현대차 ‘블루링크’ 앱, 보안 취약점 발견···차량 잠금해제 가능

"탈취한 정보를 이용해 원격으로 차 문을 열고 잠그는 게 가능하다"

가 +
가 -

현대자동차의 차량제어 애플리케이션 '블루링크' (사진: 현대자동차 유튜브 갈무리)

현대자동차의 차량제어 애플리케이션 ‘블루링크’ (사진: 현대자동차 유튜브 갈무리)

현대자동차의 차량제어 애플리케이션 ‘블루링크’의 보안 취약점이 발견됐다. <더레지스터>는 4월25일(현지시간) 블루링크 앱에 등록된 사용자 및 차량의 민감 정보를 탈취할 수 있는 보안 허점이 드러났다고 보안 전문업체 ‘라피드7’을 인용해 보도했다. 현대자동차는 해당 문제점을 인지하고 3월 초 보안 패치를 진행했다.

블루링크는 자동차를 스마트폰과 연동해 원격으로 제어할 수 있는 앱이다. 문을 열고 잠그는 것도 가능하다. 이번에 알려진 보안 취약점을 이용하면 이름, 비밀번호, 핀번호, GPS 위치 기록 등 블루링크 서비스에 등록된 사용자와 차량의 민감한 정보를 탈취할 수 있다.

보안 취약점을 발견한 독립 연구원 윌리엄 해처와 아르준 쿠마는 탈취한 정보를 이용해 원격으로 차량을 찾고, 문을 열고 잠그는 게 가능하다고 경고했다.

해당 취약점은 미국 기준으로 지난해 12월8일 업데이트된 블루링크 앱 3.9.4와 3.9.5 버전에서 발견됐다. 이 버전의 블루링크 앱은 개인정보를 일반 HTTP를 이용해 현대자동차 쪽에 재전송했다. 암호화된 고정키를 사용하기는 했지만 이 키는 앱의 코드에서 쉽게 추출할 수 있다. 앱의 네트워크 연결을 중간에서 가로채는 해커는 이 데이터를 가져와 키를 사용해 해독할 수 있다.

현대자동차 측은 올해 3월6일 3.9.6버전 업데이트를 통해 블루링크의 보안 취약점을 제거했다. 설계 실수를 발견한 보안 연구원은 사용자들이 업데이트할 충분한 시간을 가졌으므로 블루링크 앱의 보안 취약점을 공개한다고 밝혔다.

현대자동차는 <더레지스터>를 통해 이 보안 취약점을 이용한 차량 절도 사례는 없다고 말했다. 또 “취약점을 알게 된 즉시 조사를 시작했고 즉각적인 조치를 취해 문제를 해결했다”라고 밝혔다. 자동차 업계에 ‘커넥티드카’ 서비스가 대두되고 있는 상황에서 보안 문제는 앞으로도 계속 화두가 될 것으로 보인다.

네티즌의견(총 0개)