기아 '美 딜러포털' 해킹 공격, 2013년 이후 생산 수백만 대 차량 정보 노출

[오토헤럴드 김흥식 기자] 기아의 수백 만대 차량이 자동차 번호판 정보만으로 원격 제어를 통해 소유주의 인적 정보를 빼내고 또 다른 사용자를 생성할 수 있게 하는 해커의 공격이 있었던 것으로 밝혀졌다.

미국 보안 전문 블로그 시큐리티어페어즈는 최근 해커들이 기아 딜러 포털의 취약점을 해킹해 원격으로 차량을 제어할 수 있게 했다고 전했다. 해킹에 걸리는 시간은 30초도 되지 않는다고 블로그는 전했다. 딜러 포털은 자동차를 판매하는 딜러(대리점)의 온라인 관리 시스템이다. 

보안 연구원 샘 커리는 '기아 소유주 전용 웹사이트의 취약점을 노린 해커의 공격으로 수백만 대의 차량을 원격으로 제어할 수 있다는 것을 확인했다'라며 '해커들은 차량의 번호판 정보만으로 약 30초 만에 주요 차량 기능을 제어할 수 있었다'라고 말했다. 

해커들은 피해자의 개인정보(이름, 주소, 이메일, 전화번호 등)를 수집하고 소유자의 허락없이 두 번째 사용자를 생성할 수 있었던 것으로 알려졌다. 시큐리티어페어즈는 해커들이 기아 딜러 포털에서 차량의 문을 잠그거나 열 수 있고 시동을 걸고 위치를 추적할 수 있다는 점을 노리고 해킹을 시도했다고 설명했다.

실제 시큐리티어페어즈 연구원들은 새로운 계정을 생성해 사용자의 개인 정보를 검색하고 사용자의 이메일 주소를 변경한 다음 자신을 주요 계정 소유자로 추가할 수 있었고 명령을 내릴 수 있었다고 했다. 실제 소유주는 차량이 해킹된 사실조차 알 수 없었다. 

시큐리티어페어즈는 지난 6월 이 같은 문제를 발견해 기아와 공유하고 8월 중순부터 패치를 개발해 문제 해결에 나섰다. 기아는 대부분의 문제가 해결됐으며 실제 해커의 공격이 보고된 사례는 없다고 주장했다.

그러나 시큐리티어페어즈는 '해커가 찾아낸 취약점은 2013년 이후 제작된 거의 모든 기아의 차량에 악의적인 명령이나 개인 정보를 빼내기 위해 악용될 수 있다'라고 경고했다. 차량을 대상으로 하는 해커의 공격은 앞서 여러 차례 시도되고 성공한 적이 있지만 대량의 고객 및 차량 정보와 원격 제어 시스템을 갖춘 판매사의 포털을 해킹한 사례는 많지 않았다.

지난 2025년에는 해커들이 지프 체로키의 엔진, 브레이크 등을 원격으로 조작하는 데 성공하고 2020년에도 테슬라 모델 X 블루투스 시스템을 해킹해 잠금 장치를 해제하는 해커의 공격이 알려지면서 차량 네트워크 연결 증가에 따른 자동차 업체들의 소프트웨어 보안 강화 방안이 필요하다는 지적이다. 

김흥식 기자/[email protected]