2015.02.02

BMW 차량 SW에 보안 취약점 발견! "220만 대 패치 중"

Martyn Williams | IDG News Service
BMW 커넥티드 드라이브(BMW Connected Drive) 시스템에서 차량의 잠금 장치를 원격 해제하도록 허용하는 보안 취약점이 발견됐다.

독일 최대의 자동차 협회이자 자동차 관련 엄청난 영향력을 자랑하는 클럽인 ADAC(Allgemeiner Deutscher Automobil-Club)에 의해 발견된 이 취약점은 BMW 여러 모델에서 확인 가능한 상태다. 

이 공격은 운전자가 자신의 차량이 잠겨진 것을 BMW 운전자 보조시스템에게 잠금을 원격 해제하도록 요청하는 기능을 이용한 것이다.

BMW 대변인 데이브 부코는 "그들은 우리의 텔레매틱스 소프트웨어의 일부를 역설계를 할 수 있었다. 이를 통해 BMW 서버를 흉내낼 수 있었다"고 말했다.

이미 BMW는 커넥티드 드라이브 장비를 갖춘 220만 대 자동차에 소프트웨어 패치를 시작했다. 그리고 차량의 문을 열거나 열도록 시도하는데 사용될 수 있는 이 취약점과 관련해 어떤 사건, 사고도 일어나지 않았음을 강조했다.

부코는 "미국 차량은 이번주부터 시작된다"고 말했다(한국에서는 BMW 커넥티브 드라이브를 2, 3년 전부터 순차적으로 적용하기 시작했으며, 이번 문제에 대해 현재 본사쪽 지침을 기다리고 있는 중이다. 편집자 주).

이번 해결은 이동통신 기술을 사용하는 BMW와 차량 간 연결 기술에 HTTPS 암호화를 추가했다. 암호화를 추가한다는 것은 단지 메시지 내용을 보호해줄뿐만 아니라 차량은 보안 인증을 받은 서버만 연결 승인하게 해준다.

이 사건은 자동차 제조업체로서는 큰 문제가 될 것으로 보인다. 향후 몇 년동안 자동차 업계는 자체 차량에 커넥티드 기술이 적용되어도 안전하도록 소프트웨어 취약점을 알아내고 패치하는데 주력할 것이다.

오늘날 자동차들은 수백만 줄의 컴퓨터 소프트웨어를 갖고 있으며 연결성은 점차 증가해가고 있다. 많은 차들이 블루투스, 와이파이, 이동통신 연결을 제공해 스마트폰이나 다른 기기들과 연결할 수 있고 심지어 서드파티 앱들을 받아들일 수 있다.

이 모든 것이 해커들의 공격을 받을 수 있는 잠재적인 공격 지점이 된다.

자동차 제조업체와 함께 사이버 보안 문제를 다루는 비영리단체인 카발리(Cavalry)의 조슈아 코먼은 "문을 열수 있다면 이건 상당히 우려스러운 일이다. 그러나 브레이크를 끄도록 메시지를 보낼 수 있다면 이는 대재앙이 진행될 것이다"고 말했다.

2013년 데프콘(Defcon)과 비사이드(BSides) 보안 컨퍼런스에서 발표한 카발리는 최근 컴퓨터 보안 산업과 함께 문제를 발견하고 격리시키고 대응하는 방법에 대해 정리해 놓은 '자동차 제조업체들을 위한 권고사항'을 발행했다.

이의 일부는 자동차 제조업체들에게 컴퓨터 보안 산업과 함께 상호작용을 환영하는 정책을 시행토록 권유한 사항도 있다.

일부 연구원들은 디지털 밀레니엄 저작권법(Digital Millennium Copyright Act and the Computer)과 미국 컴퓨터 사기와 남용에 관한 법(CFAA)에 의해 해킹 수행으로 인한 고발을 당하기 때문에 취약점을 공개하는 것을 주저하고 있다. 이런 사례는 잠재적으로 심각한 보안 문제들이 수년동안 패치되지 않을 수 있다.

조슈아는 "자동차 산업에서의 그들은 전문가다. 우리는 보안 영역에서 전문가이며, 우리와 함께 일하면 좀더 안전한 결과를 갖고 올 것이다"고 덧붙였다. ciokr@idg.co.kr



2015.02.02

BMW 차량 SW에 보안 취약점 발견! "220만 대 패치 중"

Martyn Williams | IDG News Service
BMW 커넥티드 드라이브(BMW Connected Drive) 시스템에서 차량의 잠금 장치를 원격 해제하도록 허용하는 보안 취약점이 발견됐다.

독일 최대의 자동차 협회이자 자동차 관련 엄청난 영향력을 자랑하는 클럽인 ADAC(Allgemeiner Deutscher Automobil-Club)에 의해 발견된 이 취약점은 BMW 여러 모델에서 확인 가능한 상태다. 

이 공격은 운전자가 자신의 차량이 잠겨진 것을 BMW 운전자 보조시스템에게 잠금을 원격 해제하도록 요청하는 기능을 이용한 것이다.

BMW 대변인 데이브 부코는 "그들은 우리의 텔레매틱스 소프트웨어의 일부를 역설계를 할 수 있었다. 이를 통해 BMW 서버를 흉내낼 수 있었다"고 말했다.

이미 BMW는 커넥티드 드라이브 장비를 갖춘 220만 대 자동차에 소프트웨어 패치를 시작했다. 그리고 차량의 문을 열거나 열도록 시도하는데 사용될 수 있는 이 취약점과 관련해 어떤 사건, 사고도 일어나지 않았음을 강조했다.

부코는 "미국 차량은 이번주부터 시작된다"고 말했다(한국에서는 BMW 커넥티브 드라이브를 2, 3년 전부터 순차적으로 적용하기 시작했으며, 이번 문제에 대해 현재 본사쪽 지침을 기다리고 있는 중이다. 편집자 주).

이번 해결은 이동통신 기술을 사용하는 BMW와 차량 간 연결 기술에 HTTPS 암호화를 추가했다. 암호화를 추가한다는 것은 단지 메시지 내용을 보호해줄뿐만 아니라 차량은 보안 인증을 받은 서버만 연결 승인하게 해준다.

이 사건은 자동차 제조업체로서는 큰 문제가 될 것으로 보인다. 향후 몇 년동안 자동차 업계는 자체 차량에 커넥티드 기술이 적용되어도 안전하도록 소프트웨어 취약점을 알아내고 패치하는데 주력할 것이다.

오늘날 자동차들은 수백만 줄의 컴퓨터 소프트웨어를 갖고 있으며 연결성은 점차 증가해가고 있다. 많은 차들이 블루투스, 와이파이, 이동통신 연결을 제공해 스마트폰이나 다른 기기들과 연결할 수 있고 심지어 서드파티 앱들을 받아들일 수 있다.

이 모든 것이 해커들의 공격을 받을 수 있는 잠재적인 공격 지점이 된다.

자동차 제조업체와 함께 사이버 보안 문제를 다루는 비영리단체인 카발리(Cavalry)의 조슈아 코먼은 "문을 열수 있다면 이건 상당히 우려스러운 일이다. 그러나 브레이크를 끄도록 메시지를 보낼 수 있다면 이는 대재앙이 진행될 것이다"고 말했다.

2013년 데프콘(Defcon)과 비사이드(BSides) 보안 컨퍼런스에서 발표한 카발리는 최근 컴퓨터 보안 산업과 함께 문제를 발견하고 격리시키고 대응하는 방법에 대해 정리해 놓은 '자동차 제조업체들을 위한 권고사항'을 발행했다.

이의 일부는 자동차 제조업체들에게 컴퓨터 보안 산업과 함께 상호작용을 환영하는 정책을 시행토록 권유한 사항도 있다.

일부 연구원들은 디지털 밀레니엄 저작권법(Digital Millennium Copyright Act and the Computer)과 미국 컴퓨터 사기와 남용에 관한 법(CFAA)에 의해 해킹 수행으로 인한 고발을 당하기 때문에 취약점을 공개하는 것을 주저하고 있다. 이런 사례는 잠재적으로 심각한 보안 문제들이 수년동안 패치되지 않을 수 있다.

조슈아는 "자동차 산업에서의 그들은 전문가다. 우리는 보안 영역에서 전문가이며, 우리와 함께 일하면 좀더 안전한 결과를 갖고 올 것이다"고 덧붙였다. ciokr@idg.co.kr

X