폭스바겐, 전기차 80만대 데이터 유출로 큰 스캔들에 직면
이달 초 폭스바겐은 자동차 소프트웨어 회사 카리아드(Cariad)가 심각한 보안 오류로 인해 약 80만 대의 전기차 데이터가 유출됐다고 밝혀 큰 스캔들에 직면했다. 해당 정보는 운전자의 이름, 차량의 정확한 위치와 연계돼 고객의 안전과 개인정보 보호에 대한 우려를 낳고 있다.
테라바이트 규모의 Volkswagen 고객 세부 정보는 몇 달 동안 Amazon Cloud에 보호되지 않은 상태로 저장되어 기술 지식이 부족한 사람이라면 누구나 운전자의 움직임을 추적하거나 개인 정보를 수집할 수 있었습니다. 유출된 데이터에는 폭스바겐 차량뿐만 아니라 세아트, 아우디, 스코다 모델도 포함되어 있으며 위치정보 정확도가 높습니다.
사고의 원인은 두 개의 Cariad IT 애플리케이션의 잘못된 구성으로 인해 발생했습니다. 유럽 최대의 윤리적 해커 조직인 CCC(Chaos Computer Club)는 Cariad에 이 문제를 알렸습니다. CCC는 Cariad와 Volkswagen에 기술 정보를 제공하기 전에 내부 고발자로부터 취약점을 발견하고 안전하지 않은 액세스에 대해 테스트했습니다.
Cariad는 인터넷에 연결되어 있고 온라인 서비스에 가입한 차량만 영향을 받을 것이라고 말했습니다. 연구자들은 노출된 800,000대의 차량에서 460,000대의 차량에 대한 지리 데이터를 발견했으며 일부 차량의 경우 정확도가 최대 10cm에 달했습니다. 회사는 또한 개인정보 보호를 위해 가명처리를 통해 데이터 보안을 강화했다고 밝혔습니다.
Spiegel은 무료 소프트웨어만을 사용하여 두 명의 독일 정치인의 자동차에서 위치 정보를 발견했습니다. 이러한 도구는 민감한 정보가 포함된 유출된 Cariad 자산을 검색하여 내부 Cariad 애플리케이션에서 메모리 사본을 찾아냈습니다.
Cariad는 문제를 해결하기 위해 신속하게 대응했으며 CCC가 이를 보고한 당일 액세스를 폐쇄했습니다. 회사는 또한 제3자가 해당 데이터에 접근했다는 증거가 없다고 강조했다. CCC는 차량의 데이터에만 액세스할 수 있으며 차량 자체에는 액세스할 수 없습니다.
Cariad는 고객이 개인 데이터 사용 옵션을 비활성화할 수 있다고 말했으며 차량에서 수집된 데이터는 고객에게 디지털 기능을 제공하는 데 도움이 되고 추가적인 이점을 창출한다고 강조했습니다.
이달 초 이 회사는 폭스바겐 자동차 소프트웨어 회사가 큰 스캔들에 직면했습니다. 카리아드 오류로 인해 전기차 80만대 가량의 데이터가 유출된 것으로 드러났다. 보안 심각한. 보고서에 따르면 이 정보는 운전자의 이름과 연계돼 차량의 정확한 위치가 드러날 수 있어 고객의 안전과 개인정보 보호에 큰 우려를 낳을 수 있다.
테라바이트 규모의 Volkswagen 고객 정보가 보호되지 않은 상태로 저장되었습니다. 아마존 몇 달 동안 클라우드를 사용하면 제한된 기술 지식을 가진 사람이라면 누구나 운전자의 움직임을 추적하거나 개인 정보를 수집할 수 있습니다. 유출된 데이터 목록에는 폭스바겐 차량뿐만 아니라 세아트(Seat), 아우디(Audi), 스코다(Skoda) 모델도 포함되어 있으며, 일부 지리위치 데이터는 불과 몇 센티미터에 불과하다.
그 이유는 다음과 같습니다. 구성 회사 담당자가 BleepingComputer와 공유하는 두 개의 Cariad IT 애플리케이션에서 오류가 발생했습니다. 11월 26일, 유럽 최대의 윤리적 해커 조직인 CCC(Chaos Computer Club)가 Cariad에 이 문제를 알렸습니다. CCC는 Cariad와 Volkswagen에 기술 정보를 제공하기 전에 내부 고발자로부터 취약점을 발견하고 안전하지 않은 액세스에 대해 테스트했습니다.
Cariad 담당자는 BleepingComputer에 보낸 성명에서 인터넷에 연결되어 있고 온라인 서비스에 가입한 차량만 영향을 받는다고 말했습니다. 연구원들은 약 800,000대의 노출된 차량에서 460,000대의 차량에 대한 지리 데이터를 발견했으며 일부 차량의 경우 정확도가 최대 10cm에 달했습니다. 특히 이들 중 30명 이상이 함부르크 경찰 순찰대 소속이었고 나머지는 정보기관으로 추정되는 직원들의 소속이었다.
회사 측은 CCC 해커들이 여러 보안 메커니즘을 우회한 후에만 데이터에 접근할 수 있으며 이를 위해서는 상당한 기술 전문성과 시간이 필요하다고 밝혔다. 각 차량의 데이터는 개인정보 보호를 위해 가명처리를 통해 강화되었지만, 해커들은 정보 접근 효율성을 높이기 위해 다양한 데이터 세트를 결합하여 특정 사용자에게 정보를 할당했습니다.
Spiegel은 IT 전문가와 언론인으로 구성된 팀을 구성하여 무료로 제공되는 소프트웨어만을 사용하여 독일 정치인 Nadja Weippert와 Markus Grübel 국회의원의 차량에서 위치 정보가 수집되었음을 발견했습니다. 이러한 도구는 민감한 정보 파일이 포함된 유출된 Cariad 자산을 검색하여 내부 Cariad 애플리케이션에서 스토리지 사본을 찾았습니다.
메모리 덤프 내부에서 해커들은 Cariad가 Volkswagen 그룹의 고객 차량에서 수집한 데이터를 저장한 Amazon의 클라우드 스토리지 인스턴스에 대한 액세스 키를 발견했습니다. Spiegel은 일부 데이터에 전기 모터가 꺼졌을 때 차량의 경도와 위도 좌표가 표시되었다고 보고했습니다. “VW와 Seat 모델의 경우 이 지리 데이터는 10cm까지 정확하고, Audi와 Skoda 모델의 경우 10km까지 정확하므로 그다지 심각하지 않습니다.”라고 Spiegel은 말했습니다.
영향을 받은 차량의 대부분(약 300,000대)은 독일에 있으며, 연구원들은 노르웨이(80,000), 스웨덴(68,000), 영국(63,000), 네덜란드(61,000), 프랑스(53,000), 벨기에의 차량에 대한 정보도 발견했습니다. (68,000), 덴마크 (35,000). Cariad는 또한 보안팀이 문제를 해결하기 위해 신속하게 대응했으며 CCC가 이를 보고한 당일 액세스를 차단했다고 밝혔습니다.
CCC 관계자는 카리아드의 기술팀이 “신속하고 철저하며 책임감 있게 대응했다”며 회사가 기술 정보를 받은 지 몇 시간 내에 응답했다고 Spiegel에 확인했습니다. 조사 결과에 따르면 카리아드는 CCC 해커가 아닌 다른 사람이 노출된 차량 데이터에 접근했거나 해당 정보가 제3자에 의해 오용되었다는 증거가 없다.
또한 CCC는 차량에서 수집한 데이터에만 접근할 수 있으며 차량 자체에는 접근할 수 없다는 점도 강조했다. Cariad는 폭스바겐 그룹 브랜드 고객은 개인 데이터 처리가 필요한 제품 및 서비스 사용에 동의할 수 있으며 언제든지 이 옵션을 비활성화할 수 있다고 말했습니다. 그러나 회사는 차량에서 수집된 데이터가 고객을 위한 “디지털 기능을 제공, 개발 및 개선”하는 데 도움이 될 뿐만 아니라 추가적인 이점을 창출하는 데도 도움이 된다고 언급했습니다.
