Offcanvas

How To / 보안

"도시 신호등 해킹, 너무나도 쉬웠다" 미시건대 연구진

2014.09.02 Antone Gonsalves  |  CSO
오늘 아침의 꽉 막힌 출근길이 유쾌하지는 않았을 것이다. 그러나 이렇게 생각해보자. 어떤 해커 집단이 도시의 모든 신호등에 대한 통제권을 탈취해 모든 신호등이 녹색 불로 바뀐다면?

영화에서나 볼 법한 이런 이야기가 실제로 벌어질 수 있음을 미시간대 연구진이 확인했다. 문제는 교통 인프라의 보안 결함에 있었다.

이번 달 배포된 한 보고서에서 연구진은 자신들이 미시간에 소재한 익명의 마을에서 100개의 신호등을 임의로 조작한 사례를 소개했다. 연구는 지역 당국의 승인 하에 이뤄졌다.

보고서는 “이번 공격은 악의를 지닌 누군가가 시민의 안전에 위협을 가하고 부당한 이익을 얻는 것이 기술적으로 가능함을 입증했다”라고 설명하고 있다.

연구진에 따르면 해킹을 통해 그 지역의 교통 시스템에 침범하는 것은 전혀 어려운 일이 아니었다.

첫 단계는 교차로 신호등의 무선 통신 장치와 같은 것을 구매하는 것이었다. 대부분의 경우 장치가 위치한 곳에 제조사명이 버젓이 적혀 있어 구매처를 파악하기란 어렵지 않았다.

무선 통신 장치는 도시 통제실로부터 명령을 받아 신호등 불빛을 조절하는 제어기로 신호를 내는 역할을 한다. 각 교차로마다 무선 통신 장치와 제어기가 있으며 모든 통신 장치는 서로에게 통제실로부터의 지시를 전달할 수 있다.

예를 들어 교통 통제 책임자가 하루의 특정 시간에 특정 도로의 교통 흐름을 원활히 하기 위해 녹색 불의 점등 시간을 늘리고자 할 경우, 그는 무선 통신 장치의 조작을 통해 이 과정을 어렵지 않게 수행할 수 있다.

대부분 도시들이 그렇듯, 이번 연구가 진행된 도시 역시 무선으로 신호등을 통해 커뮤니케이션을 했다. 시에서 사용하는 것과 같은 무선 통신 장치를 구매했기 때문에 연구진은 도시에서 사용하는 것과 같은 통신 프로토콜을 사용할 수 있었다.

미시간 주의 교통 통제에 이용된 장치는 조작기 통신에 흔히 사용되는 기종인 NTCIP 1202 모델이었다.

이번 연구의 공동 저자인 박사 학위생 브랜든 제나는 “신호등 무선 통신 장치 제조 업체들은 오직 정부에게만 제품의 판매가 허가돼있다. 하지만 그 역시 사람의 손을 거치는 일이니만큼, 마음만 먹으면 장치를 입수하기란 완전히 불가능한 일은 아니다”라고 설명했다.

교통 신호를 통제하는 것은 간단했다. 그저 무선 통신기를 가져다가 노트북에 연결하기만 하면 됐다. 네트워크에 접속하는 데는 그 어떤 비밀번호도 필요하지 않았으며 통신기와 제어기 사이의 통신 역시 전혀 암호화되지 않았다.

연구진은 이번 문제와 관련해 지능형 운송 시스템을 위한 국립 교통 통신 프로토콜(NTCIP)을 확립한 표준 기관에 책임이 있음을 강조했다.

NTCIP는 국립 전자 제조 연합(NEMA)와 미 주립 도로 및 운송 관리 연합(AASHTO), 그리고 운송 공학 협회(ITE)가 공동으로 수립한 표준이다.

제나는 “교통 제어기와 어떻게 소통할 것인지를 정의하는 표준은 적어도 보안과 시스템 접근의 측면에 있어서는 너무나 허술하다고 할 수 있다"라고 말했다.

네트워크에 접근하기만 한다면 누구나 신호등을 조작할 수 있는 현재의 구조는 너무 많은 취약점을 지닌다. 이것이 안정성을 확보하려면 불량 관리 유닛(malfunction management unit)이라는 안전 기능, 그리고 신호등의 모든 안전 패턴 정보를 요구하는 하드코드(hardcode) 조작기가 갖춰져야 한다.

이러한 기능이 갖춰질 경우 안전하지 못한 설정을 시도했다가는 저절로 모든 신호등이 깜빡이는 빨간 불로 변한다. 즉 해커가 바꿀 수 있는 신호등 색은 빨간색 뿐이다.

물론 도시 전체의 신호등이 빨간 불이 된다면 엄청난 교통 체증과 함께 혼란이 찾아올 것이다. 그리고 이러한 혼란을 바로 잡으려면 시 공무원들이 일일이 신호등마다 찾아 다니며 신호등을 재설정해야 한다.

제나는 “이는 분명 적지 않은 시간과 돈을 요구하는 작업이다. 하지만 사거리의 모든 신호등이 녹색 불을 발하는 상황을 생각해보자. 충분히 감수할 수 있는, 아니 감수해야 하는 투자일 것”이라고 강조했다.

이처럼 취약한 보안 매커니즘을 지닌 곳이 미시간뿐만은 아닐 것이다. 다른 도시들 역시, 그들의 보안 체계를 다시금 되돌아볼 때라는 지적이다.

제나는 “보안 상태를 개선하기 위해 할 수 있는 일이 아주 많다. 그것도 아주 간단하고 단순한 것들이다. 그렇지만 정말 근본적으로 문제를 개선하려면 표준 기관들 및 벤더들을 불러모아 보안을 염두에 둔 시스템을 새로이 고안하는 노력이 필요하다”라고 말했다. ciokr@idg.co.kr
CIO Korea 뉴스레터 및 IT 트랜드 보고서 무료 구독하기
추천 테크라이브러리

회사명:한국IDG 제호: CIO Korea 주소 : 서울시 중구 세종대로 23, 4층 우)04512
등록번호 : 서울 아01641 등록발행일자 : 2011년 05월 27일

발행인 : 박형미 편집인 : 천신응 청소년보호책임자 : 한정규
사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.