본문 바로가기 주메뉴 바로가기 검색 바로가기
테슬라 차량, 저가 라디오 장비 해킹으로 탈취 가능...최신 무선도어잠금장치도 무용지물
상태바
테슬라 차량, 저가 라디오 장비 해킹으로 탈취 가능...최신 무선도어잠금장치도 무용지물
초광대역 커뮤니케이션이라는 라디오 프로토콜이 몇 초 만에 차량을 탈취하는 데 동원되는 재전송 공격의 해결책이 될 가능성으로 예고됐다. 그러나 중국의 어느 한 연구팀은 초광대역 라디오를 갖춘 테슬라 차량의 탈취 위험성이 그 어느 때보다 더 취약한 상태라는 사실을 발견했다.
By ANDY GREENBERG, WIRED US

재전송 공격(relay attack)이라는 차량 탈취 수법은 최소 10년 동안 오늘날 키 없이 스위치를 켤 수 있는 기술과 같은 수법으로 이용됐다. 오늘날 차량 모델 수백 종을 탈취할 수 있는 저렴하면서도 비교적 손쉽게 조작할 수 있는 수법이기도 하다. 최신 차량인 테슬라 모델 3 등 일부 고급 차량 모델에 배포된 초광대역 커뮤니케이션(ultra-wideband communication)이라는 차량의 무선도어잠금장치(keyless entry system) 내 라디오 프로토콜 최신 업데이트 사항은 대규모 도난 차량의 만연한 문제 해결책을 예고했다. 그러나 중국의 어느 한 연구팀이 최신 테슬라 차량 모델을 포함하여 차세대 라디오 프로토콜을 채택한 여러 차량을 겨냥한 재전송 공격이 가능한가 확인하면서 그 어느 때보다 차량 탈취 공격이 훨씬 더 쉽다는 사실을 발견했다.

베이딩 자동차 사이버 보안 기업 고고바이트(GoGoByte)는 초광대역 무선도어잠금장치로 업그레이드를 마친 상태에서도 100달러 미만인 라디오 장비로 최신 테슬라 모델 3에 재전송 공격을 개시하고는 차량 잠금을 해제할 수 있다는 사실을 보여주는 영상을 와이어드와 공유했다. 테슬라 모델 3의 무선도어잠금장치는 차량 탈취 방지 목적으로 설계된 이모빌라이저(immobilizer) 기능도 제어할 수 있다. 테슬라의 기본적으로 비활성화로 설정된 PIN 안전장치 옵션을 실행하지 않았을 때 라디오 해킹으로 순식간에 차량에 시동을 걸고 운전할 수도 있다는 의미이다. PIN 안전장치 옵션을 선택한다면, 운전자가 네 자릿수 코드를 입력해야만 운전을 시작할 수 있다.

오랫동안 차량 해킹 연구원으로 근무한 고고바이트 창립자인 리준(Jun Li)은 고고바이트 연구팀이 테슬라 모델 3의 무선도어잠금장치 해킹에 성공한 사실은 테슬라의 라디오 업그레이드가 차량 보호 기능을 갖추었다는 소문이 있지만, 테슬라 차량 소유주가 PIN 안전장치를 실행해야 한다는 의미라고 설명했다. 리는 “이번 연구 결과는 대중에게 단순히 초광대역 커뮤니케이션을 실행하기만 한 상태에서 차량 도난을 막을 방법이 없다는 사실을 경고한다. 재전송 공격으로 차량 탈취범은 과거의 전형적인 수법으로 탈취 범죄를 저지를 수 있다”라고 설명했다.

재전송 공격은 차량을 속이는 방식으로 실행되어 차량 소유주의 전자 열쇠가 차량 근처에 있는 것처럼 감지하고는 차량 문을 열 수 있다. (테슬라 차량이 공격 대상일 때는 차량 소유주의 스마트폰에 설치된 잠금 해제 앱이 차량과 가까운 곳에 있는 것처럼 인식한다.) 대신, 탈취 대상이 된 차량과 가까운 곳에 있는 해커의 기기는 실제로 차량과 수십 피트 혹은 수백 피트 먼 곳에 존재할 수도 있는 차량 소유주의 실제 키가 전송하는 신호를 재전송한다. 차량 탈취범은 라디오 장비를 실제 차량 전자 열쇠 하나와 가까운 곳에, 다른 장비를 공격 표적이 된 차량 근처에 배치하면서 기기의 신호를 차량으로 재전송하는 방식으로 실제 차량과 차량 전자 열쇠 간 거리 문제를 해소한다.
 
[사진=Pixabay]
[사진=Pixabay]

차량 탈취범은 재전송 공격을 이용하여 집주인이 잠든 집안에 보관된 차량 열쇠 신호를 선택하여 주차 공간에 있는 차량으로 전송할 수 있다. 혹은 양유치아오(Yuqiao Yang) 고고바이트 연구원이 보여준 사례처럼 야외에 차량을 주차한 사이에 카페에서 건너편 자리에 앉은 이가 재전송 공격을 개시할 수도 있다. 양 연구원은 “차량 탈취범은 재전송 장비를 소지한 상태일 수도 있고, 차량 소유주가 인지하지 못한 사이에 차량이 멀리 떨어진 도로를 달릴 수도 있다. 재전송 공격을 동원한 차량 탈취 범죄는 단 몇 초 사이에 빠르게 발생할 수도 있다”라고 말했다. 재전송 공격은 일부 차량 소유주가 라디오 신호를 차단하는 패러데이 가방에 차량 열쇠를 보관할 정도로 흔하다. 심지어 일부 차량 소유주는 냉동고에 차량 열쇠를 보관한다.

다수 보안 연구원은 오랫동안 차량 제조사를 대상으로 전자 열쇠나 스마트폰이 신호를 전송하여 차량이 수신하는 시간을 더 정교하게 측정하는 무선도어잠금장치를 개발하여 재전송 공격을 막도록 권고했다. 따라서 테슬라가 자사 차량의 무선도어잠금장치에 초광대역 커뮤니케이션 업그레이드 사항을 배포했을 당시 테슬라 차량 소유주 다수는 초광대역 커뮤니케이션이 오랫동안 목이 빠지도록 기다린 보안 해결책이라고 생각할 만한 이유가 충분했다. 어찌 되었든 초광대역 커뮤니케이션은 전자 열쇠와 차량 간 거리를 훨씬 더 정교하게 측정한다. 초광대역 커뮤니케이션은 애플 에어태그의 거리 추적을 실현하는 라디오 프로토콜이기도 하다.

2020년, 테슬라는 미국 연방통신위원회(FCC)에 자사 무선도어잠금장치에 초광대역 커뮤니케이션을 구축하고자 한다고 제출한 서류를 작성했으며, 전자 열쇠나 스마트폰과 차량의 거리를 정교하게 측정할 수 있는 능력은 적어도 재전송 공격을 통한 차량 탈취를 막을 수 있을 것이라는 기대가 형성되었다. 테슬라가 FCC에 제출한 서류에는 “거리 추적은 재전송 공격 면역력을 지닌 전파 시간(Time of Flight) 측정을 바탕으로 한다”라고 작성되었다. 미국 IT 전문 매체 더 버지가 최초로 보도한 뒤 복수 매체에서도 널리 보도하고, SNS 의견이 넘쳐난 테슬라의 서류는 테슬라 무선도어잠금장치의 최신 초광대역 커뮤니케이션 추가가 차량 탈취 목적의 재전송 공격 종료를 시사했다.

그러나 고고바이트 연구팀은 블루투스를 통해 구형 차량 모델처럼 기기와 차량 소유주의 전자 열쇠나 스마트폰과 최대 15피트(4.572m) 떨어진 거리에서 최신 테슬라 모델 3를 겨냥한 재전송 공격을 개시할 수 있다는 사실을 발견했다. 차량은 초광대역 커뮤니케이션을 실행하지만, 무선도어잠금장치 탈취를 막을 거리 확인 시 초광대역 커뮤니케이션을 이용하지 않는 것으로 보인다.

테슬라는 고고바이트 연구팀의 연구 결과에 대한 와이어드의 의견 공개 요청에 답변하지 않았다.

2024년 5월 초 고고바이트 연구팀이 테슬라와 연구 결과를 공유했을 당시 테슬라 제품보안팀이 즉시 초광대역 커뮤니케이션이 탈취 방지 목적으로 적용되었다는 소문이 사실이 아니라는 내용의 메일을 보냈다. 고고바이트 연구팀의 재전송 공격 연구 결과를 설명하는 메일에 테슬라 측이 보낸 답신에는 “현재 테슬라 내부에서 초광대역 커뮤니케이션의 안정성 개선 작업을 진행 중인 것처럼 재전송 공격을 이용한 탈취 범죄를 예측했다. 초광대역 커뮤니케이션 거리 측정은 신뢰할 수 있는 개선 사항이 완료될 때 실행된다”라고 명시되었다.

과거, 테슬라 차량을 겨냥한 재전송 공격 연구를 발표한 적이 있는 보안 기업 IO액티브(IOActive) 소속 연구원 조셉 로드리게스(Josep Rodriguez)는 테슬라 측의 답변 내용은 놀라운 내용이 아니라고 말했다. 테슬라는 초광대역 커뮤니케이션 기능을 보안 목적으로 이용하기 시작한다고 명확히 선언한 적이 없다. 테슬라는 차량 소유주의 스마트폰 기기 감지와 같은 초광대역 기능을 트렁크 옆에서 손을 움직이지 않고도 차량 문을 열 수 있는 것과 같다고 홍보했다. 또한, 초광대역 커뮤니케이션을 보안 점검 사항으로 활용한다면, 거짓 양성 반응이 과도하게 생성될 수 있다고 덧붙였다.

로드리게스 연구원은 와이어드에 보낸 메일을 통해 “엔지니어링팀이 재전송 공격을 막는 동시에 사용자 경험에 악영향을 미치지 않는 이상적인 지점을 찾는 데 시간이 걸릴 수도 있다”라며, “차량에 적용된 초광대역 커뮤니케이션을 처음 구축한다고 해서 재전송 공격이 해결될 것으로 기대하지 않았다”라고 말했다.

고고바이트 연구팀은 자동차 제조사가 초광대역 보안 기능을 서서히 채택하는 추세가 테슬라에만 국한된 일이 아니라는 점에 주목했다. 초광대역 커뮤니케이션을 핵심 라디오 프로토콜로 지원하는 테슬라를 제외한 자동차 제조사 2곳도 재전송 공격에 취약하다는 사실을 확인했다. 한 기업은 초광대역 커뮤니케이션을 지원하는 차량을 업그레이드하면서도 차량 잠금장치 내 초광대역 커뮤니케이션을 구축할 소프트웨어는 작성하지 않은 것으로 드러났다. (연구팀은 테슬라 외에도 재전송 공격에 취약한 차량 제조사 두 곳의 이름을 공개하지 않았다. 두 기업 모두 자체적으로 취약점 공개 과정을 두고 작업을 진행 중이기 때문이다.)

테슬라 차량 판매 가격은 비싸지만, 재전송 공격 취약점이 계속 발견된 것을 두고 일부 연구는 차량이 기본 설정 GPS 추적 영향으로 다른 차량보다 탈취 위험성이 훨씬 더 적다는 사실을 발견했다. 다만, 일부 차량 탈취 공격은 어찌 되었든 재전송 공격 표적을 삼아 공격을 개시한 뒤 부품을 얻을 목적으로 차량을 판매한다.

고고바이트 연구팀은 테슬라가 다수 자동차 제조사와는 달리 자사 차량에 무선 업데이트를 배포하고, 초광대역 커뮤니케이션을 통해 재전송 공격 수정 사항을 구축할 기능을 활용할 수 있다는 사실에 주목했다. 하지만 그전까지 고고바이트 연구팀은 테슬라 차량 소유주가 자사 차량이 재전송 공격을 동원한 탈취 범죄 보호가 이루어지지 않은 상태임을 인지해야 한다고 경고했다. 리는 “테슬라가 직접 하드웨어를 보유했다는 점에서 재전송 공격 취약점을 수정할 수 있다고 생각한다. 하지만 문제를 해결한 보안 해결책 배포 전 소비자가 먼저 재전송 공격 취약점을 알아차려야 한다고 생각한다”라고 전했다.

다시 말해, 테슬라가 보안 해결책을 배포하기 전까지 테슬라 차량의 PIN 코드 입력 옵션 활성화 상태를 유지해야 한다는 의미이다. 차량 전자 열쇠와 스마트폰을 냉장고에 보관하는 것보다는 낫다. 그렇지 않으면, 차량이 아무도 탑승하지 않은 상태에서 도로를 주행한 뒤 부품을 얻을 목적으로 차량이 판매될 수도 있다.

** 위 기사는 와이어드US(WIRED.com)에 게재된 것을 와이어드코리아(WIRED.kr)가 번역한 것입니다. (번역 : 고다솔 에디터)

<기사원문>
Teslas Can Still Be Stolen With a Cheap Radio Hack—Despite New Keyless Tech
이 기사를 공유합니다
RECOMMENDED