영화 '분노의 질주: 더 익스트림(2017)'의 한 장면 중에서는 주행중인 체로키 차량이 해킹되어 원격으로 조정당하는 장면이 있다.

한편, 2015년 7월 지프 체로키 차량이 주행중에 해킹되어 차량과 20여 km 떨어진 곳에서 와이퍼를 움직이고, 차량을 움직이는 등 원격 조정을 당한 영상이 유출·공개되어 해당 모델의 차량 140만 여대가 리콜한 적이 있었다.

주행중인 차량의 해킹은 매우 충격적으로 이는 바로 차량에 탑승한 생명의 위협으로 연관되어 질 수 있기 때문이다.

[배만섭 기자 @이코노미톡뉴스(EconomyTalk News, 이톡뉴스] 이제 더 이상 해킹은 영화속 만의 이야기가 아니다. 최근 연예인 홍석천은 자신이 소유한 스마트폰이 해킹당해 지인으로 속인 범죄자에게 거금의 현금을 이체해 스미싱(smishing) 사기를 당한 적이 있었다. 

또한 미주 한인사회와 일본 등지에서 자동차 스마트키가 해킹되는 사례가 많은 것으로 나타나고 있다. 일본 경찰청은 지난 2015년 한해 동안 자동차 도난 사건이 1만1,600건으로 보도되기도 하였다. 차량 스마트키 해킹으로 인해 자동차 차량 절도, 내부 귀중품 절도 행위가 빈번히 일어나고 있다.

이제 전자시스템의 해킹문제는 컴퓨터 뿐만이 아니라 우리 일상생활 속에서도 밀접하게 일어나고 있다. 편의성을 위해 나날이 진보되는 신기술에 관해서 보안강화에 관한 확실한 기술적인 대책이 수립·개발되지 않으면 언젠가는 큰 위협으로 다가올 수 있는 보안 버블이 발생할 수 있는 것이다.

자동차 스마트키 시스템의 해킹문제는 최근의 이슈가 아니다. 이미 오래전부터 붉어진 문제로 현재까지도 자동차 제조사들은 이에 효과적인 기술적 대책을 찾지 못하고 있는 실정이다.

스마트키 시스템 탑재 차량을 비롯해 최신 신형 차량에 적용되고 있는 키리스 엔트리(keyless entry) 시스템이 탑재된 차량도 예외없이 해킹에 무방비 한것으로 나타났다. 실제로 유튜브 동영상 사이트에서 해당 키워드로 검색을 해보면 글로벌 유명 제조사, 국내 자동차 제조사의 대부분의 차량이 스마트키 해킹으로 차문이 쉽게 열리고 시동까지 컨트롤이 가능한 것으로 확인된다. 

이는 자동차 스마트키 도어락 시스템에서 해당 스마트키가 차량 주위에 바로 존재하고 있는 것으로 착각해 차문이 열리고 보안 시스템이 해제되는 상태를 이용한 '릴레이 어택(relay attack)' 해킹 수법이다.

최근에는 영국경찰이 이러한 릴레이 수법을 사용해 차량범죄를 행한 동영상을 공개하기도 했다. 전미 보험 범죄국(NICB)도 해당 수법의 범죄행위를 여러번 지적한 바 있다. 이외에도 해외 여러 유수의 복수매체, 보안업체들과 관련 자동차협회 등이 이러한 '릴레이 어택'의 해킹 수법을 지적하고 있다.

해킹 수법의 주요 기술은 차량과의 소통을 위해 항상 전파를 송신하고 있는 스마트키를 소지하는 있는 소유자에 접근해 발생되는 전파를 증폭기를 이용해 가로챈 후, 이를 해당 차량 인근에 대기중인 다른 조직원에게 해당 신호를 보낸다. 차량은 수신된 신호를 스마트키로 인식해 보안 해제를 인증하게 되는 것이다.

수십억개의 암호가 생성된다는 자동차 보안 전파가 아무런 의미가 없게 된다. 

전파증폭기는 통상 100미터 이내의 스마트키의 주파수대를 검색해 증폭할 수 있다. 최근에는 300~400미터 내에서도 신호를 잡아 증폭시킨 후 릴레이(relay, 중계) 시켜 차량 잠금장치 해체가 된 사례도 발견되었다. 온라인 사이트에서는 무선신호증폭기가 적게는 20달러 수준이면 구매가 가능한 것으로 알려져 있다. 마음만 먹으면 누구나 구매해서 이와같은 범죄에 악용될 수 있다는 것이다.

이러한 중대한 문제점들에 대해 많은 자동차 제조사들은 별다른 대책을 내놓고 있지 않는 실정이다. 국내 유수 매체, 해외 독일 유력 시사 주간지인 슈피겔(Der Spiegel)를 비롯해 여러 매체들이 관련 문제를 보도하고 대책에 관한 제조사들의 답변을 요구했으나 확실한 대책을 내세운 제조사는 지금까지 없다. 

최근에는 현대자동차의 블루링크 앱에서 보안 취약성(로그파일 보안문제)이 발견되어 원격으로 시동을 거는데 성공했다고 캐나다 보안회사 래피드7(Rapid7)이 발표한 적도 있다. 이는 앱의 버그를 이용한 것으로 현대자동차는 패치를 통해 이 문제를 해결했다고 밝혔다. 전파 기반이 아닌 블루투스 기반의 인증 시스템에서도 취약한 보안성으로 언제든지 해킹의 문제는 일어날 수 있다는 점이 발견된 것이다.

현대적 스마트키의 원조는 기술강국인 독일에서 탄생되었다. 1990년대 후반에 독일의 자동차 부품회사인 지멘스 오토모티브(Siemens Automotive)가 개발해 메르세데스 벤츠에 탑재되기 시작해 그 이후로 BMW, 볼보, 렉서스 등 점차 고급 외제차 위주부터 기본옵션으로 자리 잡게 되었다. 국내제조사인 현대자동차, 기아자동차, 쌍용자동차, 르노삼성, 한국GM 등도 스마트키 시스템은 거의 기본으로 탑재되고 있다.

대체적인 이러한 키리스 시스템의 원리는 다음과 같다.  전파를 통해 자동차와 스마트키는 전파를 송수신하게 된다. 차량에 내장된 스마트키 안테나가 스마트키의 신호를 수신한다. 전파속에는 스마트키가 보내는 암호를 포함하고 있는데, 이러한 암호가 고주파로 수신되면서 차량의 암호와 일치하게 되면 컴퓨터의 CPU역할을 하는 ECU(전자제어장치)가 통신라인을 통헤 BCM(차체제어모듈)에게 언락(unlock) 신호를 보내 도어록 릴레이를 구동하게 되어 자동차의 문 보안장치 해제를 비롯한 각종 부가적인 기능을 수행한다.

릴레이 어택 해킹은 스마트키 소유자의 전파를 가로채 증폭하는 것이으로 암호가 실린 원 전파를 해킹하기 때문에 암호에 의한 상호 보안인증의 절차가 큰 의미가 없다. 구지 암호를 해킹할 필요없이 전파만 해킹하면 되는 것이다.

이와 같은 릴레이 어택을 예방·방지를 위해서는 '전파차단'이 현재로서는 가장 쉽고 빠른 예방법이다. 즉, 스마트키가 차량을 향해 항상 송신하는 전파를 단절시키면 된다.

송수신이 가능한 양방향의 스마트키를 소유하고 있다면 , 양방향 송수신을 잠시 꺼두거나 차단하면 릴레이 어택를 방지할 수 있다. 물론 차량과의 양방향 수신속에 있는 정보 취합은 전파차단으로 수신이 불가능해진다. 각종 차랑 정보(배터리 잔량, 엔진온도 정도 등)를 송수신할 수 없어 부가적인 스마트 기능은 사용할 수 없게된다.

이와같은 경우에는 차량도난에 대해서는 차량 자체의 보안 시스템으로만 의지해야 한다는 단점이 생긴다. 하지만 현실적인 방지책으로는 전파차단 방법이 유일하다. 스마트키를 알루미늄 호일에 감싸거나, 냉장고에 보관하거나, 전자렌지 속 보관 등의 방법이 있다. 아니면 유료로 구입하는 전파차단 자동차키 케이스를 구입할 수도 있다. 

하지만 정작 주요 자동차 메이커들은 릴레이 어택 차단을 위한 기술적인 개발이나 현황 파악에 매우 소극적인 입장을 취하고 있다. 

이와 같은 해킹차단 방지의 기술보안 시스템이 지속적인 개발과 혁신이 뒤쳐진다면 4차 산업혁명 시대의 주요 대상인 AI, 자율주행차, IoT 사물인터넷, 자동차 전장사업를 비롯해 바이오인포매틱스 영역까지도 관련 기업들과 정부는 관련 해당 시장에 적지 않은 영향을 미칠 수 있음을 인지하고 현실적인 정책 수립과 함께 기술적인 방안 대책도 활발히 논의·개발되어야 할 것이다.

미국은 이미 연방정부 차원에서 자동차의 취약한 보안성을 인정하고 대책 마련에 분주한 모습이다. 관련된 법안만 하여도 1800여 개 이상이 발의된 상태다. 또한 미국 도로교통안전국(NHTSA)도 올해 안으로 자동차 보안에 관현 기준과 규정 방안들을 확보할 예정이다.

우리나라 정부의 경우, 자동차 안전기준 항목에 사이버보안 관련해 해당항목은 찾아볼 수 없을 뿐만 아니라 관련 법안 발의 조차 없는 것으로 파악되고 있다.

정보 기술 확산이 실생활에 깊숙히 파고 들고 있는 가운데, 이번 자동차 해킹 문제가 이미 여러해 전부터 이슈화되어 왔지만, 정작 자동차 제조사들의 소극적인 대응에 정부와 관련부처가 먼저 대응방안 논의와 함께 정책적인 수립을 본격적으로 논의해야 제조사들이 이에 적극적인 기술 행보를 보여줄 것이다.