러시아 모스크바의 교통 제어 시스템은 해킹에 취약해 최악의 경우 운전자와 보행자의 안전을 위협할 수 있다는 연구가 발표되었다. 카스퍼스키랩 연구원 데니스 레게조(Denis Legezo)는 샌프란시스코에서 열린 RSA 컨퍼런스 2016에서 러시아 모스크바 도로에 설치된 차량 감지 센서들은 보안상 취약하며, 센서들이 수집하는 데이터는 보호되지 않아 자동차로 해당 센서 주변을 서행하는 것만으로 접속과 조작이 가능하다고 발표했다.
모스크바 도로에 설치된 차량 감지 센서들은 도로 일정 면적에 몇 대의 자동차가 있는지를 세서 이를 토대로 자동차의 평균 속도를 산출해 교통 통제 센터로 데이터를 전송한다. 모스크바 시 당국은 이 데이터를 토대로 교통 신호 주기를 조작하고, 교통 통제에 반영한다. 또한 해당 데이터와 러시아 검색엔진 얀덱스 데이터를 포함시켜 매주 정체가 심한 도로 구간을 발표한다.
레게조 연구원은 블루투스 송신기와 스캐너 소프트웨어를 자동차에 싣고 도로를 천천히 주행하거나, 센서 제조사 홈페이지에서 다운받은 장비 설정 소프트웨어를 설치한 노트북을 실은 자동차로 해당 센서 주변을 서행하면 센서 접속이 가능했으며, 펌웨어는 원격지에서 무선 인스톨이 가능했다고 밝혔다. 이 데이터는 신호등 조작 등에 사용되므로 공격에 사용되는 경우 교통 체증이나 운전자, 보행자에게 큰 위협이 될 수 있다.
레게조 연구원은 알려진 취약점에 빠르게 대처하는 것도 중요하며, 보안 연구원은 보안 담당자에 비해 항상 수적으로 우세하므로 취약점 보상 프로그램을 실시한다면 좋은 효과를 가져올 수 있을 거라고 덧붙였다.
교통 시스템 취약점이 지적된 것은 이번이 처음이 아니다. 지난 2014년 미국 보안회사 IOActive의 CTO 세자르 세루도(Cesar Cerrudo)는 데프콘에서 미국 주요 도시의 신호등 취약점을 발표했다. 세루도는 노트북을 들고 미국 워싱턴시 거리에 나가 교통 시스템 보안 상태를 테스트한 결과 차량 감시 센서가 취약하다는 걸 알게 되었다. 이 취약점을 이용하면 공격자는 적색등만 켜지도록 신호등을 조작해 도로를 주차장으로 만들거나, 교통 체증을 유발해 응급차가 움직이지 못하게 만들 수도 있다고 한다. 세루도는 해당 교통 시스템 제조사에 이 사실을 알렸지만 무시당했으며, 연구 목적으로 이 교통 시스템을 구매하려고 하자 제조사는 이마저도 거부했다.
세루도는 지난해 4월 샌프란시스코에서 열린 RSA 컨퍼런스에서 스마트시티 사이버보안 문제점을 다음과 같이 지적한 바 있다.
- 미국 정부와 시 당국은 스마트시티 솔루션을 구매할 때 기능 테스트에만 신경 쓰고 보안 테스트는 전혀 하지 않음. 보안 관련해선느 제조사를 전적으로 신뢰하기 때문
- 무선을 데이터를 전송하는 스마트시티 서비스가 많지만 제조사들은 암호화 등의 보안조치를 적용하지 않아 누구든 데이터를 가로채고 시스템 침입 가능
- 호주 멜버른, 영국 런던을 비롯한 전 세계에 설치된 20만개의 교통 제어 센서가 해커 공격에 노출 될 수 있음
- 교통 신호등 시스템도 마찬가지로 취약한데도 제조사들은 보안 테스트 자체를 거부하고, 애초에 업데이트 자체가 불가하도록 만들어진 것들도 있어 취약점이 발견되어도 해결에 오랜 기간이 걸려 그동안에 공격에 노출될 수 있음
세루도 연구원은 각 도시마다 스마트 시티 취약점과 공격을 전담하는 컴퓨터 비상 대응팀(CERT)을 가동하고, 사이버 공격 대응 매뉴얼을 개발해 스마트시티 사이버 사고에 대비해야한다고 강조했다.