해외 보안 연구팀이 혼다 차량의 원격 제어 문제를 일으킬 수 있는 심각한 취약점을 경고했다.
바이스, 블리핑컴퓨터 등 복수 외신은 해커 세력이 혼다 차량에서 발견된 ‘롤링폰(Rolling-PWN)’이라는 취약점을 악용한다면, 무선 원격 키 코드를 가로채고 원격으로 차량 문을 열고 시동을 걸 수 있다고 설명했다.
혼다의 무선 원격 키 시스템은 의사 난수 생성(pseudorandom number generator) 알고리즘으로 매번 차량 버튼을 누를 때마다 다른 코드 번호 배열을 사용하도록 롤링 코드를 부여한다. 그러나 롤링폰 취약점은 롤링 코드의 문제 때문에 발생하였으며, 이 때문에 중간에서 누군가가 차량 키의 결함을 가로채 공격을 개시할 수 있다.
지금까지 롤링폰 취약점으로 문제가 발견된 차량 모델은 ‘혼다 시빅 2012(Honda Civic 2012)’, ‘혼다 X-RV 2018’, ‘혼다 C-RV 2020’, ‘혼다 어코드 2020(Honda Accord 2020)’, ‘혼다 오딧세이 2020(Honda Odyssey 2020)’, ‘혼다 인스파이어 2021(Honda Inspire 2021)’, ‘혼다 핏 2022(Honda Fit 2022), ‘혼다 시빅 2022’, ‘혼다 VE-1 2022’, ‘혼다 브리즈 2022(Honda Breeze 2022)’ 등이다.
롤링폰 취약점은 이번에 처음 발견된 문제가 아니다. 지난 3월에도 혼다 차량에서 롤링폰 취약점이 발견됐다. 당시 보안 연구원 케빈2600(Kevin2600)과 웨슬리 리(Wesley Li)가 일련의 코드 배열 명령으로 차량을 열고 닫을 수 있는 모습을 공개했다.
롤링폰 취약점은 ‘CVE-2021-46145’로 알려졌다. 지난해 12월에도 한 차례 알려진 바 있으며, 당시에는 혼다 시빅 2012 모델로 롤링폰 취약점을 테스트하는 영상이 공개되기도 했다.
롤링폰 취약점은 과거에 공개된 후 코드 결함 수정 작업이 진행되었다. 그러나 최근 들어 다른 차량 모델에서도 롤링폰 취약점이 또다시 발견되었다.
최근, 차량 전문 기자인 롭 스텀프(Rob Stumpf) 기자는 트위터에 혼다 어코드 2021 차량의 롤링폰 취약점을 보여주는 영상을 게재했다.
한편, 혼다 대변인은 바이스와의 인터뷰에서 “최근의 롤링폰 취약점 관련 보도는 정확하지 않다. 지금까지 롤링폰 취약점이 발견된 적이 없다”라며, “일각에서 롤링폰 취약점이 발견됐다고 주장하는 차량의 무선 원격 키 시스템은 원격 제어 문제를 일으킬 취약점이 발생할 가능성이 전혀 없는 롤링 코드 기술을 사용한다”라고 전했다.
[저작권자ⓒ CWN(CHANGE WITH NEWS). 무단전재-재배포 금지]
