최근에는 스마트폰, 컴퓨터, 각종 IoT 기기뿐만 아니라 자동차까지 감시와 추적에서 벗어날 수 없을 정도로 일상생활이 디지털화되고 있다. 일부는 내비게이션이나 GPS 기반 SOS 기능이 없는 차량을 구매해 사생활을 보호할 수 있다고 생각하지만, 현실은 다르다. 지난 20년간 생산된 대부분의 자동차에는 비행기의 블랙박스와 같은 역할을 하는 운전자 지원 시스템(ADAS) 또는 텔레매틱스 모듈이 탑재되어 있으며, 이 모듈들은 차량의 위치, 주행 기록, 기계 상태 등 광범위한 데이터를 저장하고 있다.
특히 이 데이터는 차량에서 모듈을 분리한 후에도 보존되며, 많은 경우 암호화되지 않은 상태로 저장되어 있어 물리적 접근만 가능하다면 누구나 차량의 과거 주행 경로를 복원할 수 있다. 보안 전문가들은 이를 입증하기 위해 폐차된 BYD Seal 전기차의 텔레매틱스 모듈을 분석했다.
폐차 차량의 통신 모듈로 추적한 ‘완벽한’ 주행 기록
해커들은 중고로 구매한 폐차 차량의 텔레매틱스 모듈(차량의 통화 및 인터넷 연결을 담당하는 부품)에서 고객 데이터를 추출하는 데 성공했다. 새로운 차량의 경우 주행 기록이 없기 때문에 중고 모듈을 선택한 것이다. 연구팀은 모듈의 메모리 데이터를 읽기 위한 적절한 어댑터가 없어 자체적으로 USB 플래시 도구용 와이어링 하네스를 제작해야 했다. 이는modified 차량의 연료 맵을 변경하는 튜너와 유사한 방식으로, OBD-II 인터페이스 없이도 데이터를 추출할 수 있었다.
연구팀은 “ubireader 도구를 사용해 모뎀, custapp, 시스템 파티션의 전체 파일 시스템을 확보할 수 있었다”며, “추출한 파일에서 루트 파일 시스템(rootfs)과 사용자 공간(usrfs)을 분석해 흥미로운 또는 숨겨진 아티팩트를 찾을 수 있었다”고 밝혔다. 무엇보다 이 데이터는 암호화되지 않은 상태였기 때문에 분석 과정이 상대적으로 간단했다.
차량의 ‘생애 주기’ 전체를 복원한 해커들
해커들은 GNSS(위성항법) 로그를 파싱해 차량의 전 생애 주기를 복원했다. 중국 공장에서 생산된 후 영국에서 운행되다 폴란드에서 폐차되기까지의 모든 이동 경로가 로그에 기록되어 있었다. 연구팀은 “모든 움직임과 정차 지점이 로그에 캡처되어 차량의 전체 여정을 완전하게 재구성할 수 있었다”고 설명했다.
이 분석에는 칩 내 데이터뿐만 아니라 특수 도구나 비공개 데이터베이스 접근이 필요하지 않았다. 공개 OSINT(오픈 소스 인텔리전스) 도구만으로도 충분했다. OSINT는 무료로 제공되는 공개 자료를 활용해 개인이나 조직에 대한 정보를 수집하는 방법을 의미한다. 연구팀은 이 두 가지 접근 방식을 결합해 이상 징후 데이터를 실제 사건과 연결할 수 있었다.
“좌표를 매핑하면 차량이 전 세계를 어떻게 이동했는지 한눈에 확인할 수 있었다.”
암호화되지 않은 데이터가 초래하는 개인정보 위험
이번 연구는 차량 통신 모듈에 저장된 데이터가 얼마나 민감한지를 보여준다. 암호화되지 않은 상태로 방치된 데이터는 물리적 접근만으로도 차량 소유자의 사생활을 완벽히 노출시킬 수 있다. 특히 전기차의 경우 배터리 상태, 주행 패턴, 정차 위치 등 광범위한 정보가 저장되어 있어 보안 위협이 더욱 크다.
연구팀은 “이 데이터는 차량 소유자의 일상생활 패턴, 거주지, 직장 위치 등 개인정보를 유추할 수 있는 중요한 단서가 된다”며, “자동차 제조사들은 데이터 암호화와 접근 제어 강화가 시급하다”고 강조했다.
자동차 보안 강화가 시급한 이유
- 차량 통신 모듈의 데이터 암호화 필수: 암호화되지 않은 데이터는 물리적 접근만으로도 쉽게 유출될 수 있어 제조사들은 즉각적인 보안 조치를 취해야 한다.
- 사용자 데이터 삭제 프로토콜 표준화: 차량 폐차 또는 판매 시 데이터 삭제 절차를 표준화해 개인정보 유출을 방지해야 한다.
- OSINT 도구의 악용 가능성: 공개 자료를 활용한 추적은 합법적이지만, 악의적인 목적으로 악용될 경우 심각한 사생활 침해가 발생할 수 있다.
- 정부 및 규제 기관의 역할: 자동차 데이터 보안에 대한 법제화와 감시 강화가 필요하다.
- 소비자의 인식 제고: 차량 구매 시 데이터 수집 및 저장 방식에 대한 투명한 정보 제공이 필요하다.
이번 연구는 자동차 산업이 디지털화되면서 발생하는 새로운 보안 위협을 조명한다. 차량의 ‘블랙박스’로 불리는 통신 모듈이 오히려 사생활 침해의 위험 요소가 되고 있는 것이다. 제조사, 규제 기관, 소비자가 함께 노력해 안전한 자동차 환경을 조성해야 할 시점이다.
관련 기사
스바루, 2028년 자체 전기차 계획 연기…미국 수요 급감으로 전략 수정
Subaru is delaying its first real in-house EVs as American demand cools. Up to four self-developed electric models have lost their 2028 launch window....
폴크스바겐 ID. 폴로 GTI, 50년 만에 돌아온 전기 GTI
Rumors detailing the first electric Volkswagen GTI have swirled around the industry for years, and they’ve just materialized. The battery-powered hot...
혼다 시티 2026년형, LED 헤드라이트와 디지털 인포테인먼트로 외관과 실내 업그레이드
Honda’s refreshed City sedan has surfaced undisguised ahead of its India debut. Sharper LED headlights and a redesigned grille freshen up the aging se...
운송 절도 급증: 자동차 운송 사기 수법과 피해자 증가
Imagine loading your cherished machine into a car hauler and instructing the driver to meet you a few days later at a distant location where you will...
스텔란티스, ‘4xe’ 모델 포기한 이유는? 배터리 결함 논란에 jutae 32만 대 리콜
It’s claimed that Stellantis hasn’t done enough to address battery issues. Roughly 320,000 Jeep models were recalled as recently as last November. Jee...
니issan, 엔진오일 부족으로 서비스 비용 인상… 2026년 5월부터 적용
On Wednesday, we reported on a service bulletin that was allegedly sent to Toyota service departments with instructions on rationing motor oil stocks...
폭스바겐, 2027년 라인업 공개… Атлас 크로스 스포츠와 ID.버즈 캠핑 트림 첫 선
Volkswagen has detailed the changes to their 2027 lineup. A redesigned Atlas Cross Sport debuts later this year. ID. Buzz returns for 2027 with a new...
2027년형 현대 그랜저 페이스리프트 공개…제네시스 G80와 경쟁할 가격대
Hyundai reveals the 2027 Grandeur facelift in South Korea. The flagship sedan gains a cleaner face and new colors. It also features an overhauled cabi...