“전기차 운전자들 조심…데이터 대량 유출 사건”

[애플경제 김예지 기자] 전기자동차의 데이터가 무더기로 온라인에 유출된 사건이 일어나 전기차 운전자들에게 경각심을 불러일으키고 있다. 최근 폭스바겐의 소프트웨어 회사인 카리아드(Cariad)가 자사 SW를 장착한 “80만 대의 전기 자동차 데이터가 대거 유출되었다”고 밝혀 충격을 주고 있다.

비록 해외에서 일어난 일이긴 하지만, 이는 전기차가 확산되고 있는 국내에서도 예의 주시해야 할 대목이다. 폭스바겐이 기술분석 매체인 ‘블리핑 컴퓨터’에 밝힌 바에 따르면 이 회사가 카리아드로부터 납품받는 전기차 SW를 장착한 약 80만 대의 전기 자동차에서 수집한 데이터가 노출되었다. 이런 정보는 특히 운전자 개인정보와도 연결되어 있어, 정확한 차량 상태나, 심지어 위치추적까지도 당할 수 있다.

이에 따르면 아마존 클라우드 스토리지에 있는 테라바이트 규모의 폭스바겐 고객 세부 정보가 수개월 동안 보호되지 않은 채로 남았다. 이에 기술 지식이 거의 없는 사람이라도 누구나 운전자의 움직임을 추적하거나 개인 정보를 수집할 수 있었다는 후문이다.

10cm 정밀도의 위치 추적도 가능

노출된 데이터베이스에는 폭스바겐, 시트, 아우디, 스코다 등 계열 차량에 대한 세부 정보가 망라되어있다. 특히 일부 차량의 지리적 위치 데이터는 10cm까지 들여다볼 수 있을 만큼 정확하다.

이는 카리아다의 IT 애플리케이션의 잘못된 구성탓이 문제다. 이로 인해 “자동차 데이터에 액세스할 수 있었다”는 사측 설명이다. 이런 사실은 지난 30년 이상 보안, 개인 정보 보호 및 정보에 대한 무료 액세스를 보급해온 유럽 최대의 ‘윤리적 해커’ 조직인 ‘Chaos Computer Club(CCC)’에 의해 밝혀진 것으로 알려졌다.

독일의 ‘슈피겔’지에 따르면 CCC는 이에 관한 제보자로부터 이같은 정보를 처음 취득했다. 이에 카리아드와 폭스바겐에 책임을 묻고, 기술적 세부 정보를 제공하기 전에 안전하지 않은 액세스를 테스트할 것을 촉구했다. 그러나 카리아드 측은 “데이터 유출은 인터넷에 연결된 차량에만 영향을 미친다”고 밝혔다.

이 기관의 연구원들은 정보가 유출된 약 80만대의 차량 가운데 46만대의 차량에 대한 지리적 위치 데이터가 탈취되었음을 확인했다. 그 중 일부는 정확도가 무려 10cm 수준이었다.‘슈피겔’에 따르면, 독일 함부르크 경찰의 30대가 조금 넘는 전기 순찰차도 공격을 당했고, 일부 정보 기관 직원의 차도 타깃이 된 것으로 파악되었다.

CCC는 자신들의 윤리적 해커들이 “상당한 시간과 기술적 전문성이 필요한 여러 보안 메커니즘을 우회한 후에야 데이터에 접근할 수 있었다”고 고도의 해킹 기술이 적용되었음을 시사했다. 실제로 모든 개인 차량 데이터는 개인정보 보호를 위해 가명으로 처리되었기 때문에 해커들은 여러 데이터 세트를 결합, 특정 사용자와 세부 정보를 연관시켜야 하는 등 각고의 침투 노력을 한 것으로 추정된다.

주로 독일, 노르웨이 등 유럽에서 발생

그러나 ‘슈피겔’은 IT 전문가와 언론인으로 구성된 팀을 구성, 무료로 제공되는 소프트웨어를 사용해 일부 독일 정치인과 연방의회 의원의 차량에서 세부적인 위치 정보를 수집할 수 있었다고 밝혔다. 또한 “민감한 정보가 포함된 파일이 포함된채 노출된 카리아드 자산을 검색, 내부 카리아드 애플리케이션의 메모리 덤프 사본을 찾았다”고 전했다. 이에 따르면 CCC 해커들은 또 “카리아드가 폭스바겐 그룹 고객의 차량에서 수집한 데이터를 저장한 아마존의 ‘클라우드 스토리지 인스턴스’에 대한 액세스 키를 ‘메모리 덤프’ 내부에서 발견했다.”고 덧붙였다. 특히 “일부 데이터는 전기 모터가 꺼졌을 때 차량의 경도와 위도 위치를 나타낸다”고 했다.

이런 데이터 침해를 받은 전기차 중 30만대는 독일에서 운행되고 있다. 나머지는 노르웨이8만대, 스웨덴 68,000대, 영국 63,000대, 네덜란드 61,000대, 프랑스 53,000대, 벨기에68,000대, 덴마크 35,000대에 대한 세부 정보도 유출되었다.

카리아드는 이번 사태에 대해 “보안 팀이 문제를 해결하기 위해 신속히 대응했으며 CCC로부터 통보를 받은 당일에 즉시 액세스를 차단했다”고 밝혔다. 이번 사건을 처음 공개한 CCC는 일단 슈피겔에 “카리아드의 기술팀이 신속하고 철저하며 책임감 있게 대응했다”고 밝혔다. 조사 결과에 따르면 카리아드는 “아직 (피해 여부를 점검하기 위한) CCC의 윤리적 해커를 제외한 다른 당사자가 노출된 차량 데이터에 접근했거나 제3자가 정보를 오용했다는 증거가 없다”고 했다. 또 “차량에서 수집한 데이터에만 접근할 수 있었고 차량 자체에는 접근할 수 없었다”고 덧붙였다. 그러나 이는 카리아드의 ‘해명’일 뿐, 실제로 이처럼 유출된 데이터는 얼마든지 악용될 수 있을 것이란 비판이다.

한편 카리아드는 “폭스바겐 브랜드의 고객이 개인 데이터 처리가 필요한 제품과 서비스를 사용하는 데 ‘동의’여부를 결정할 수 있으며, 언제든지 해당 옵션을 비활성화할 수 있다”고 밝혔다. 그러면서도 “차량에서 수집된 데이터가 고객에게 디지털 기능을 제공, 개발, 개선하고 다양한 추가 기능을 제공하는데 도움이 될 것”이라고 했다.

예를 들어, “고객의 충전 행동과 습관이 익명화되어 향후 차세대 배터리와 충전 소프트웨어를 최적화하는 데 도움이 된다”는 식이다. 동시에 “수집된 데이터는 고객의 신원과 차량 이동을 보호하는 방식으로 클라우드에 저장된다”며 사실상 개인정보 제공이 필수임을 시사했다.