기아 미국법인 웹사이트가 보안 허점이 노출돼 수백만 대의 차량이 원격 해킹당할 뻔한 위험에 처해졌던 것으로 알려졌다.
사이버 보안 매체 다크 리딩(Dark Reading)에 따르면 이달 초 독립적으로 활동하는 보안연구팀이 기아 딜러 웹사이트에서 수백만대의 차량이 해킹 당할 수 있는 심각한 취약점을 발견했다.
이는 기아가 도입, 운영중인 인터넷-차량 명령 기능인 API(애플리케이션 프로그래밍 인터페이스) 프로토콜 문제로, 이를 이용해 기아 차량 소유자의 계정을 탈취, 차량을 원하는데로 원격 조정할 수 있다.
또, 이 취약점을 통해 차량 카메라에 원격으로 접근, 차량 내부의 실시간 이미지를 볼 수도 있다.
보안연구팀은 지난 6월에 처음 발견된 이 결함으로 인해 대상 차량의 번호판 번호만 있으면 2013년 이후에 제조, 판매된 기아의 모든 차량을 원격으로 제어할 수 있다고 밝혔다.
또, 원격 기능이 장착된 차량은 '기아 커넥트(Kia Connect)' 구입 여부와 관계없이 30초 이내에 차량 잠금 해제, 원격 시동, 추적까지 할 수 있다고 설명했다.
보안팀 연구원은 블로그 게시물을 통해 기아의 ‘kiaconnect.kdealer.com’ 사이트에서 딜러 계정을 등록, 기아의 백엔드 딜러 API에 접근할 수 있었던 방법을 자세히 설명했다.
이 사이트 인증이 완료되면 차량 소유자의 이름과 전화번호, 이메일, 주소 등 중요한 개인정보를 모두 얻을 수 있게 된다.
보안팀은 시연에서 연구원들이 기아 차량의 번호판을 입력하고 단 몇 초 만에 해당 기능을 제어할 수 있었다고 설명했다.
보안팀은 기아 뿐만 아니라 2022년에는 페라리, BMW, 포르쉐, 롤스로이스를 포함한 12개 이상의 자동차 제조업체에서 비슷한 결함을 발견했고, 이로인해 1,500만 대 이상의 차량이 정보 노출 위험에 처했었다고 밝혔다.
자동차 보안 관계자는 "자동차의 커넥티드화가 광범위하게 진행되면서 사이버 위협에 노출되는 위험성이 커지고 있다"고 지적했다.
