2015.07.24

고속도로 달리는 '지프'를 원격으로 해킹

Marian Prokop | CIO
커넥티드 자동차를 통해 사이버공격의 위험을 보여준 사건이 발생했다.


이미지 출처 : Creative Commons Lic.
 
최근 2명의 해커가 지프 체로키에 원격 접근에 성공해 자동차의 라디오와 앞 유리 와이퍼를 마음대로 조종하고 차를 멈추게 한 사건이 있었다. 

이 해커들은 사실 보안 전문가들로 자동차의 컴퓨터 시스템에 침입하는 방법을 알아내기까지 1년이 걸린 것으로 알려졌다. 이 두 보안 전문가들은 이러한 행동이 오늘날 도로 위를 달리는 수십 만 대의 차에서 발생할 수 있다고 경고했다.

온라인 잡지 ‘와이어드(Wired)’의 작가인 앤디 그린버그가 자동차를 운전중이었고 두 보안 전문가는 10마일 떨어진 곳에서 2015년형 지프 체로키의 중요한 기능을 장악하는 방법을 보여줬다.

이 두 보안 전문가는 전직 NSA 해커로 현재 트위터 보안 연구원인 칼리 밀러와, 크라이슬러 취약점을 알려줘 이를 패치할 수 있도록 한 보안 컨설팅 업체 IO액티브(IOActive)의 연구 담당 이사인 크리스 발라세크다.

이 두 보안 전문가는 그린버그가 세인트루이스 고속도로를 주행하는 동안 지프의 인포테인먼트 시스템으로 연결되는 휴대전화 네트워크를 통해 자동차에 대한 접근 권한을 획득했다.

밀러와 발라세크는 쉐보레의 U케넉트(UConnect) 텔레매틱스 시스템에서 원격 취약점을 발견했다. 거기서 그들은 스프린트의 모바일 네트워크를 통해 인터넷에 연결해 차량의 다른 컴퓨터 시스템에 대한 접근권한을 얻을 수 있었다. (자동차는 종종 수리와 유지보수가 필요하다고 운전사에게 알리기 위해 휴대전화 네트워크를 통해 차량의 데이터를 수집한다.) 

"우리는 인터넷을 통해 접근할 수 있는 헤드유닛(라디오/내비게이션 등 에 존재하는 취약점을 악용해 접근권한을 얻었다. 자동차에 대한 물리적인 접근이나 변경이 필요하지 않았다"고 밀러는 말했다.

해킹으로 이어지는 결함이 크라이슬러 U커넥트 헤드유닛에서만 발견됐지만, 아마 다른 자동차 제조사의 텔레매틱스 시스템에 비슷한 유형의 보안 취약점이 있을 것이라고 밀러는 전했다.  


고속도로를 달리는 자동차를 해킹한다는 게 놀랍지만, 자동차를 좀 더 안전하게 하기 위해 취해야 할 몇 가지가 있다. 

1. 자동차 제조사는 인포테인먼트 시스템에서 주행 기능을 분리해야 한다.

2. 자동차 제조사는 악의적인 메시지를 탐지하고 브레이크 같은 중요한 차량 시스템에 지시를 내리며 그것들을 무시하기 위해 소프트웨어를 업그레이드 할 수 있다.
 
3. 차량의 사이버 공격에 대해 운전자를 보호하는 기술을 설치하도록 자동차 제조사에 요구하는 정책입안자들이 노력해야 한다.

이상적인 솔루션은 실시간으로 해킹 시도를 탐지하고 알려주며 이를 막을 수 있도록 하는 차량용 침입탑지시스템이라고 밀러는 말했다. ciokr@idg.co.kr



2015.07.24

고속도로 달리는 '지프'를 원격으로 해킹

Marian Prokop | CIO
커넥티드 자동차를 통해 사이버공격의 위험을 보여준 사건이 발생했다.


이미지 출처 : Creative Commons Lic.
 
최근 2명의 해커가 지프 체로키에 원격 접근에 성공해 자동차의 라디오와 앞 유리 와이퍼를 마음대로 조종하고 차를 멈추게 한 사건이 있었다. 

이 해커들은 사실 보안 전문가들로 자동차의 컴퓨터 시스템에 침입하는 방법을 알아내기까지 1년이 걸린 것으로 알려졌다. 이 두 보안 전문가들은 이러한 행동이 오늘날 도로 위를 달리는 수십 만 대의 차에서 발생할 수 있다고 경고했다.

온라인 잡지 ‘와이어드(Wired)’의 작가인 앤디 그린버그가 자동차를 운전중이었고 두 보안 전문가는 10마일 떨어진 곳에서 2015년형 지프 체로키의 중요한 기능을 장악하는 방법을 보여줬다.

이 두 보안 전문가는 전직 NSA 해커로 현재 트위터 보안 연구원인 칼리 밀러와, 크라이슬러 취약점을 알려줘 이를 패치할 수 있도록 한 보안 컨설팅 업체 IO액티브(IOActive)의 연구 담당 이사인 크리스 발라세크다.

이 두 보안 전문가는 그린버그가 세인트루이스 고속도로를 주행하는 동안 지프의 인포테인먼트 시스템으로 연결되는 휴대전화 네트워크를 통해 자동차에 대한 접근 권한을 획득했다.

밀러와 발라세크는 쉐보레의 U케넉트(UConnect) 텔레매틱스 시스템에서 원격 취약점을 발견했다. 거기서 그들은 스프린트의 모바일 네트워크를 통해 인터넷에 연결해 차량의 다른 컴퓨터 시스템에 대한 접근권한을 얻을 수 있었다. (자동차는 종종 수리와 유지보수가 필요하다고 운전사에게 알리기 위해 휴대전화 네트워크를 통해 차량의 데이터를 수집한다.) 

"우리는 인터넷을 통해 접근할 수 있는 헤드유닛(라디오/내비게이션 등 에 존재하는 취약점을 악용해 접근권한을 얻었다. 자동차에 대한 물리적인 접근이나 변경이 필요하지 않았다"고 밀러는 말했다.

해킹으로 이어지는 결함이 크라이슬러 U커넥트 헤드유닛에서만 발견됐지만, 아마 다른 자동차 제조사의 텔레매틱스 시스템에 비슷한 유형의 보안 취약점이 있을 것이라고 밀러는 전했다.  


고속도로를 달리는 자동차를 해킹한다는 게 놀랍지만, 자동차를 좀 더 안전하게 하기 위해 취해야 할 몇 가지가 있다. 

1. 자동차 제조사는 인포테인먼트 시스템에서 주행 기능을 분리해야 한다.

2. 자동차 제조사는 악의적인 메시지를 탐지하고 브레이크 같은 중요한 차량 시스템에 지시를 내리며 그것들을 무시하기 위해 소프트웨어를 업그레이드 할 수 있다.
 
3. 차량의 사이버 공격에 대해 운전자를 보호하는 기술을 설치하도록 자동차 제조사에 요구하는 정책입안자들이 노력해야 한다.

이상적인 솔루션은 실시간으로 해킹 시도를 탐지하고 알려주며 이를 막을 수 있도록 하는 차량용 침입탑지시스템이라고 밀러는 말했다. ciokr@idg.co.kr

X