2021년형 Honda Civic 인포테인먼트 시스템, USB를 통해 탈옥 가능 — 공개된 Android 테스트 키를 사용하여 승인되지 않은

소프트웨어 아키텍트(Software architect)인 Eric McDonald는 자신의 2021년형 Honda Civic 인포테인먼트 시스템의 전면 USB 포트를 통해 심각한 취약점이 존재한다는 사실을 발견했습니다. 그의 블로그 게시물에 따르면, Honda는 이 특정 차량의 헤드 유닛(head unit)을 USB를 통해 업데이트할 수 있도록 허용하고 있습니다. 하지만 보안 조치가 강력하지 않은 것으로 보이며, 하드웨어가 공개적으로 알려진 테스트 키로 서명된 AOSP (Android Open Source Project) 파일만을 찾도록 되어 있습니다.

USB 드라이브를 설정하고 이 AOSP 테스트 키로 서명하는 방법을 알고 있다면, 귀하(또는 다른 누구라도)는 업데이트 경로를 통해 헤드 유닛에 무엇이든 잠재적으로 설치할 수 있습니다. 이는 차량을 더 다양하게 활용하고자 하는 튜닝 애호가들에게는 유용할 수 있지만, McDonald는 이것이 "evil maid attack (악성 메이드 공격)"에 사용될 수 있다고도 지적했습니다. 하드웨어를 침해하는 이 방법은 사람(예를 들어 호텔 메이드와 같은)의 일시적인 물리적 접근을 이용하여 장비에 멀웨어를 설치하는 방식입니다. 그들의 예시에 따르면, 한 기자가 발레 파킹(valet) 서비스에 차를 맡겼을 때 해당 발레 직원이 인포테인먼트 시스템에 멀웨어를 설치할 수 있으며, 이로 인해 이 취약점은 "EvilValet"이라는 이름을 얻게 되었습니다.

앱이나 멀웨어가 일단 설치되면, 차량에 탑재된 수많은 센서를 사용하여 소유자가 눈치채지 못하는 사이에 대화를 녹음하고, 위치를 추적하며, 심지어 비디오 녹화까지 수행할 수 있습니다. 그 후 Bluetooth, Wi-Fi 또는 셀룰러와 같은 인포테인먼트 시스템의 다양한 무선 연결 옵션을 사용하여 캡처한 데이터를 외부로 유출할 수 있습니다.

이러한 현상이 차량의 안전에는 영향을 미치지 않는다는 점에 유의하십시오. 악성 소프트웨어 (malware)가 인포테인먼트 시스템에 국한되어 있기 때문입니다. 즉, 공격자가 엔진이나 브레이크 시스템을 원격으로 제어하거나, 안전 기능을 수정하거나, 심지어 차량의 잠금을 해제하는 것은 여전히 불가능합니다. 하지만 그럼에도 불구하고, 특히 Honda Civic이 매우 인기 있는 모델이라는 점을 고려할 때 이는 중대한 개인정보 보호 및 보안 문제입니다. 대부분의 고가치 목표물 (high-value targets)은 이러한 공격을 방지하는 데 도움이 되는 특화된 보안을 갖추고 있음에도 불구하고, 이 취약점은 보안 요원이나 직원과 같이 그들 주변의 사람들을 대상으로 사용될 수 있으며, 수집된 정보를 정찰 (reconnaissance) 용도로 사용하거나 목표물에 대한 접근 권한을 얻기 위한 협박 수단으로 활용될 수도 있습니다. 또한, OEM (주문자 상표 부착 생산자)이 동일한 인포테인먼트 시스템 하드웨어/소프트웨어를 여러 브랜드에 공급할 수 있다는 점을 고려하면, 다른 자동차 제조사 및 모델에도 동일한 취약점이 존재할 가능성이 있습니다.

이러한 취약점은 자동차 산업에서 수년 동안 알려져 왔습니다. 8년 전 보고서에 따르면, Volkswagen은 OTA (Over-the-Air, 무선 업데이트) 업데이트 기능이 없다는 이유로 VW 및 Audi 모델에서 인터넷을 통해 악용될 수 있는 결함을 패치하기를 거부한 적이 있습니다. 또한 2017년 WikiLeaks의 게시물은 CIA가 차량 취약점을 통해 자동차를 원격으로 제어하는 방안을 조사했음을 시사합니다. 인터넷 연결성과 소프트웨어 기능이 운전을 더 편리하게 만들었지만, 기본적인 보안조차 결여되어 있다는 점은 우려스럽습니다. 오늘날 판매되는 거의 모든 신차에 다양한 형태의 첨단 운전자 보조 시스템 (ADAS), 디지털 인포테인먼트 시스템, 무선 연결 기능 등이 탑재됨에 따라 상황은 더욱 악화될 수밖에 없습니다.

만약 본인의 2021년형 Honda Civic 헤드 유닛 (head unit)을 실험해보고 싶다면, McDonald는 이를 더 쉽게 "탈옥 (jailbreak)"할 수 있도록 도구를 제작했습니다. GitHub에서 사용 가능한 파일들을 확인할 수 있지만, 평소와 마찬가지로 차량의 인포테인먼트 시스템을 만질 때는 주의해야 합니다. 자칫 시스템이 벽돌 (bricking) 상태가 되어, 결국 새 제품으로 교체해야 할 수도 있기 때문입니다.

최신 뉴스, 분석 및 리뷰를 피드에서 받아보시려면 Google 뉴스에서 Tom's Hardware를 팔로우하거나, 저희를 즐겨찾기 소스로 추가하세요.

Tom's Hardware의 최고의 뉴스와 심층 리뷰를 귀하의 편지함으로 직접 받아보세요.

Jowi Morales는 업계에서 수년간 근무한 경험이 있는 기술 애호가입니다. 그는 2021년부터 여러 기술 출판물에 글을 써왔으며, 기술 하드웨어와 소비자 가전(consumer electronics)에 관심을 가져왔습니다.