루시드 모터스가 보안 취약점 신고 프로그램을 둘러싼 논란에 휩싸였다. 한 보안 연구자가 해당 프로그램이 2025년 중반부터 사실상 방치됐다고 지적하자, 루시드는 “부정확한 정보”라며 반박했다. 그러나 복구된 프로그램의 적용 범위가 웹사이트에 한정돼 있어 차량 보안에 대한 우려는 여전하다.
연구자 “루시드는 보안 재앙”
발단은 지난 토요일 X(구 트위터)에 올라온 게시물이었다. 자동차 소프트웨어 분석 전문가로 9만 명 가까운 팔로워를 보유한 ‘greentheonly’는 루시드를 “거대한 보안 열차 사고(security trainwreck)”라고 표현했다.
그는 루시드가 버그바운티 플랫폼 버그크라우드(Bugcrowd)에서 운영하는 취약점 신고 프로그램이 2025년 중반부터 ‘일시 중단(paused)’ 상태로 표시돼 있다고 지적했다. 루시드 공식 홈페이지의 취약점 공개 정책 페이지 역시 “이 페이지는 연결이 끊겼습니다(This page got unplugged)”라는 404 오류를 반환하고 있었다.
“사람들이 이런 문제를 어떻게 신고하란 건지, 루시드가 아직도 신경이나 쓰는 건지 모르겠다”고 그는 적었다.
루시드 “2022년부터 계속 운영 중”
월요일 오전, 루시드 커뮤니케이션 부문 부사장 닉 트워크(Nick Twork)가 해명에 나섰다.
“신고 페이지에 표시된 ‘일시 중단’ 메시지는 버그크라우드와의 실제 상태를 반영하지 않는다. 현재 수정 작업을 진행 중”이라고 그는 밝혔다. “우리 팀은 2022년부터 이 프로그램을 활발히 운영해왔다. 비활성화됐다는 주장은 사실이 아니다.”
연구자가 버그크라우드 플랫폼에서 프로그램이 ‘일시 중단’ 상태일 경우 신고 기능 자체가 비활성화된다고 반박하자, 트워크 부사장은 임시 해결책을 제시했다. “곧 복구될 것이다. 그동안 DM을 보내면 연락처를 공유하겠다”고 X에 게시했다. 수 시간 뒤 끊어진 링크는 복구됐다.
차량은 테스트 범위 밖
문제는 복구된 프로그램의 적용 범위다. 버그크라우드 페이지를 확인하면, 보안 테스트 대상으로 명시된 것은 www.lucidmotors.com 단 하나뿐이다.
페이지에는 “모든 내부 애플리케이션은 범위 밖”이라고 명시돼 있다. “목록에 없는 대상에서 발견된 취약점은 보상 대상이 아니다”라는 문구도 달려 있다. 차량이나 관련 인프라는 언급조차 없다.
연구자는 “이제 웹사이트만 범위에 들어가 있는데, 이것도 또 다른 누락이고 실제 차량과 인프라 문제도 범위에 포함되는 거 맞냐”고 재차 물었다. 루시드는 기사 작성 시점까지 이 질문에 답하지 않았다.
소프트웨어 난맥상 속 터진 논란
이번 논란은 루시드가 소프트웨어 전반의 문제와 씨름하는 와중에 불거졌다. 이달 초 루시드는 에어와 그래비티 두 모델에서 지속적으로 발생하는 소프트웨어 결함을 해결하기 위해 소프트웨어 인력 상당수를 해고했다.
지난해 11월에는 제품 총괄 에릭 바흐(Eric Bach)가 회사를 떠났고, 파워트레인 담당 수석 부사장이었던 에마드 들랄라(Emad Dlala)가 소프트웨어와 디지털 시스템 전체를 맡게 됐다.
마크 빈터호프(Marc Winterhoff) 임시 CEO는 이달 초 올가을 대규모 소프트웨어 개편을 예고한 바 있다.
루시드의 버그크라우드 프로그램은 2022년 4월 개설 이후 197건의 취약점 신고를 접수했다. JD파워는 올해 1월 미국 전기차 시장 점유율이 전년 동기 대비 하락할 것으로 전망했다.
