“수많은 오픈소스 SW 내장된 자동차, 해커의 타깃” 블랙덕소프트웨어 경고

해커들이 오픈소스 보안 취약점을 악용해 차량을 탈취하는 등 자동차 관련 보안 사고를 일으켜 자동차 제조업체의 리콜이 일어날 수 있다는 경고가 제기됐다. 

4일, '마이크 피튼져' 블랙덕소프트웨어 부사장은 서울 코엑스에서 열린 기자간담회를 통해 “오픈소스 문제에 따라 자동차 제조업체의 첫 번째 리콜 사태가 발생할 수 있다”고 밝혔다.

이미 지난해 출시된 전형적 자동차 모델은 1억개 이상의 코드라인을 포함하고 있고, 점점 지능화·자동화되고 있다. 커넥티드카, 자율주행차 등 인터넷과의 연결도 가속화되고 있다.

이에 따라 자동차에 탑재되는 소프트웨어(SW)도 당연히 증가하게 된다. 자동차 제조사들은 소프트웨어 대부분을 협력업체로부터 공급받는다. 그러나  정확히 어떤 소프트웨어가 포함됐는지 알지 못한 채 양산을 진행할 가능성을 배제할 수 없다.

이와관련 피튼져 부사장은 “신규 자동차가 출시됐을 때 사용되는 소프트웨어 수가 급증하고 있으며, 상용 소프트웨어의 평균 35%는 오픈소스로 채워져 있다”며 “오픈소스 관련 신규로 발견되는 취약점은 매년 2000~3000건에 달한다”고 말했다.

이어 “보안 업데이트가 제대로 되지 않는다면 리콜사태로 이어질 가능성이 높다”고 덧붙였다.

오픈소스를 활용한 소프트웨어 개발이 필수가 된 현 상황에서 자동차 소프트웨어 보안 취약점을 가진 오픈소스 컴포넌트가 포함돼 있을 수밖에 없고, 이는 자동차에 심각한 영향을 끼칠 것이라는 예상이다.

김택완 블랙덕소프트웨어코리아 대표는 “최악의 경우, 해커가 알려진 오픈소스 보안 취약점 통해 키 없이 차량 문을 열고 자동차를 탈취할 수 있다”며 “오픈소스 보안 취약점 때문에 차량 도난이 일어난다면 리콜 사태가 발생하게 될 것”이라고 제언했다.

또 “자동차의 경우 리콜을 통해서만 소프트웨어 업데이트를 진행해 보안 패치를 할 수 있다”며 “자동차는 자동으로 인터넷을 통한 소프트웨어 업데이트가 이뤄지지 않고 있기 때문에 직접 AS센터를 가서 실시해야 하는 상황”이라고 부연했다.

최근 오픈소스는 소프트웨어 개발에 중요한 부분으로 차지하고 있다. 소프트웨어 생산성을 높이고 개발기간을 줄이고, 비용 절감까지 꾀할 수 있기 때문이다. 블렉덕소프트웨어에 따르면 에어컨의 경우 90%, 임베디드 기기 70%, 사내 애플리케이션 50%가량이 이미 오픈소스로 구성돼 있다.

문제는 오픈소스는 해커에게 매우 매력적인 수단이라는 것이다. 알려진 오픈소스 관련 보안 취약점 악용하기 용이하고, 유투브만 찾아봐도 관련 정보와 해킹 사례를 접할 수 있다. 

이와 관련 블랙덕소프트웨어는 이미 알려진 오픈소스 보안취약점을 기반으로 한 보안공격 수는 20%가량 증가하고, 기존에 알려진 오픈소스 보안취약점이 재이슈화되면서 업체에게 손실을 가할 것이라고 예측했다. 또, 인수합병(M&A) 등 주요 계약에도 타격을 줄 수 있다.

상용 애플리케이션에서 발견된 오픈소스 컴포넌트 보안 취약점은 평균 5년 이상 방치되고 있는 것으로 조사됐다. 기업들은 실제로 자신들이 사용하고 있는 오픈소스 컴포넌트 중 45%만 파악하고 있는 실정이다.

피튼져 부사장은 “오픈소스는 두려워해야 할 대상이 아니라 소프트웨어를 위한 훌륭한 도구”라며 “오픈소스가 문제가 되는 시점은 가시화 체계를 확보하지 못했거나, 코드에 현존하는 보안취약점에 대한 조치를 하고 있지 않을 때”라고 강조했다.