차세대 자동차 번호판으로 불리는 ‘디지털 번호판’이 생각보다 보안에 허술한 것으로 나타났다.
미국의 한 사이버 보안 관련 연구팀은 캘리포니아에서 사용되는 새로운 디지털 번호판을 해킹하는 데 성공했다고 밝혔다. 해당 디지털 번호판은 IT 회사 ‘리바이버(Reviver)’에서 판매 및 관리하는 제품이다. ‘R플레이트’라는 이름의 이 디지털 계기판은 작년 말 캘리포니아에서 판매를 시작했으며, 이번에 취약한 보안 시스템 문제가 드러난 것이다.
불행 중 다행이라고 해야 할지, 이 문제를 처음 발견한 것은 악성 해커가 아닌 사이버 보안 연구팀이었다. 리바이버 홈페이지를 통해 ‘슈퍼 관리자 접근권’을 획득한 연구팀은 이후 번호판 정보를 활용해 차량의 위치를 추적했을 뿐만 아니라, 차주의 이력 등 개인 정보에도 접근했다. 심지어 디지털 번호판 디스플레이에 표시되는 글자를 바꾸는 것도 가능했다.
해당 연구팀은 디지털 번호판을 추적할 수 있다는 점에서 리바이버의 홈페이지에 흥미를 느꼈다고 한다. 그들은 리바이버의 모바일 앱을 먼저 조사한 뒤 웹사이트를 공격했다.
웹사이트 자바스크립트의 취약성을 활용해 계정 유형을 일반 사용자에서 관리자로 변경할 수 있었다. 이후 GPS 위치정보를 비롯해 웹페이지에 등록된 모든 사용자의 정보에 접근했다.
각 사용자가 소유한 차종, 거주지, 전화번호, 이메일 주소 등을 확인할 수 있었을 뿐만 아니라, 디지털 번호판 상태를 ‘도난차량’으로 변경할 수 있었다. 이럴 경우 자동차가 도난차량으로 등록될 뿐 아니라, 경찰에 자동으로 알림이 전송된다.
연구팀은 또한 번호판 하단의 슬로건 문구도 바꿀 수 있었다고 밝혔다. 해당 슬로건 문구는 디지털 번호판 사용자가 직접 원하는 대로 바꿀 수 있는 기능이다. 번호판의 숫자 자체를 변경할 수 있었는지는 알려지지 않았다.
리바이버는 이 문제가 보고된 후 24시간 내로 수정했으며, 해당 취약점이 남용됐거나 개인정보가 유출됐는지 후속 조사를 진행하겠다고 입장을 밝혔다.
더드라이브 / 조윤주 기자 auto@thedrive.norcal-art.com
[저작권자ⓒ 더드라이브(TheDrive). 무단전재-재배포 금지]
