보라빛 소를 만나기 위한 도약

자동차 OS의 업계 표준을 노리는 블랙베리 QNX.pdf

◾ 자동차 OS를 개발하는 캐나다의 ‘블랙베리 QNX’는 스마트폰과 마찬가지로 자동차의 소프트웨어 플랫폼도 1~2가지만 선택될 것이며, QNX가 그 중 하나가 될 것을 기대하고 있음

▸ 블랙베리 QNX에 따르면 앞으로 자율운전 및 커넥티드 같은 기능이 확산되면 차량의 ECU(Electric Control Unit, 전자제어장치)의 통합이 진행될 수밖에 없음

▸ 지금은 1대의 자동차에 100개 이상의 ECU가 사용되고 있는데, 각 ECU는 공급업체가 다를 뿐 아니라 소프트웨어 호환성도 없으며, ECU에 탑재되는 프로세서 및 메모리도 최소 사양으로 되어 있어 ‘OTA(Over The Air, 무선 원격)’ 방식의 소프트웨어 업데이트도 어려움

▸ 이런 상황에서는 커넥티드 및 자율운전 차량의 안전과 보안을 담보하기 어렵기 때문에 앞으로는 보다 고성능 프로세서와 대용량 메모리를 탑재한 10개 정도의 통합 ECU를 도입하여 기존의 ECU들을 부분별로 집약하는 방향으로 나아갈 것이란 설명임

▸ 자율운전 및 커넥티드, OTA 등의 기능을 안전하고 보안성 있게 수행하기 위해서는 통합 ECU에 사용할 OS 등 소프트웨어 기반을 통일할 필요가 있는데, 스마트폰의 iOS와 안드로이드 OS처럼 이 분야도 1~2개만 선택될 것으로 블랙베리 QNX는 내다보고 있음

<자료> BlackBerry QNX

[그림 1] 자동차 전자제어장치(ECU) 구성의 현재와 미래

◾ 블랙베리 QNX는 자신들의 소프트웨어가 1억 2천만 대 이상의 자동차에 탑재되어 있다는 점과 기능의 안전성 및 보안성에 강점이 있다고 것을 어필하고 있음

▸ 통합 ECU의 OS나 소프트웨어 인프라를 표준화하는 업계의 움직임으로는 2003년 결성된 ‘오토사(AUTOSAR)’의 ‘어댑티브 플랫폼(Adaptive Platform)’이 있음

▸ 어댑티브 플랫폼은 포직스(POSIX, 이식형 운영체제 인터페이스) 계열의 OS나 가상화를 위한 하이퍼바이저를 사용하는 것을 지향하며 현재 다양한 벤더가 후보로 나서고 있음

▸ 블랙베리 QNX 역시 자신들이야말로 어댑티브 플랫폼에 적합하다고 어필하며 QNX의 채택을 위해 어댑티브 플랫폼 소프트웨어 스택을 다루는 여러 공급업체와 협상 중에 있고, 2019년에 구체적 내용을 담은 발표를 내놓는다는 계획임

▸ QNX의가 최대 강점으로 내세우는 것은 기능 안전성 및 보안인데, 안전성 면에서는 가장 핵심적인 영역의 소프트웨어 기반을 35년 이상 제공해온 실적을, 보안 측면에서는 모회사인 블랙베리가 보유한 30년 이상의 실적을 각각 제시하고 있음

▸ 블랙베리 QNX에 따르면, 자신들의 자동차 소프트웨어는 현재 전세계 1억 2,000만 대 자동차에 탑재되어 있으며 완성차 업체 상위 10개사 중 9개사, 1차 부품업체(Tier 1) 상위 8개사 중 7개사가 QNX를 선택하고 있음

▸ QNX 기반의 소프트웨어가 광범위한 자동차 시스템에서 사용되고 있는 것도 강점인데, QNX는 미터 클러스터(대시보드)와 인포테인먼트, 첨단운전자지원시스템(ADAS), OTA(Over The Air) 등 다양한 분야에서 사용되고 있음

▸ 완성차 업체들은 자동차 OS의 표준화를 진행하면서 다양한 자동차 시스템에 이미 사용되고 있는 OS를 선택하는 경향이 있는데, 블랙베리는 QNX는 이런 면에서 유리한 고지에 있음

◾ 블랙베리는 최근 QNX의 소프트웨어 개발 환경인 SDP 7.0 및 가상화 환경인 하이퍼바이저 2.0을 르네사스 테크놀로지의 자동차 SoC인 ‘R-Car’에 대응시켰다고 발표하였음

▸ 이 개발 환경들은 이미 인텔, 엔비디아, 퀄컴, 텍사스 인스트루먼트, NXP 반도체 등의 칩에 대응하고 있었는데, 이번 르네사스의 R-Car의 지원으로 거의 모든 칩에 대응하게 되었음

▸ 발표회장에서는 R-Car H3를 이용하여 하이퍼바이저에서 QNX 및 안드로이드를 각각 구동하는 데모를 선보였는데, QNX에서는 미터 클러스터의 앱을, 안드로이드에서는 인포테인먼트 앱(동영상 재생)을 각각 구동하였음

▸ 또한 재규어 랜드 로버의 XJ 기반 컨셉 카에서 하이퍼바이저로 QNX 및 안드로이드를 각각 구동하는 데모도 선보였음

▸ 이 밖에도 블랙베리는 자신들의 기술을 사용해 각종 솔루션을 개발하는 파트너 프로그램인 'VAI(Value-Added Integrator)'를 소개하며, 점점 더 많은 개발사들이 참가 중이라 밝혔음

▸ 자동차업계 내비건트 리서치에 따르면 자율주행 기능을 지원하는 차량은 2025년경부터 판매가 시작되어 2030년을 넘어서며 폭발적으로 급증할 것으로 전망되는데, 블랙베리 QNX는 이 거대시장에서 주요 플랫폼으로 등극을 꿈꾸고 있음

▸ 아이폰 이전의 스마트폰을 주름잡던 블랙베리가 자동차 OS를 발판으로 다시 권토중래에 성공할 수 있을지 업계의 관심이 모이고 있음

<자료> Navigant Research

[그림 2] 2015~2035 자율주행 기능 차량 판매 전망

애플 출신들이 만든 AI 기반 주방 가전, &lsquo;준 인텔리전트 오븐&rsquo;.pdf

ž 인공지능(AI)이 라이프스타일을 하나 둘씩 바꿔 나가는 가운데, 실리콘밸리에서는 현재 조리 가전 부문에서도 AI 혁명을 진행 중에 있음

Ø 미국의 스타트업 ‘준(June)’이 판매하고 있는 ‘준 인텔리전트 오븐(June Intelligent Oven)’은 엔비디아의 GPU와 딥러닝 기반의 이미지 인식 AI를 탑재하고 있으며, 재료만 오븐 안에 넣으면 자동으로 전문가 수준의 요리를 만들어 준다고 함

Ø 2016년 12월 출시된 이 지능형 오븐은 재료가 들어오면 본체 내부에 탑재된 HD 카메라로 재료를 촬영하고, 답러닝 기반의 인식 AI로 재료의 종류와 상태를 식별하여 그 재료에 가장 적합한 레시피를 사용자에게 제시해 주고, 재료 상태에 따라 굽는 정도 등 조리법을 자동으로 조절함

Ø 예를 들어 스테이크라면 고기의 종류가 안심인지 토마호크인지를 AI가 판단하며, 사용자가 굽기 정도만 선택하면 나머지는 오븐이 자동으로 조리를 해 줌

Ø 준 인텔리전트 오븐은 카메라 이외에도 다양한 센서를 탑재하고 있는데, 본체 내부의 온도를 측정하는 센서와 재료 내부의 온도를 측정하는 꽂이형 온도 센서, 무게 센서 등의 정보를 기반으로 프로그램이 6개의 히터와 온도 조절 팬을 세세하게 제어해 오븐의 온도를 자동 조절함

Ø 재료의 ‘구이 색’은 오븐 내부의 HD 카메라 및 이미지 인식 AI가 실시간으로 모니터링하고 태운 자국이 생기지 않도록 온도를 조정하는데, 가령 케이크처럼 굽기가 균일하지 않아 얼룩덜룩해 보이기 쉬운 메뉴도 지능형 오븐으로는 깨끗하게 구울 수 있다고 함

ž 준 인텔리전트 오븐의 사용자 인터페이스(UI)는 아이팟과 유사한데, 그도 그럴 만 한 것이 준 직원 40명 중 절반이 애플 출신이라고 함

Ø 오븐의 UI는 본체 전면의 액정 모니터와 다이얼로 매우 심플한데, 예전 아이팟의 UI와 흡사함

Ø 준의 공동 창업자이자 CTO를 맡고 있는 Nikhil Bhogal은 애플에서 아이폰의 ‘카메라’ 개발을 담당했던 엔지니어로 파노라마 사진 기능과 얼굴 인식 기능의 개발에 참여했다고 함

Ø 준의 공동 창업자이자 CEO인 Matt Van Horn은 조리 가전을 만든 경험은 전혀 없었지만 AI가 게임 체인저의 열쇠를 쥐고 있다고 생각해 가전 시장에 뛰어들 것을 결정했다고 함

Ø 가전 시장은 경쟁이 심하지만 설계가 오래된 레거시 제품들뿐만 있어서, 프로세서의 가격 인하와 성능 향상을 통해 모든 장치에서 AI를 활용할 수 있도록 된 지금 가전 시장에 큰 기회가 있을 것이라 판단했다는 것임

Ø Van Horn 역시 애플 출신으로 2007년에는 차량 공유 서비스인 리프트(Lyft)의 전신인 ‘짐라이드(Zimride)’를 창업한 바 있으며, 이후 소셜 북마크 서비스인 ‘딕(Digg)’과 SNS 서비스인 ‘패스(Path)’의 임원을 맡은 경험도 있음

ž 준은 자신들의 강점을 ‘소프트웨어’라고 단언하는데, 여기서 말하는 소프트웨어에는 프로그램으로 구현된 레시피도 포함됨

Ø 준이 개발한 레시피는 사람이 읽는 것이 아니라 오븐에 실행 명령하는 ‘프로그램’으로 구현되어 있는데, 가령 베이컨 요리 레시피라면 1장의 베이컨만 요리할 지 아니면 9장을 한번에 조리할 지, 얇은 베이컨으로 할 지 아니면 두꺼운 베이컨으로 할 지, 바삭하게 구울 지 아니면 촉촉하게 구울 지 등 36 가지 시나리오를 가정해 각각에 맞는 레시피 프로그램을 개발하였음

Ø 레시피 프로그램은 다단계 구조로 되어 있으며, 각각의 단계에서 프로그램이 센서 정보를 통해 조리의 상태를 판단해 다음 단계로 나아갈 지를 결정하도록 해, 최적의 조리 프로세스를 오븐 스스로 결정하도록 해 놓았음

Ø 오븐의 전면에 탑재되는 LCD 모니터는 앞으로 몇 분 후에 조리가 끝나는 지도 표시해 주는데, 이는 단순한 ‘타이머’가 아니어서, 요리의 상황에 따라 시간은 실시간으로 변함

Ø 이는 마치 구글 지도의 내비게이션 기능이 목적지까지의 도착 시간을 교통 상황에 따라 실시간으로 변화시키는 것과 같은 것으로 조리에 대한 판단은 전적으로 ‘프로그램’이 수행함

ž 준은 스마트폰과 스마트 카를 개발하는 것과 지능형 오븐 개발을 동일한 것으로 바라보고 있으며, 실제 사용하고 있는 기술과 하드웨어는 스마트폰을 넘어서고 있음

Ø 준 인텔리전트 오븐은 고급 AI를 구현하기 위해 엔비디아의 SoC(System on a Chip, 시스템온칩)인 ‘테그라(Tegra) K1’을 탑재하였음

Ø 테그라 K1은 자율운전차 등에도 도입되고 있는 강력한 GPU를 탑재한 SoC로, 준 인텔리전트 오븐은 엔비디아의 GPU를 탑재한 세계 최초의 주방 가전임

Ø 딥러닝의 처리는 많은 컴퓨팅 자원을 필요로 하기 때문에 스마트폰과 태블릿의 경우 클라우드에서 작업을 수행하지만 준 인텔리전트 오븐은 로컬에서 처리함

Ø 이는 강력한 GPU뿐만 아니라 2 기가바이트의 메모리를 탑재하고 있기 때문인데, 준의 오븐은 일반적인 스마트폰이나 태블릿을 상회하는 성능을 갖고 있는 것임

Ø 준은 와이파이를 통해 인터넷에 연결하고 OTA(Over The Air) 기능을 통해 본체 소프트웨어를 원격으로 업데이트하거나 조리법의 종류를 늘리고 있는데, 2017년 8월에는 소프트웨어 업데이트를 통해 저온에서 천천히 음식을 조리하는 ‘슬로우 쿡’ 모드를 추가한 바 있음

Ø OTA를 통해 소프트웨어를 업그레이드 시키는 것은 스마트폰이나 태블릿, 그리고 테슬라 전기자동차 등에서 시도되고 있는 것인데, 준의 지능형 오븐도 계속해서 진화하는 주방 가전을 목표로 하고 있는 것임

ž 준 인텔리전트 오븐은 인공지능 소프트웨어 파워에 의해 주방 가전의 세계에서도 디지털 파괴적 혁신(Digital Disruption)이 일어날 것임을 시사하고 있음

Ø 준은 2014년 11월에 설립되었는데, 당시 패스(Path)에서 함께 일하던 Van Horn과 Bhogal은 ‘이미지 인식 AI를 갖춘 오븐’을 만들자는 아이디어를 내고 아이폰과 수동식 오븐을 조합하여 즉시 프로토타입을 만들었다고 함

<자료> June

[그림 4] 준 오븐의 프리 프로토타입

Ø 몇 차례의 프로토타입을 거쳐 2016년 12월에 출시를 했는데, 제품은 주방 가전이지만 개발 공정은 스타트업이 시제품을 만들어 중국의 ODM(주문자 상표에 의한 설계·생산) 업체를 통해 양산하는 ‘디지털 기기’의 방식을 따르고 있음

Ø 2017년 10월 시애틀에서 개최된 제3회 ‘스마트 키친 서밋(Smart Kitchen Summit)’에서 준 인텔리전트 오븐은 ‘감마 쉐프(GammaChef)’와 함께 알아서 요리를 해주는 음식 로봇으로 참가자들로부터 큰 인기를 끌었음

Ø 소프트웨어 파워를 통해 휴대전화와 AV 가전, SNS 미디어 및 운송 서비스 등 다양한 산업을 변화시켜 왔던 인력들이 지금 주방 가전의 세계에서도 디지털 변혁을 일으키려 하고 있음

텐센트 보안 연구소, 테슬라 전기차에 대한 원격 해킹 2년 연속 공개.pdf

[ 요 약 ]

ž 세계 최대 보안 컨퍼런스인 ‘블랙햇(Black Hat) 2017’에서 텐센트의 보안 연구원들은 작년에 이슈가 된 바 있는 테슬라 차량의 해킹과 관련해 그 기법을 자세히 설명하였음

Ø 텐센트의 보안 연구부문인 ‘킨 시큐리티 랩(Keen Security Labs)’은 작년 9월 자사 블로그와 유튜브를 통해 테슬라의 전기자동차 모델S에 여러 가지 보안 취약점이 존재한다고 공개

Ø 당시 연구원들은 원격지에서 네트워크를 통해 차량 시스템에 침입한 다음 주행 중인 차에 브레이크 걸기, 와이퍼와 사이드 미러 작동시키기, 트렁크 열기 등을 보여주었고, 주차 중인 차의 선루프를 열거나 램프를 켜고 문을 여는 모습도 공개하였음

Ø 킨 시큐리티 랩은 해킹 시연 전에 테슬라에 먼저 문제점을 통보했으며, 테슬라도 취약성을 인정했고 소프트웨어 업데이트를 통해 취약점을 즉시 수정했다고 밝혔음

Ø 당시 테슬라는 ‘이번 해킹은 차량용 웹 브라우저가 악의를 가진 와이파이 핫스팟에 연결되는 매우 특별한 환경에서만 가능한 것이었다’고 해명한 바 있음

Ø 테슬라는 자동차업계 최초로 소프트웨어 버그를 발견한 사람에게 버그당 1만 달러를 보상하는 ‘버그 바운티(bug bounty)’ 프로그램을 운용해 오고 있으며, 그에 따라 킨 시큐리티 랩 연구원들에게도 보상을 한 것으로 알려져 있음

Ø 모델S에 대한 해킹 시연이 약 1년 경과한 시점에서 열린 올해 블랙햇 컨퍼런스에서 텐센트의 연구원들은 테슬라 측이 보안 대응을 적극적으로 하고 있기에 해킹 기법을 공개하기로 했다며 자세히 그 방법을 설명하였음

[동영상] 텐센트 보안부문 연구원들의 테슬라 모델S 해킹 시연

ž 텐센트의 보안 연구원들의 밝힌 모델S 해킹 공격은 크게 다음의 5단계로 이루어짐

① 테슬라 차량의 통신 기능에 존재하는 취약한 사양을 이용해 차량 탑재 정보 단말기가 연결된 차내 정보계 네트워크에 침입함

② 차량에 탑재된 정보 단말기의 웹 브라우저에 존재하는 취약점을 공격하여 임의의 코드가 실행 가능하도록 장악함

③ 차량 탑재 정보 단말기의 리눅스 커널에 존재하는 취약점을 공격하여 루트 권한을 획득함

④ 차량 탑재 정보 단말기가 연결된 정보계 네트워크와 전자제어유닛(ECU)이 연결된 제어계 네트워크(CAN)를 잇는 ‘컨트롤러’를 공격하여 컨트롤러의 펌웨어를 바꿈

⑤ 컨트롤러에서 전자제어유닛(ECU)에 가짜 명령을 보내 자동차를 원격 조작함

ž 모델S의 차내 네트워크에 침입하는 방법은 테슬라가 인정한 대로 와이파이 접속 포인트의 암호 취약점과 차량용 웹 브라우저의 보안 취약점을 공략하는 것임

Ø 테슬라의 전기차들은 테슬라가 운영하는 자동차 판매점이나 배터리 충전 장소에 ​설치되어 있는 무선랜의 액세스 포인트(AP)에 자동으로 연결하는 사양으로 되어 있음

Ø 그런데 그 무선랜 액세스 포인트들의 이름(SSID)과 암호가 모든 곳에서 동일했던 데다가 암호 역시 쉽사리 유추하거나 외우기 쉬운 ‘abcd123456’이었다고 함

Ø 또한 테슬라 전기차에 탑재된 리눅스 기반 차량 정보 단말기는 무선랜 액세스 포인트에 접속하면 웹 브라우저가 열려 있던 웹 페이지를 자동으로 새로 고침하는 사양으로 되어 있었음

Ø 테슬라 차량 정보 단말기의 웹 브라우저인 ‘큐티카브라우저(QtCarBrowser)’ 역시 오래된 버전의 ‘웹킷(WebKit)’을 렌더링 엔진으로 사용하고 있어 차량 정보 단말기에서 임의의 코드를 실행시킬 수 있는 보안 취약점('CVE-2011-3928 ' 등)이 존재하고 있었음

Ø 이러한 취약점이 있었기 때문에, 텐센트의 연구원들은 가짜 무선랜 포인트를 설치하여 테슬라 차량을 연결시키고 차량 정보 단말기의 웹 브라우저에 공격용 가짜 웹 페이지가 표시되게 한 후, 차량 정보 단말기에서 임의의 코드를 실행시킬 수 있었음

Ø 한편 무선랜을 경유하는 방법뿐 아니라 3G 통신망의 기능을 악용해 차량 정보 단말기에서 임의의 코드를 실행시키는 방법도 있었다고 하는데, 단 그 경우에는 테슬라 자동차 소유자를 겨냥한 피싱 공격을 통해 필요한 정보를 먼저 빼내야 한다고 함

ž 차량의 정보 네트워크에 접속하고 난 후에는 제어 네트워크에 접근할 수 있는 컨트롤러 장악을 위해 소프트웨어 업데이트 메커니즘을 이용해 컨트롤러의 펌웨어를 변경시켰다고 함

Ø 차량 네트워크에 연결된 이후에는 차량 정보 단말기의 리눅스 커널에 존재하는 취약점인 ‘CVE-2013-6282’ 등을 공략하여 리눅스의 보안 기제인 ‘앱아모(AppArmor)’를 무력화하고, 단말기 상에서 임의의 코드를 루트 권한으로 실행할 수 있게 함으로서 단말을 완전히 장악하였음

Ø 다음 과정은 자동차를 제어하는 ​​'전자제어유닛(ECU)’이 연결되어 있는 ‘제어계’ 네트워크(CAN)에 접근하는 것인데, 차량 정보 단말기가 연결되어 있는 ‘정보계’ 네트워크와 CAN은 ‘컨트롤러’를 통해 연결되어 있기 때문에 텐센트 연구원들은 컨트롤러 장악을 통해 CAN에 접근하였음

Ø 컨트롤러는 프로세서로 ‘PowerPC’계열의 칩을 채용하고 ‘FreeRTOS’와 사양이 거의 같은 리얼타임 운영체제(OS)를 사용하고 있는데, 이 컨트롤러 장악을 위해 사용한 방법은 컨트롤러의 펌웨어를 변경하는 것이었음

Ø 펌웨어 변경에는 테슬라 차량이 갖추고 있는 소프트웨어의 원격 업데이트 기능(OTA, Over The Air)을 활용했는데, 작년 해킹 당시의 원격 업데이트 기능은 네트워크를 통해 다운로드 한 업데이트 파일을 SD 카드에 저장하고 그 파일을 사용해 소프트웨어를 다시 작성하는 구조였음

Ø 당시 OTA 기능은 어떤 소프트웨어를 다시 작성해야 하는지를 파일 이름으로만 판단했으며, 잘못된 소프트웨어 갱신을 막기 위한 ‘코드 서명(cord signing)’ 등은 사용하지 않았다고 함

Ø ‘코드 서명’은 인터넷 또는 무선 환경에서 배포되는 실행 파일이 합법적인 제작자에 의해 제작되었고 위·변조되지 않았음을 확인하는 방법으로 객체 서명(object signing)이라고도 함

Ø 코드 서명을 통해 배포되는 실행 파일은 제작자에 의해 전자 서명되어 사용자에게 전송되며, 사용자는 웹 브라우저를 통해 제작자의 인증서 및 실행 파일의 전자 서명을 검증하여 파일의 유효성을 검증하게 됨

Ø 이런 코드 서명이 없었기에 텐센트 연구원들은 자신들이 만든 업데이트 파일을 SD 카드에 기록해 컨트롤러의 펌웨어를 자신들의 것으로 대체함으로써 컨트롤러를 장악했고, 컨트롤러를 통해 CAN에 접속해 다양한 ECU에 가짜 명령을 보내 자동차를 자유롭게 조종할 수 있었음

Ø 가짜 명령어 작성에는 상당한 공을 들였다고 하는데, 가령 일부 ECU는 운전 모드에서는 CAN의 명령에 응답하지 않는 사양으로 되어 있기 때문에 ‘비활성화된 속도 정보를 ECU에 보내는’ 등의 기술을 사용했는데, 이렇게 유효하지 않은 속도 정보를 받게 되면 주행 중이라도 ECU에 브레이크 명령이 발동되기 때문

ž 텐센트의 보안 부문 연구원들은 해킹 기법 설명 후 테슬라의 대응이 매우 우수했다고 평가했는데, 테슬라는 10일 만에 보안 취약점을 해결하고 보안 강화 조치까지 취했기 때문

Ø 텐센트 보안 부문은 이러한 일련의 취약점을 공개하기 전에 해당 정보를 테슬라에 통보했다고 하는데, 테슬라는 통보 받은 후 감사의 뜻을 표했으며, 10일 만에 취약점을 수정했을 뿐만 아니라 보안 강화 조치까지 실시했다고 함

Ø 보안 강화 조치는 세 가지였는데 첫째, 웹 브라우저의 보안 강화책으로 리눅스 커널의 보안 도구인 앱아모의 웹 브라우저 관련 사양을 보다 강화하였음

Ø 둘째, 리눅스 커널의 보안 강화 요인으로 지적 받았던 취약점뿐만 아니라 이미 알려진 모든 취약점을 수정했는데, 테슬라는 리눅스 커널 버전을 이전의 ‘2.6.36.3’에서 ‘4.4.35’로 대폭 업그레이드 하였음

Ø 세 번째는 코드 서명을 실행한 것인데, 소프트웨어의 원격 업데이트에 사용되는 파일뿐만 아니라 ECU의 펌웨어에도 코드 서명을 실시하고 악성 파일로 대체하지 않도록 조치하였음

Ø 텐센트의 보안 부문 연구원들은 자동차 업계가 테슬라의 이러한 적극적인 보안 강화 대책 실행 태도를 본받을 필요가 있다고 평가하였음

ž 그러나 발표의 마지막에는 엄청난 ‘반전’도 준비되어 있었는데, 작년 테슬라의 조치 이후에도 해킹이 가능했다고 말하며 실제 해킹 영상을 작년에 이어 2차로 공개하였음

Ø 텐센트 연구원들에 따르면 2016년 취약점 발견 이후 테슬라 차량의 보안이 크게 강화되고 있지만, 그럼에도 불구하고 텐센트는 최근에 다시 테슬라 차량의 펌웨어 등을 변경하고 스마트폰 앱을 통해 테슬라 차량을 원격으로 컨트롤 할 수 있었다고 함

Ø 텐센트 연구원들은 ‘코드 서명을 우회하는 방법을 발견했다’고 설명했는데, 강연 마지막에 실제로 해킹을 통해 차량을 마음대로 제어하는 모습을 동영상으로 공개하였음

Ø 게다가 이번 해킹 대상은 모델S보다 나중에 나온 새로운 ‘모델X’이었으며, 펌웨어를 변경시킨 모델X의 문을 원격으로 잠금 해제하고 모델X의 브레이크를 원격으로 작동시키거나, 음악에 맞춰 문을 열고 라이트를 점등하는 등 마음대로 조종할 수 있음을 보여주었음

Ø 연구원들은 이러한 새로운 보안 취약점도 이미 테슬라에 보고했다고 밝혔으며, 테슬라가 이미 소프트웨어 수정 작업을 시작하고 있기 때문에 테슬라 전기차 소유자들은 조기에 소프트웨어를 업데이트 해줄 것을 호소하였음

ž 테슬라 차량에 대한 2차에 걸친 해킹 데모는 커넥티드 카의 보안 문제가 실제적인 위험임을 입증한 것으로, 자동차 업계의 소프트웨어 보안 점검 조치가 반드시 필요함을 시사

Ø 텐센트의 보안 연구원들이 테슬라의 취약점을 발견하고 이를 공개적으로 발표한 것이나 발표 전에 테슬라에 먼저 알려 수정할 수 있게 한 것은, 텐센트가 테슬라의 초기 투자자로서 여전히 단일 주주로는 가장 많은 지분을 보유하고 있다는 양사의 특수 상황에 기인한 것일 수 있음

Ø 이는 매우 특수한 경우로 오히려 보안의 취약점을 발견한 해커들이 일방적으로 공개해 버리거나 자동차 업체에 대가를 요구하는 것이 일반적일 것이며, 최악의 상황은 악의를 가지고 실제 엄청난 사고로 이어질 수 있는 불법 조작을 사전 예고 없이 원격으로 실행하는 일일 것임

Ø 자동차는 이제 기계라기 보다는 전자기기에 가까우며, 이 때문에 소프트웨어 보안과 네트워크 보안에 대한 이슈도 비례하여 지속적으로 제기되고 있으나 사람의 목숨과 직결된 중대 사안임에도 불구하고 그에 상응하는 사회적 관심이 제대로 비춰지지 못하고 있음

Ø 텐센트 연구원들의 2차에 걸친 해킹 공개는 이론적인 것이 아니라 이미 판매되고 있는 차량을 대상으로 한 것이고, 게다가 테슬라 측에서 이를 인정했다는 점에서 매우 중대한 사안임

Ø 현재 자동차 제조업체들은 자율주행차 개발 경쟁을 벌이고 있으나 상용화를 위해 가장 중요한 것은 주행기술의 완성도 보다 완벽한 보안 체계를 갖추는 것일 수 있음

Ø 소프트웨어 보안은 자동차업체들로서는 전통적인 업무 영역이 아니었던 만큼 꼼꼼한 관리와 검수가 이루어지도록 일반 소프트웨어 업체들보다 더 많은 투자를 해야 할 필요가 있음

Ø 아울러 테슬라 전기차의 해킹 과정에서 나타났듯, 자동차 보안 침해는 특별히 대단한 기술이 아니라 무선랜 네트워크의 무성의한 암호처럼 사소한 빈틈을 통해 시작될 수 있는 만큼 차량 소유자들도 약간의 번거로움 감수를 통해 보안을 확실히 하려는 인식을 갖는 것이 필요할 것임