기아차 웹사이트 결함… 번호판 입력하면 '차량 원격제어'

09/30/24

사이버 보안 연구원들이 기아자동차 웹사이트의 결함을 찾아냈습니다.

차량 번호판을 입력하면 수백만 대의 차량을 원격 제어할 수 있습니다.

기아차 측은 피해 발생 전에 차단했다고 밝혔습니다.

사이버 보안 연구원들은 지난 6월 기아 차량의 번호판을 이용해 주요 기능을 원격으로 제어할 수 있는 방법을 찾아냈습니다.

이들은 원격으로 차량 위치를 추적하고, 문을 열고, 시동을 켤 수 있으며 일부 차량을 먼 거리에서 카메라도 활성화할 수 있다고 밝혔습니다.

연구원들은 기아가 운영하는 웹사이트 결함을 통해 접근할 수 있었으며, 이는 지난해에도 비슷한 결함을 발견했었다고 밝혔습니다.

특히 이와 유사한 결함은 지난 2년간 현대차, 혼다, 토요타, 메르세데스-벤츠, BMW 등 다른 브랜드에서도 발견됐습니다.

연구원 중 한명인 샘 커리는 자신의 유튜브에 '기아툴'이라는 커스텀앱으로 2022년형 기아 EV6를 해킹하는 모습을 직접 게시했습니다.

영상에 따르면 샘 커리는 먼저 차량 번호판 번호와 주를 입력해 차량식별번호(VIN)를 얻었습니다.

처음에 문을 열었을 땐 열리지 않던 문이 데이터를 얻은 후 '잠금 해제'를 누르자 문이 열렸습니다.

기아툴은 웹사이트 결함을 이용해 차량 제어를 가능하게 할 뿐만 아니라 이름, 전화번호, 집 주소 및 과거에 주행한 경로를 포함한 기아 고객의 개인정보를 대량으로 제공했습니다.

연구원들은 기아에 해당 문제를 알렸고, 회사는 이를 해결한 것으로 알려졌습니다.

기아차 측은 이 결함이 아직 악의적으로 사용된 적은 없으며 기아툴이 일반 대중에게 공개된 적도 없다고 밝혔습니다.