주간기술동향 2017. 8. 9. * 최신 ICT 이슈 I. 텐센트보안연구소, 테슬라전기차에대한원격해킹 2 년연속공개 텐센트의보안부문연구원들은 2016 년 9월테슬라의모델 S를해킹하여마음대로조작하는영상을공개한바있으며, 그로부터약 1년이지난시점에개최된블랙햇 2017 컨퍼런스에서자신들의해킹수법에대해자세히설명하였음. 텐센트연구원들은 2016 년에취약점을공개하기전에테슬라측에먼저알렸고테슬라는즉각대응하여보안강화조치를취하였다고함. 그러나테슬라측의빠른대응에도불구, 그이후추가취약점이발견되었다며연구원들은 2차로해킹동영상을공개 세계최대보안컨퍼런스인 블랙햇 (Black Hat) 2017 에서텐센트의보안연구원들은 2016 년에이슈가된바있는테슬라차량의해킹과관련해그기법을자세히설명하였음 텐센트의보안연구부문인 킨시큐리티랩 (Keen Security Labs) 은 2016 년 9 월자사블로그와유튜브를통해테슬라의전기자동차모델 S 에여러가지보안취약점이존재한다고공개 당시연구원들은원격지에서네트워크를통해차량시스템에침입한다음주행중인차에브레이크걸기, 와이퍼와사이드미러작동시키기, 트렁크열기등을보여주었고, 주차중인차의선루프를열거나램프를켜고문을여는모습도공개하였음 킨시큐리티랩은해킹시연전에테슬라에먼저문제점을통보했으며, 테슬라도취약성을인정했고소프트웨어업데이트를통해취약점을즉시수정했다고밝혔음 < 자료 > Keen Security Labs [ 그림 1] 해킹으로주행중인차량의트렁크열기 당시테슬라는 이번해킹은차량용웹브라우저가악의를가진와이파이핫스팟에연결되는매우특별한환경에서만가능한것이었다 고해명한바있음 * 본내용과관련된사항은산업분석팀 ( 042-612-8296) 과최신 ICT 동향컬럼리스트박종훈집필위원 (soma0722@naver.com 02-576-2600) 에게문의하시기바랍니다. ** 본내용은필자의주관적인의견이며 IITP 의공식적인입장이아님을밝힙니다. 36 www.iitp.kr
최신 ICT 이슈 테슬라는자동차업계최초로소프트웨어버그를발견한사람에게버그당 1 만달러를보상하는 버그바운티 (bug bounty) 프로그램을운용해오고있으며, 그에따라킨시큐리티랩연구원들에게도보상을한것으로알려져있음 모델 S 에대한해킹시연이약 1 년경과한시점에서열린 2017 년블랙햇컨퍼런스에서텐센트의연구원들은테슬라측이보안대응을적극적으로하고있기에해킹기법을공개하기로했다며자세히그방법을설명하였음 텐센트의보안연구원들의밝힌모델 S 해킹공격은크게다음의 5 단계로이루어짐 1 테슬라차량의통신기능에존재하는취약한사양을이용해차량탑재정보단말기가연결된차내정보계네트워크에침입함 2 차량에탑재된정보단말기의웹브라우저에존재하는취약점을공격하여임의의코드가실행가능하도록장악함 3 차량탑재정보단말기의리눅스커널에존재하는취약점을공격하여루트권한을획득함 4 차량탑재정보단말기가연결된정보계네트워크와전자제어유닛 (ECU) 이연결된제어계네트워크 (CAN) 를잇는 컨트롤러 를공격하여컨트롤러의펌웨어를바꿈 5 컨트롤러에서전자제어유닛 (ECU) 에가짜명령을보내자동차를원격조작함 모델 S 의차내네트워크에침입하는방법은테슬라가인정한대로와이파이접속포인트의암호취약점과차량용웹브라우저의보안취약점을공략하는것임 테슬라의전기차들은테슬라가운영하는자동차판매점이나배터리충전장소에설치되어있는무선랜의액세스포인트 (AP) 에자동으로연결하는사양으로되어있음 그런데그무선랜액세스포인트들의이름 (SSID) 과암호가모든곳에서동일하였으며, 암호역시쉽사리유추하거나외우기쉬운 abcd 123456 이었다고함 또한, 테슬라전기차에탑재된리눅스기반차량정보단말기는무선랜액세스포인트에접속하면웹브라우저가열려있던웹페이지를자동으로새로고침하는사양으로되어있었음 테슬라차량정보단말기의웹브라우저인 큐티카브라우저 (QtCarBrowser) 역시오래된 < 자료 > Keen Security Labs [ 그림 2] 테슬라차량정보시스템원격해킹 정보통신기술진흥센터 37
주간기술동향 2017. 8. 9. 버전의 웹킷 (WebKit) 을렌더링엔진으로사용하고있어차량정보단말기에서임의의코드를실행시킬수있는보안취약점 ( CVE-2011-3928 등 ) 이존재하고있었음 이러한취약점이있었기때문에, 텐센트의연구원들은가짜무선랜포인트를설치하여테슬라차량을연결시키고차량정보단말기의웹브라우저에공격용가짜웹페이지가표시되게한후, 차량정보단말기에서임의의코드를실행시킬수있었음 한편, 무선랜을경유하는방법뿐아니라 3G 통신망의기능을악용해차량정보단말기에서임의의코드를실행시키는방법도있었다고하는데, 단그경우에는테슬라자동차소유자를겨냥한피싱공격을통해필요한정보를먼저빼내야한다고함 차량의정보네트워크에접속하고난후에는제어네트워크에접근할수있는컨트롤러장악을위해소프트웨어업데이트메커니즘을이용해컨트롤러의펌웨어를변경시켰다고함 차량네트워크에연결된이후에는차량정보단말기의리눅스커널에존재하는취약점인 CVE-2013-6282 등을공략하여리눅스의보안기제인 앱아모 (AppArmor) 를무력화하고, 단말기상에서임의의코드를루트권한으로실행할수있게함으로서단말을완전히장악하였음 다음과정은자동차를제어하는 전자제어유닛 (ECU) 이연결되어있는 제어계 네트워크 (CAN) 에접근하는것인데, 차량정보단말기가연결되어있는 정보계 네트워크와 CAN 은 컨트롤러 를통해연결되어있기때문에텐센트연구원들은컨트롤러장악을통해 CAN 에접근하였음 컨트롤러는프로세서로 PowerPC 계열의칩을채용하고 FreeRTOS 와사양이거의같은리얼타임운영체제 (OS) 를사용하고있는데, 이컨트롤러장악을위해사용한방법은컨트롤러의펌웨어를변경하는것이었음 펌웨어변경에는테슬라차량이갖추고있는소프트웨어의원격업데이트기능 (Over The Air: OTA) 을활용했으며, 2016 년해킹당시의원격업데이트기능은네트워크를통해다운로드한업데이트파일을 SD 카드에저장하고그파일을사용하여소프트웨어를다시작성하는구조였음 당시 OTA 기능은어떤소프트웨어를다시작성해야하는지를파일이름으로만판단했으며, 잘못된소프트웨어갱신을막기위한 코드서명 (cord signing) 등은사용하지않았다고함 < 자료 > SAE International [ 그림 3] 해킹에악용된 OTA 업데이트방식 38 www.iitp.kr
최신 ICT 이슈 코드서명 은인터넷또는무선환경에서배포되는실행파일이합법적인제작자에의해제작되었고위 변조되지않았음을확인하는방법으로객체서명 (object signing) 이라고도함 코드서명을통해배포되는실행파일은제작자에의해전자서명되어사용자에게전송되며, 사용자는웹브라우저를통해제작자의인증서및실행파일의전자서명을검증하여파일의유효성을검증하게됨 이런코드서명이없었기에텐센트연구원들은자신들이만든업데이트파일을 SD 카드에기록하여컨트롤러의펌웨어를자신들의것으로대체함으로써컨트롤러를장악했고, 컨트롤러를통해 CAN 에접속하여다양한 ECU 에가짜명령을보내자동차를자유롭게조종할수있었음 가짜명령어작성에는상당한공을들였다고하는데, 가령일부 ECU 는운전모드에서는 CAN 의명령에응답하지않는사양으로되어있기때문에 비활성화된속도정보를 ECU 에보내는 등의기술을사용했는데, 이렇게유효하지않은속도정보를받게되면주행중이라도 ECU 에브레이크명령이발동되기때문 텐센트의보안부문연구원들은해킹기법설명후테슬라의대응이매우우수했다고평가했는데, 이는테슬라가 10 일만에보안취약점을해결하고보안강화조치까지취했기때문 텐센트보안부문은이러한일련의취약점을공개하기전에해당정보를테슬라에통보했다고하는데, 테슬라는통보받은후감사의뜻을표했으며, 10 일만에취약점을수정했을뿐만아니라보안강화조치까지실시했다고함 보안강화조치는세가지였는데첫째, 웹브라우저의보안강화책으로리눅스커널의보안도구인앱아모의웹브라우저관련사양을보다강화하였음 둘째, 리눅스커널의보안강화요인으로지적받았던취약점뿐만아니라이미알려진모든취약점을수정했는데, 테슬라는리눅스커널버전을이전의 2.6.36.3 에서 4.4.35 로대폭업그레이드하였음 세번째는코드서명을실행하였는데, 소프트웨어의원격업데이트에사용되는파일뿐만아니라 ECU 의펌웨어에도코드서명을실시하고악성파일로대체하지않도록조치하였음 텐센트의보안부문연구원들은자동차업계가테슬라의이러한적극적인보안강화대책실행태도를본받을필요가있다고평가하였음 그러나발표의마지막에는엄청난 반전 이있었는데, 텐센트연구원들은 2016 년테슬라의조치이후에도해킹이가능했다고말하며실제해킹영상을 2016 년에이어 2 차로공개하였음 정보통신기술진흥센터 39
주간기술동향 2017. 8. 9. 텐센트연구원들에따르면 2016 년취약점발견이후테슬라차량의보안이크게강화되고있지만, 그럼에도불구하고텐센트는최근에다시테슬라차량의펌웨어등을변경하고스마트폰앱을통해테슬라차량을원격으로컨트롤할수있었다고함 텐센트연구원들은 코드서명을우회하는방법을발견했다 고설명했으며, 강연마지막에실제로해킹을통해차량을마음대로제어하는모습을동영상으로공개하였음 게다가이번해킹대상은모델 S 보다나중에나온새로운 모델 X 이었으며, 펌웨어를변경시킨모델 X 의문을원격으로잠금해제하고모델 X 의브레이크를원격으로작동시키거나, 음악에맞춰문을열고라이트를점등하는등마음대로조종할수있음을보여주었음 < 자료 > Keen Security Labs 연구원들은이러한새로운보안취약점도이미테슬라에보고했다고밝혔으며, 테슬 [ 그림 4] 해킹으로모델 X 의도어잠금해제라가이미소프트웨어수정작업을시작하고있기때문에테슬라전기차소유자들은조기에소프트웨어를업데이트해줄것을호소하였음 테슬라차량에대한 2 차에걸친해킹데모는커넥티드카의보안문제가실제적인위험임을입증한것으로, 자동차업계의소프트웨어보안점검조치가반드시필요함을시사 텐센트의보안연구원들이테슬라의취약점을발견하고이를공개적으로발표한것이나발표전에테슬라에먼저알려수정할수있게한것은, 텐센트가테슬라의초기투자자로서여전히단일주주로는가장많은지분을보유하고있다는양사의특수상황에기인한것일수있음 이는매우특수한경우로오히려보안의취약점을발견한해커들이일방적으로공개해버리거나자동차업체에대가를요구하는것이일반적일것이며, 최악의상황은악의를가지고실제엄청난사고로이어질수있는불법조작을사전예고없이원격으로실행하는일일것임 자동차는이제기계라기보다는전자기기에가까우며, 이때문에소프트웨어보안과네트워크보안에대한이슈도비례하여지속적으로제기되고있으나사람의목숨과직결된중대사안임에도불구하고그에상응하는사회적관심이제대로비춰지지못하고있음 텐센트연구원들의 2 차에걸친해킹공개는이론적인것이아니라이미판매되고있는차량을대상으로한것이고, 게다가테슬라측에서이를인정했다는점에서매우중대한사안임 40 www.iitp.kr
최신 ICT 이슈 현재자동차제조업체들은자율주행차개발경쟁을벌이고있으나상용화를위해가장중요한것은주행기술의완성도보다완벽한보안체계를갖추는것일수있음 소프트웨어보안은자동차업체들로서는전통적인업무영역이아니었던만큼꼼꼼한관리와검수가이루어지도록일반소프트웨어업체들보다더많은투자를해야할필요가있음 아울러테슬라전기차의해킹과정에서나타났듯, 자동차보안침해는특별히대단한기술이아니라무선랜네트워크의무성의한암호처럼사소한빈틈을통해시작될수있는만큼차량소유자들도약간의번거로운감수를통해보안을확실히하려는인식을갖는것이필요함 [ 참고문헌 ] [1] Security Affairs, Chinese researchers from Tencent hacked a Tesla model once again, 2017. 7. 29. [2] Fortune, This Tesla Investor s Tech Team Just Hacked the Model X Again, 2017. 7. 28. [3] USA TODAY, Chinese group hacks a Tesla for the second year in a row, 2017. 7. 27. [4] Threatpost, Tesla Fixes Critical Remote Hack Vulnerability, 2016. 9. 20. 정보통신기술진흥센터 41