침해사고/위협동향

10대 해커에 뚫린 테슬라…원격시동에 차량문 개폐

이종현
테슬라 차량 25대를 해킹했다고 주장한 독일 국적 19세 데이비드 콜롬보
테슬라 차량 25대를 해킹했다고 주장한 독일 국적 19세 데이비드 콜롬보
[디지털데일리 이종현기자] 10대 해커가 테슬라의 차량을 해킹하는 사건이 발생했다. 해킹 원인으로 지목된 것은 테슬라 자체 소프트웨어(SW)가 아니라 서드파티(Third-Party) SW다.

13일(현지시각) 블룸버그, 뉴욕포스트 등은 19세 청년에 의한 테슬라 차량 해킹 사건을 보도했다. 스스로를 독일에 거주하는 정보기술(IT) 전문가라 자칭한 데이비드 콜롬보(David Colombo)가 자신의 트위터로 테슬라의 SW에서 결함을 발견했다고 올린 건이다.

콜롬보는 자동차 키가 없이도 원격으로 시동을 걸 수 있다고 밝혔다. 차량 문이나 창문의 개폐나 차량 안에 운전자가 있는지도 확인할 수 있었지만 핸들 조작이나 엑셀, 브라이크 조작은 불가능했다고 전했다.

그는 프랑스 기업 보안 감사를 수행하던 중 우연히 취약점을 발견했다며, 13개국의 25대 차량에 대한 원격 해킹이 가능했다고 밝혔다. 독일, 미국, 아일랜드에 있는 3명의 차량 소유자에게 해킹 가능 사실을 알렸으며, 나머지 사용자와는 접촉할 방법이 없어 해당 내용을 공개했다는 입장이다.

콜롬보는 트위터를 통해 “고속도로에서 누군가 원격으로 최대 볼륨으로 음악을 키우거나 문, 창문을 열다면 위험할 거라 생각한다. 헤드라이트를 계속해서 깜박이는 것도 다른 위험자에게 위험할 수 있다”고 밝혔다.
토큰이 만료됐다고 밝힌 테즈랩 트위터
토큰이 만료됐다고 밝힌 테즈랩 트위터

해당 사태가 알려진 후 테슬라의 서드파티 SW인 테즈랩(Tezlab)의 인증 토큰이 만료됐다. 테즈랩은 트위터를 통해 “테슬라 측에서 수천개의 인증 토큰을 동시에 만료시켰다. 많은 테즈랩 회원은 차량에 대한 연결을 위해 다시 로그인해야 한다”고 안내했다. 콜롬보는 테즈랩의 토큰 만료가 자신이 제보한 취약점 탓이라고 전했다.

이와 관련 국내 보안 전문가도 테슬라의 해킹을 서드파티 애플리케이션(앱)의 보안 취약점에서 비롯된 것 같다는 의견을 피력했다.

그는 “테슬라는 공식적으로 차량 연동을 위한 애플리케이션프로그래밍인터페이스(API)가 없지만 타사에서 앱을 개발할 수 있는 비공식 API가 있다. 이와 같은 API를 통해 개발된 서드파티 앱은 테슬라 소유자에게 차량 관리 및 충전 세션에 대한 로그, 배터리 상태 보고서 등의 기능을 제공한다”고 말했다.

이어서 “모바일 앱 개발시 원활한 인터페이스 제공을 중점으로 두고, 보안에 대한 고려는 후순위에 두곤 한다. 취약한 앱을 통해 공격자는 하나의 디바이스뿐 아니라 여러 디바이스를 해킹할 수 있는 만큼 앱 개발시 보안이 고려된 시큐어 코딩을 하는 데 더해 저장되는 데이터나 계정 보안, 멀티팩터 인증, 취약점 사전 점검, 주기적인 앱 보안 테스트 등이 필요하다”고 부연했다.

다른 전문가는 “이번 해킹은 미래 차 시장의 숙제가 될 것이라 본다. 점점 더 많은 기기들이 자동차와 연결되고 있다. 도로 인프라와 통신하는 자율주행도 활발히 연구되고 있는데, 보안이 적용되지 않을 경우 심각한 피해로 이어질 수 있다”고 경고했다.
이종현
bell@ddaily.co.kr
기자의 전체기사 보기 기자의 전체기사 보기
디지털데일리가 직접 편집한 뉴스 채널