BMW, 220만 대 차량을 해킹에 취약하게 만든 소프트웨어 보안 결함 수정

BMW는 롤스로이스, 미니 및 BMW를 포함한 220만 대의 차량을 해킹에 취약하게 만들 수 있는 차량 내부 통신을 관리하는 소프트웨어의 결함을 수정했습니다.

독일의 바바리안 모터 웍스(Bavarian Motor Works) 또는 BMW는 럭셔리와 성능의 정수로 여겨집니다. 바바리아 주 뮌헨에 본사를 둔 이 자동차 제조업체는 70년 이상 자동차 사업에 종사해 왔으며, 롤스로이스, 미니 자동차, BMW 및 오토바이와 같은 고품질 럭셔리 자동차를 세계 시장에 제조하고 있습니다.

BMW는 성능 측면에서 구매할 수 있는 가장 안전한 자동차 중 하나로 여겨지며, 신뢰성의 상징으로 여겨져 왔습니다. 그러나 일반 독일 자동차 클럽(ADAC)은 그렇게 생각하지 않습니다. ADAC의 연구팀은 BMW 자동차가 무선 시스템의 취약성으로 인해 해킹에 취약하다는 것을 발견했습니다. ADAC 연구원들은 BMW의 ConnectedDrive 시스템의 보안 취약점이 BMW 서버를 모방하고 차량에 원격 잠금 해제 지시를 보낼 수 있어 차량 도난이 더 쉬워질 수 있음을 발견했습니다.

이 문제는 독일 자동차 협회인 일반 독일 자동차 클럽(ADAC)에 의해 발견되었으며, 여러 모델의 BMW 자동차에서 검증되었습니다.

이 공격은 차량에서 잠금 해제된 운전자가 BMW 지원 라인에 원격 잠금 해제를 요청할 수 있는 기능을 이용했습니다.

ADAC 소프트웨어 테스트 중에 소프트웨어의 허점이 해커가 복제된 휴대전화 기지국을 사용하여 차량 네트워크에서 전송되는 데이터를 해킹한 후 차량의 문/창을 열 수 있도록 허용할 수 있다는 것이 발견되었습니다. 데이터 전송 중 보안 위반의 위험이 있었지만, 이 결함은 조향, 제동 또는 엔진의 시작/정지와 같은 기능에 영향을 미치지 않았습니다. 다른 실제 문제는 해커가 차량 문을 여는 데 성공하면 차량 내 모든 기능을 관리하는 온보드 기능에 쉽게 접근할 수 있다는 점이었습니다.

ADAC는 해킹의 PoC를 제시하지 않았지만, 이 결함이 BMW의 ConnectedDrive 기능과 관련이 있다고 언급했습니다. BMW는 여러 스마트폰 앱을 제작하며, 그 중 하나인 My BMW Remote는 미국에서 차량 소유자가 차량을 잠그고 잠금 해제할 수 있도록 합니다.

BMW 대변인 데이브 부흐코는 “그들은 우리가 사용하는 텔레매틱스 소프트웨어의 일부를 역설계할 수 있었고, 이를 통해 BMW 서버를 모방할 수 있었습니다.”라고 말했습니다. BMW의 자회사인 롤스로이스와 미니도 ConnectedDrive를 사용합니다. 이 해킹 취약점은 전 세계적으로 약 220만 대의 차량을 위험에 빠뜨릴 수 있었습니다.

BMW는 어제 이 보안 결함을 수정했으며, 만약 방치되었다면 여러 차량 도난 사건을 초래했을 수 있습니다. 독일 자동차 제조업체는 ADAC의 PoC 방법과 관련된 사건이 단 한 건도 보고되지 않았으며, 위의 결함으로 인해 차량이 손상된 경우도 없다고 밝혔습니다. 그러나 결함을 패치했다고 전했습니다. 어제부터 내부 통신은 안전한 금융 거래를 보장하는 데 사용되는 하이퍼텍스트 전송 프로토콜 보안 표준(HTTPS)을 사용하여 암호화됩니다.

BMW는 또한 고객이 이 결함에 대해 걱정할 필요가 없으며, 차량이 회사의 서버에 연결되면 결함을 수정하는 자동 업데이트가 출시되었다고 밝혔습니다.