혼다 시빅 10세대 차량의 인포테인먼트 시스템에서 심각한 보안 취약점이 발견되었습니다. 연구자 에릭 맥도날드(Eric McDonald)는 3년간의 역설계 끝에, 차량 헤드유닛(headunit)이 안드로이드 오픈소스 프로젝트(AOSP)의 공개 테스트 키로 서명된 업데이트 파일을 허용한다는 사실을 밝혀냈습니다. 이는 물리적으로 차량의 USB 포트에 접근할 수 있다면, 누구나 임의의 코드를 시스템에 설치할 수 있음을 의미합니다.
맥도날드에 따르면, 혼다(Honda)는 헤드유닛 업데이트 과정에서 AOSP 테스트 키를 그대로 사용하고 있으며, 복구(recovery) 바이너리도 순정 AOSP의 서명 검증 로직과 일치합니다. 즉, USB 드라이브를 올바르게 포맷하고 공개된 AOSP 테스트 키로 서명하기만 하면, 헤드유닛에 원하는 모든 것을 설치할 수 있습니다. 그는 이를 '이블 발렛(Evil Valet)' 공격이라고 명명했는데, 이는 물리적 접근을 통해 차량 시스템을 조작할 수 있는 시나리오를 가리킵니다. 예를 들어, 발렛 파킹 요원이 악의적인 목적으로 차량 인포테인먼트 시스템에 스파이웨어를 설치하는 상황을 상상할 수 있습니다. 맥도날드는 이러한 맞춤형 업데이트 파일을 쉽게 만들 수 있는 'ota-builder' 도구도 공개했습니다.
이러한 취약점은 차량 내 인포테인먼트 시스템의 보안이 얼마나 중요한지 다시 한번 일깨워줍니다. 단순히 내비게이션이나 미디어 재생을 넘어, 차량 시스템 전반과 연결될 수 있는 인포테인먼트의 보안 허점은 사용자 프라이버시 침해는 물론, 잠재적으로 더 심각한 보안 위협으로 이어질 수 있습니다. 자동차 제조사들은 소프트웨어 업데이트 및 서명 관리 프로세스를 더욱 철저히 검토하고, 공개된 테스트 키 사용과 같은 기본적인 보안 실수를 방지하기 위한 노력을 강화해야 할 것입니다. 사용자들은 공식적이지 않은 소프트웨어 설치에 주의하고, 차량의 물리적 보안에도 신경 써야 합니다.