해킹 대회 ‘Pwn2Own’에 출전한 화이트 햇 해커들이 테슬라 모델3을 해킹하는 데 채 2분도 채 걸리지 않아 충격을 줬다. 기술 등 세부 사항은 공개되지 않았지만, 이들은 대회 상품으로 해당 차량과 거액의 상금을 탄 것으로 알려졌다.
테슬라는 사이버 보안에 많은 투자를 하고 있으며, 테슬라 차량 및 IT 시스템은 해킹하기 가장 어려운 부류 중 하나에 속한다. 우크라이나 전쟁 중 러시아 해커들이 스타링크 인터넷 서비스를 뚫지 못한 사실이 알려져 테슬라의 보안이 입증되기도 했다.
테슬라는 업계 최고의 보안 연구원들과 협력을 위해 해킹 대회를 오랫동안 후원해 왔다. Pwn2Own은 그중 가장 유명한 해킹 이벤트로 테슬라는 주최사인 제로데이 이니셔티브(Zero Day Initiative)와 파트너를 맺었다.
올해 테슬라는 대회에 두 대의 차량을 제공했다. 테슬라 차량을 완전히 해킹하는데 성공한 해커들에게 모델3, 모델S를 제공하기로 한 것이다.
대회 첫날, 프랑스 해킹팀 ‘Synacktiv’ 연구팀은 테슬라의 게이트웨이 에너지 관리 시스템에 TOCTTOU(time-of-check-to-time-of-use) 공격을 실행했다. 여기에는 액세스 권한을 부여하기 전에 시스템이 확인하는 내부 파일 변경이 포함된다.
예를 들어 해커의 파일에 기록된 후 로그인 자격 증명을 변경하는 식이다. 테슬라 게이트웨이에 대한 액세스 권한을 획득함으로써 해커는 차량이 움직이는 동안 모델3의 프렁크 또는 차량 문을 열 수 있었다.
2분도 채 걸리지 않아 테슬라 차량을 해킹하는 데 성공한 연구팀에 $100,000(약 1억 3000만 원)의 현금 보상과 테슬라 모델3가 주어졌다.
Synacktiv 팀은 다음날 훨씬 더 어려운 해킹에 성공해 인포테인먼트 시스템을 파괴하고 다른 하위 시스템에 대한 루트 액세스 권한을 얻었다. 힙 오버플로우와 OOB(Out-of-Band) 취약점을 기반으로 하는 이 공격은 외부 구성 요소인 블루투스 칩셋과 차량 내부의 손상된 시스템에서 시작됐다.
두 번째 해킹 공격은 굉장히 복잡했고, 대회 주관사인 ZDI(Zero Day Initiative)는 대회 역사상 처음으로 2단계 포상의 자격이 있다고 언급했다. 해당 팀은 3일간의 해킹 대회에서 총 $530,000(약 6억 9000만 원)의 상금과 모델3를 거머쥐었다. 이는 대회 전체 상금의 절반 이상에 해당하는 금액이다.
한편 테슬라에서 상품으로 제공한 두 대의 차량 중 모델S는 테슬라에 반환됐다. 해킹에 성공한 다른 팀이 없었기 때문이다.
더드라이브 / 조윤주 기자 auto@thedrive.norcal-art.com
[저작권자ⓒ 더드라이브(TheDrive). 무단전재-재배포 금지]