‘번호판으로 수백만 대 차량 해킹’. 기아 美 웹사이트 심각한 보안 허점 노출

기아 미국법인 웹사이트가  번호판만으로 차량 원격제어와 개인정보까지 털리는 심각한 보안 허점이 노출됐다. 

기아 미국법인 웹사이트가 보안 허점이 노출돼 수백만 대의 차량이 원격 해킹당할 뻔한 위험에 처해졌던 것으로 알려졌다.

사이버 보안 매체 다크 리딩(Dark Reading)에 따르면 이달 초 독립적으로 활동하는 보안연구팀이 기아 딜러 웹사이트에서 수백만대의 차량이 해킹 당할 수 있는 심각한 취약점을 발견했다.

이는 기아가 도입, 운영중인 인터넷-차량 명령 기능인 API(애플리케이션 프로그래밍 인터페이스) 프로토콜 문제로, 이를 이용해 기아 차량 소유자의 계정을 탈취, 차량을 원하는데로 원격 조정할 수 있다.

또, 이 취약점을 통해 차량 카메라에 원격으로 접근, 차량 내부의 실시간 이미지를 볼 수도 있다.

보안연구팀은 지난 6월에 처음 발견된 이 결함으로 인해 대상 차량의 번호판 번호만 있으면 2013년 이후에 제조, 판매된 기아의 모든 차량을 원격으로 제어할 수 있다고 밝혔다.

또, 원격 기능이 장착된 차량은 '기아 커넥트(Kia Connect)' 구입 여부와 관계없이 30초 이내에 차량 잠금 해제, 원격 시동, 추적까지 할 수 있다고 설명했다.

보안팀 연구원은 블로그 게시물을 통해 기아의 ‘kiaconnect.kdealer.com’ 사이트에서 딜러 계정을 등록, 기아의 백엔드 딜러 API에 접근할 수 있었던 방법을 자세히 설명했다.

이 사이트 인증이 완료되면 차량 소유자의 이름과 전화번호, 이메일, 주소 등 중요한 개인정보를 모두 얻을 수 있게 된다.

보안팀은 시연에서 연구원들이 기아 차량의 번호판을 입력하고 단 몇 초 만에 해당 기능을 제어할 수 있었다고 설명했다.

보안팀은 기아 뿐만 아니라 2022년에는 페라리, BMW, 포르쉐, 롤스로이스를 포함한 12개 이상의 자동차 제조업체에서 비슷한 결함을 발견했고, 이로인해 1,500만 대 이상의 차량이 정보 노출 위험에 처했었다고 밝혔다.

자동차 보안 관계자는 "자동차의 커넥티드화가 광범위하게 진행되면서 사이버 위협에 노출되는 위험성이 커지고 있다"고 지적했다.

---

디자인 변화를 한 눈에! 현대차 '팰리세이드 풀체인지', 새로운 테스트카 포착

국산차 1위와 맞붙어도 안 밀리는데? 르노 그랑 콜레오스 VS 기아 쏘렌토

GV80 안 부러운데? 블랙잉크 넣은 현대차 '팰리세이드 풀체인지'는 이런 모습?

쏘렌토·카니발급 파격 변신! 기아 '스포티지 페이스리프트, 예상도로 미리보기

콘셉트카 디자인 보이네! 현대차 '아이오닉 9', 위장막 벗으면 이런 모습

현대차만으론 힘들었나? 기아, 2026년 PBV 앞세워 일본시장 진출

GV90부터 G80까지 다양하다! 제네시스가 출시 예정인 신차는 무엇이 있을까?

포르쉐 타이칸과 맞대결? 단종된 기아 '스팅어 GT', 고성능 전기차로 돌아올 수도 있다!

쏘나타가 보이는데? 내년 출시될 현대차 '아이오닉 6 페이스리프트', 새로운 테스트카 포착