보안기업 화이트스코프 시큐리티(Whitescope)의 창업자인 빌리 리오(Billy Rios)는 2년 전부터 '인간에게 물리적인 공격을 가할 수 있는 IoT 디바이스'를 조사해 왔다. 그는 조사결과를 토대로 그동안 링거를 실시하는 의료 기기 또는 공항에 있는 무기를 감지하기 위한 X선 검사 장치, 자동문이나 알람, 엘리베이터, 감시카메라 등을 제어하는 빌딩시스템의 해킹 위험성에 대해 경고했다.
이번에 화이트스코프가 주목한 것은 세차기 신모델 'PDQ 레이저워시(LaserWash)'라는 전자동 세차기다. PDQ 레이저워시는 브러시를 사용하지 않고 고압의 물이나 세정액을 분사해서 차를 씻고 기계 팔을 사용해 왁싱을 한다. 작업자가 필요 없기 때문에 미국을 비롯한 전 세계에서 널리 애용되는 시스템이다.
장치의 전후에는 셔터 타입의 출입문이 있고, 자동차의 입출별이 아니라 하루의 처음과 끝에 개폐되도록 프로그램 되어 있다. 터치스크린을 탑재하고 있기 때문에 세차를 하는 사람은 세차장 진입 전에 세차 방식을 선택할 수 있다.
PDQ 레이저워시는 마이크로소프트가 개발한 임베디드 기기용 OS '윈도우 CE'를 탑재하고 있으며, 작업자는 인터넷을 사용하여 모니터를 통해 작업 모습을 확인할 수 있다. 빌리 리오가 PDQ 레이저워시에 관심을 갖게 된 것은 가끔 "세차용 로봇팔이 차체에 부딪혀 차내에 있던 가족이 물에 잠겼다"는 소식이 들렸기 때문이다.
2015년 PDQ 레이저워시 소프트웨어를 조사해 이 같은 위험을 감지한 빌리 리오는 멕시코에서 열린 카스퍼스키 시큐리티 서밋(Kaspersky Security Summit)에서 이를 보고했지만, 정부 당국의 협력을 얻지 못해 취약점을 증명하기 위한 실험조차 할 수 없었던 것으로 알려졌다. 결국 조사는 무려 2년이나 지나 실시됐다.
PDQ 시스템에 접속하려면 사용자 이름과 패스워드가 필요하지만, IoT 기기들이나 CCTV 카메라 등에서 일반적으로 사용하는 디폴트 패스워드는 아주 쉽게 상상할 수 있는 것이라고 연구진은 말했다. 또한 인증 프로세스 중에도 취약점이 있어 우회할 수도 있는 것으로 나타났다.
연구진은 인증 프로세스를 우회하고 차가 세차기를 나오려고 할 때 문을 닫고 전자동으로 차량을 공격하는 스크립트를 썼다. 세차 시간은 미리 정해져 있으므로 자동차가 세차기에서 벗어나려는 타이밍을 예측하는 것은 매우 쉽다. 그 타이밍을 노리고 입구와 출구 문을 닫으면 차를 가둘 수 있으며, 탑승자가 밖으로 나오려고 하는 타이밍을 노리고 출구의 개폐를 통해 데미지를 입힐 수도 있다.
물론 사고를 방지하도록 세차기에는 적외선 센서가 설치되어 있다. 하지만 이 센서를 무시하도록 시스템을 변경할 수 있다고 연구진은 설명했다. 또한 문의 개폐와 함께 기계 팔을 조작하거나 물을 분사하거나 하는 행위와, 탑승자가 밖으로 나올 수 없도록 가둘 수도 있다고 경고했다.
화이트스코프는 "사람들은 소프트웨어에 의한 안전장치에 신뢰를 두고 있지만, 그러한 시스템이 악용되면 의미가 없어진다"면서 "이러한 때에 의미를 둘 수 있는 것은 하드웨어 측면의 안전망 뿐"이라고 지적했다. IoT 시대의 도래로 인류생활이 편리해진 만큼 새로운 위협이 등장할 수 있다. 이러한 사고를 미연에 방지하는 것 또한 IoT가 넘어야 할 과제라 할 수 있다.
김길수 기자 gskim@g-enews.com