자동차를 직접 해킹하고 보안 방법을 찾는 교육과정이 생겼다.
그레이해쉬(대표 이승진)는 25일부터 27일까지 사흘간 분당 교육센터에서 '스마트 자동차 해킹 트레이닝' 과정을 개설한다.
스마트 자동차 해킹 과정은 차량에 주로 쓰는 CAN(Controller Area Network) 통신을 이해하고 CANbus 해킹을 실습한다. CAN은 차량에서 호스트 컴퓨터 없이 마이크로 컨트롤러나 장치가 서로 통신하는 규격이다. CAN 통신은 메시지 기반 프로토콜이다. 최근 차량뿐만 아니라 산업용 자동화 기기나 의료기기에도 쓰인다.
그레이해쉬는 주요 자동차 해킹 사례와 취약점 발생 원리를 분석한다. 2010년부터 2017년까지 보고된 자동차 해킹 사례를 소개한다. 자동차 공격 요소를 이해하는 강의도 있다. 자동차 하드웨어부터 오디오, 비디오, 내비게이션 장치 취약점을 분석한다. 텔레매틱스 장비나 웹브라우저, 스마트폰앱, 라디오 데이터시스템, 클라우드 서버도 이해한다. 차량 블루투스 시스템이나 USB를 이용한 해킹 방법도 교육한다. 그레이해쉬는 2015년부터 10종이 넘는 차량용 장비 보안컨설팅을 수행했다.
정구홍 그레이해쉬 수석연구원은 “최근 스마트카, 커넥티드카, 자율주행차 등이 이슈”라면서 “교육과정은 스마트 자동차가 가진 보안 위협과 실제 해킹 과정을 담았다”고 소개했다. 그는 “차량에 보안 취약점을 유발할 수 있는 접점인 CANbus, 블루투스, USB, SMS와 같은 다양한 공격 방식을 실습한다”면서 “이를 통해 차량을 안전하게 만드는 방법을 이해한다”고 덧붙였다.
자동차 해킹은 보안 업계 화두다. 보안전문가 찰리 밀러와 크리스 발라섹은 2015년 미국 데프콘과 블랙햇 보안 콘퍼런스 등에서 스마트 자동차 해킹 위험성을 알렸다. 찰리 밀러와 크리스 발라섹은 2015년 피아트 크라이슬러 '지프 체로키'를 해킹해 운행 중인 차를 공격자가 원하는 방향으로 주행시켰다. 크라이슬러는 이후 차량 140만대를 리콜했다. 우버를 비롯해 디디(DiDi), 크루즈(Cruise) 등 직접 차량을 만들지 않는 회사도 자동차 보안에 투자한다.
이승진 그레이해쉬 대표는 “그레이해쉬는 3년 전부터 자동차 보안 컨설팅을 수행하며 경험을 쌓았다”면서 “아시아권 최초 오펜시브(Offensive) 자동차 해킹 트레이닝 과정”이라고 말했다. 이 대표는 “미국 의회는 자동차 보안을 강제화하는 새로운 차량 보안 법안을 준비하며 도로교통안전위원회(NHTSA)는 자동차 사이버보안 가이드라인을 제시한다”면서 “일본 자동차 제조사는 사이버 공격에 공동 대응하는 체제를 갖추는 등 차량 보안 관심이 높다”고 강조했다.
김인순 보안 전문기자 insoon@etnews.com