패치 일정에 맞춰 신속하게 대응하기보다는 좀더 시간을 두고 오랫동안 테스트하고 과거부터 계속 지켜왔던 안전 표준을 준수하려는 경향이 있으며 스마트폰 모델을 따르지 않는다. 설리반은 이런 현실이 바뀌어 자동차 제조사들이 윤리적인 해커들에게 대가를 지불하고 자동차를 원격으로 해킹하게 한 후, 패치를 제공해야 한다고 주장했다. 이 방법이 리콜보다 비용이 훨씬 적게 든다는 것이다.

IEEE PVC(Institute of Electrical and Electronics Engineers Public Visibility Committee)의 보안 연구원 겸 의장 디오고 모니카에 따르면, 지금까지 큰 진전이 없었다.

모니카는 자동차 회사들이 침투 시험에 대해 너무 무신경하다고 지적했다. 그는 설리반과 마찬가지로 자동차의 패치 사이클 때문에 차량에 새로운 앱이나 일부 통신 기능을 추가했다가 취약성을 발견할 때가 많아 대량 리콜로 이어진다고 이야기했다.
 




2016.07.07

더 똑똑해진 자동차, '보안' 복병 만났다... 해결안은?

John Brandon | CSO
주차장에 가면 기업 보안에 대한 좋은 교훈을 얻을 수 있다. 여러 자동차 전문가들은 자동차를 ‘보안 부문에서 최악의 사례’라고 이야기했다. 게다가 이 문제는 더 심각해지고 있을 뿐 전혀 나아지지 않고 있다.


지프체로키(Jeep Cherokee (2014-2015))는 피아트 크라이슬러가 원격 해킹 취약점을 해결하고자 리콜한 14개의 모델 중 하나다. Credit: Fiat Chrysler

지난 수년 동안 자동차는 계속되는 리콜, 안전 위험, 디젤 엔진 속임수 등 여러 가지로 비난을 받았다. 하지만 보안 전문가들은 또다른 충격적인 일을 발견했다.

도구를 사용하지 않고 BMW에 무단으로 침입하기는 어려울 수 있다. 자동차 제조사는 무선 신호 보호, 표준 수립, 새로운 규정과 법률 제정, 더욱 공격적인 패치 제공 등에 많은 노력을 기울이지 않았다.

전문가들은 특히 자동차가 더욱 고도화되고 우리 주변의 인프라, 도로 표지판 등과 연결되기 시작하면서 자동차 업계가 이러한 문제 가운데 일부를 해결해야 한다고 말했다. 또 이를 통해 보안이 혁신에 어떻게 발맞춰야 하는지 알 수 있다.

가장 중요한 것은 기업 보안 종사자들이 주의를 기울여 문제가 어떻게 해결되고 있는지 파악해야 한다는 점이다. 왜냐하면 곧 변화가 일어나기 때문이다.


문제가 악화되고 있다
자동차 기술이 얼마나 발달했는지는 쉽게 알 수 있다. 구글은 자율주행 자동차를 개발했고, 미국 미시간주에서는 자동차가 서로 통신할 수 있는 시험이 진행되고 있다. 또 테슬라는 거대한 전기자동차 충전 인프라를 구축했다.

자동차 애널리스트 기업인 오토퍼시픽(AutoPacific)의 데이브 설리반이 지적했듯이 문제의 조짐이 계속해서 나타나고 있다. 닛산은 리프(Leaf) 전기차용 앱을 만들었지만 쉽게 해킹할 수 있다는 사실을 발견하고는 신속하게 해결했다. 설리반은 "자동차 제조사들에게 이는 완전히 새로운 세상이다"고 말했다.

설리반은 "자동차 제조사가 여전히 새롭고 신선하면서 보안 취약성을 신속하게 업데이트할 수 없는 세계 속에 있으며 이 세계는 상대적으로 스마트폰 등에서는 손쉽게 패치할 수 있다"고 전했다.

자동차 제조사들은 공격적인 패치 일정에 맞춰 신속하게 대응하기보다는 좀더 시간을 두고 오랫동안 테스트하고 과거부터 계속 지켜왔던 안전 표준을 준수하려는 경향이 있으며 스마트폰 모델을 따르지 않는다. 설리반은 이런 현실이 바뀌어 자동차 제조사들이 윤리적인 해커들에게 대가를 지불하고 자동차를 원격으로 해킹하게 한 후, 패치를 제공해야 한다고 주장했다. 이 방법이 리콜보다 비용이 훨씬 적게 든다는 것이다.

IEEE PVC(Institute of Electrical and Electronics Engineers Public Visibility Committee)의 보안 연구원 겸 의장 디오고 모니카에 따르면, 지금까지 큰 진전이 없었다.

모니카는 자동차 회사들이 침투 시험에 대해 너무 무신경하다고 지적했다. 그는 설리반과 마찬가지로 자동차의 패치 사이클 때문에 차량에 새로운 앱이나 일부 통신 기능을 추가했다가 취약성을 발견할 때가 많아 대량 리콜로 이어진다고 이야기했다.
 


X