Security

자동차 제조사 딜러 포털 취약점, 원격 차량 제어 가능성 제시

Senior Editor, Donghwi Shin

13 Aug 2025 — 9 min read

[이미지: AI Generated by TheTechEdge]

한 보안 연구원이 대형 자동차 제조사의 온라인 딜러 포털에서 중대한 보안 허점을 발견했다. 이 결함은 고객 개인정보와 차량 데이터 노출을 넘어, 공격자가 차량 원격 제어 기능을 악용해 도어 잠금 해제 등 일부 기능을 제어할 수 있는 수준이었다. 제조사 이름은 공개되지 않았으나 다수의 인기 서브 브랜드를 보유한 유명 업체로 알려졌다.

취약점을 제보한 이는 소프트웨어 딜리버리 기업에서 활동하는 보안 연구원 이튼 즈비어레(Eaton Zveare)다. 그는 올해 초 주말 프로젝트로 해당 포털을 점검하는 과정에서, 로그인 보안을 전면 우회해 이른바 ‘국가 관리자(national admin)’ 권한의 계정을 새로 만드는 방법을 찾아냈다. 관리 권한을 얻으면 미국 전역 1,000곳이 넘는 대리점 데이터에 접근할 수 있었다고 설명했다. 고객의 인적·재무 정보 열람은 물론, 차량 정보를 조회하고 원격 제어 기능 등록까지 가능했다.

문제의 핵심은 인증 로직이 브라우저 측에 로드되는 방식이었다. 포털 로그인 페이지를 열 때 사용자 브라우저에 취약한 코드가 내려왔고, 이 코드를 조작하면 서버 측 검증 없이 로그인 우회가 가능했다. 즈비어레는 결함을 악용해 별도의 인증을 거치지 않고 최고 권한 계정을 생성했다. 제조사 측은 과거 악용 흔적은 확인하지 못했으며, 제보 직후 문제를 파악해 조치했다고 전했다.

포털 내부에는 광범위한 조회 도구가 있었다. 제조사 고객과 차량을 검색해 소유자와 차량 정보를 확인할 수 있는 ‘전국 소비자 조회’ 기능이 대표적이다. 연구원은 실제 현장에서 주차된 차량의 VIN(차량고유번호)을 통해 소유자를 특정할 수 있음을 입증했다. 이름과 성만으로도 고객을 조회할 수 있는 방식이어서 악용 시 사생활 침해 우려가 컸다.

더 심각한 부분은 원격 제어 기능 등록 절차였다. 포털 접근 권한만 있으면 임의 차량을 특정 계정과 연동할 수 있었고, 이 계정의 모바일 앱을 통해 원격 도어 잠금 해제 등 기능 사용이 가능했다. 소유권 이전·계정 이관 과정에서도 강력한 증빙 없이 ‘본인이 정당하다’는 자기확인만으로 처리가 이뤄졌다. 연구원은 지인의 동의를 얻어 계정 이관을 시연했고, 절차가 지나치게 허술하다고 지적했다. 그는 직접 주행 가능 여부까지는 시험하지 않았지만, 절도범에게 악용될 경우 차량 내부 물품 절도 등 2차 피해가 발생할 수 있다고 경고했다.

단일 포털에서 다른 내부 시스템으로 쉽게 이동할 수 있는 구조도 위험을 키웠다. 해당 제조사는 딜러 업무 시스템 전반에 SSO(단일 로그인)를 적용하고 있었다. 이 때문에 한 번 로그인하면 여러 애플리케이션으로 연쇄 접근이 가능했다. 더불어 관리자가 임의 사용자를 ‘가장(impersonate)’해 그 사람으로 로그인한 것처럼 행동할 수 있는 기능도 제공됐다. 이 기능은 접근 통제를 무력화하고 활동 추적을 어렵게 만드는 요인으로 꼽혔다. 연구원은 과거 다른 제조사 딜러 포털에서도 유사 기능이 논란이 된 바 있다고 지적했다.

포털에 접속하면 확인 가능한 정보 범위는 넓었다. 개인식별정보(PII)와 일부 재무 관련 데이터 외에도, 렌터카·서비스 대차·물류 이송 차량의 실시간 위치를 확인하는 텔레매틱스 화면이 포함됐다. 차량 이동을 취소하는 옵션도 보였으나, 연구원은 실제 취소는 시도하지 않았다고 밝혔다. 그러나 이런 기능 조합은 정보 탈취를 넘어 물류 교란까지 이어질 수 있는 잠재 위험을 드러낸다.

제보 이후 제조사는 2025년 2월경 약 1주일 만에 결함을 수정한 것으로 전해졌다. 즈비어레는 이번 사건의 교훈을 “API 인증 취약점 2개만으로 문이 활짝 열렸다”라고 요약했다. 인증·권한 부여에서 작은 실수가 누적될 경우, 대규모 데이터베이스와 물리적 세계의 제어 기능까지 연쇄적으로 노출될 수 있음을 보여줬다는 의미다.

이번 사례는 딜러 포털·차량 관리 시스템과 같은 B2B 성격의 백오피스가 사실상 소비자 개인정보·차량 기능·물류 운영을 한데 묶는 ‘관문’으로 작동한다는 점을 드러냈다. 판매·AS·물류·금융이 통합된 환경에서는, 하나의 인증 결함이 조직 전체로 확산될 수 있다. 특히 브라우저에 내려보내는 클라이언트 측 코드에 핵심 검증 로직이 포함돼 있을 경우, 공격자는 코드 조작만으로 서버 검증을 회피하는 길을 찾을 수 있다. 서버 측에서 강제되는 토큰 검증, 요청 서명, 재전송 방지, 권한 경계 점검이 필수다.

보안 거버넌스 관점에서의 시사점도 분명하다. 첫째, 관리자 계정 생성·역할 부여·임시 권한 상승 같은 고위험 이벤트에는 다중요소인증(MFA)과 별도 승인이 강제돼야 한다. 둘째, 사용자 가장 기능은 원칙적으로 비활성화하고, 불가피할 경우 제한된 범위·시간·행위 로그를 조건으로 해 최소권한 원칙을 지켜야 한다. 셋째, 전국 단위 조회 도구는 최소 질의조건과 감사 추적을 전제로 하고, 대량 조회·패턴 이상행위를 실시간 차단하는 레이트 리밋·행동기반 탐지 체계를 마련해야 한다. 넷째, 원격 제어·계정 연동·소유권 이전은 전자서명·정부 신분증 검증 등 강력한 본인확인을 기본값으로 삼아야 한다.

개인과 기업 사용자에게도 주의가 요구된다. 차량의 원격 제어 기능을 활성화할 때는 계정 보안을 점검하고, 낯선 로그인 알림과 차량 제어 이력에 이상이 없는지 주기적으로 확인해야 한다. 대리점과 고객센터는 전화·이메일을 통한 계정 이관 요청에 대해 추가 검증 절차를 도입해야 한다. 내부적으로는 딜러 계정 권한을 정기적으로 재검토하고, SSO 연결 시스템 간 권한 전이 위험을 평가해야 한다.

즈비어레는 라스베이거스에서 열린 DEFCON에서 이번 사례를 발표하며, “딜러십 시스템이 고객과 차량에 광범위한 권한을 부여받는 현실을 직시해야 한다”고 강조했다. 제조사가 빠르게 패치를 배포하며 대응에 나선 점은 긍정적이다. 그러나 인증·권한 관리의 기본 원칙을 어길 경우, 포털 하나가 데이터 침해와 물리적 보안 위협의 교차점이 될 수 있다는 경고는 여전히 유효하다. 자동차의 연결성이 높아질수록, 백오피스 보안은 곧 도로 위 안전과 직결된다.