이미지 확대보기
6일(현지시간) 미국의 사이버 보안 전문 매체 사이버스쿠프는 디지털 커뮤니케이션 테크놀로지(DCT)사가 제작한 차량 관리 소프트웨어 ‘Syrus4 IoT 게이트웨이’에 취약점이 발견됐으며, 제조사가 이를 해결하지 않아 운행중인 차량 수 천 대가 큰 위험에 노출됐다고 보도했다.
연구원들은 이 취약점을 통해 해커가 최대 수천 대의 차량을 관리하는 소프트웨어와 명령어에 접근할 수 있다고 지적했다.
심지어 주행중인 자동차의 브레이크를 작동시키거나 엔진을 정지시킬 수도 있으며, 문을 열거나 시동을 걸고 경적을 울릴 수도 있다고 한다.
지난 2000년에 설립된 DCT는 미국 플로리다주 마이애미에 본사를 두고 있으며, 차량 운송 애플리케이션 및 산업용 솔루션을 위한 IoT 장치 및 액세서리를 개발하는 기업이다.
연구원들은 이 취약점을 지난 4월 처음 DCT에 보고하고, 수정 프로그램을 제공했지만, 회사 측은 아무런 조치를 하지 않은 것으로 드러났다.
또 DCT는 해당 취약점에 대해 자동차 제조사 및 차량 소유자에게도 알리지 않은 것으로 나타났다.
취약점이 발견된 차량은 주로 유럽과 북미에서 판매된 것으로 알려졌다. 취약점을 발견한 연구원에 따르면, 미국과 라틴 아메리카 전역에 퍼져 있는 4000대 이상의 차량이 이 취약점에 노출된 것으로 알려졌다.
DCT 측은 취약점이 발견된 차량에 대한 리콜을 실시할 계획이라고 밝혔지만, 구체적인 일정은 아직 발표하지 않았다.
DCT 측이 본격적인 대응에 나서지 않자 연구원들은 이 취약점을 미국 국립표준기술원(NIST) 산하 기관이자 사이버 보안 정보와 자료를 제공하고 관련 사고 대응을 지원하는 CERT 조정센터에 신고하고 문제 해결에 협력하기로 했다.
자동차 보안 분야의 전문가들로 구성된 자동차 보안 연구 그룹(ASRG)도 이번 취약점을 자동차 보안의 심각한 문제로 인정하고 ‘CVE-2023-6248’라는 분류번호를 매겼다.
DCT의 게이트웨이 제품은 현재 약 49개 이상 국가에서 추적 가능한 11만 9000개 이상의 차량에서 사용되고 있는 것으로 알려졌다. 다만, 아직까지 이 취약점을 이용한 악용 사례는 없다고 사이버스쿠프는 전했다.
한편, 사이버스쿠프는 이번 DCT 사례가 최신 자동차 보안의 심각한 보안 문제를 일깨우는 계기가 되었다고 지적했다.
특히 최신 자동차일수록 점점 더 복잡한 소프트웨어를 사용하고 있어 해커의 공격 표적이 되기 쉬우며, 자동차 제조업체와 정부 기관은 이번 DCT의 사례를 경계하고, 자동차의 보안을 강화하기 위한 노력을 더욱 강화해야 할 것이라고 강조했다.
또한, 자동차 제조사들도 취약점을 해결하기 위한 보안 패치를 즉시 제공해야 하며, 운전자 역시 자동차 보안 설정을 확인하고, 의심스러운 상황이 발생하면 즉시 조치를 해야 대형사고로부터 자신을 보호할 수 있다고 덧붙였다.
박정한 글로벌이코노믹 기자 park@g-enews.com
