유럽의 화이트햇 해커팀이 컴퓨터와 이베이에서 구입한 부품 몇 개만으로 2020년형 닛산 리프를 원격 제어하는 데 성공했다. 이들은 이 과정에서 거의 모든 개인정보 보호 및 안전 규정을 위반했으며, 그 전 과정을 영상으로 기록했다.
부다페스트 소재 사이버보안 전문기업 ‘PCAutomotive’는 2020년형 닛산 리프의 여러 취약점을 이용해 자동차의 위치를 추적하고, 차량 내부에서 오가는 메시지와 대화를 녹음하며, 차량 스피커를 통해 미디어를 재생하는 것은 물론, 가장 위험한 점으로 차량이 움직이는 중에도 스티어링 휠을 조작하는 데 성공했다.
이번 해킹 과정에서 가장 충격적인 부분은 이베이에서 구입한 부품으로 ‘테스트 벤치 시뮬레이터’를 만들고, 리프의 DNS C2 채널과 블루투스 프로토콜의 취약점을 이용해 상대적으로 쉽게 해킹에 성공했다는 점이다.
PCAutomotive 팀은 2025년 블랙햇 아시아 컨퍼런스에서 118페이지에 달하는 상세한 해킹 과정 프레젠테이션을 공개했다. 주요 내용은 27페이지부터 시작되며, 모든 취약점은 2023년 8월 2일부터 2024년 9월 12일 사이에 닛산과 관련 공급업체에 이미 공개됐다.
주요 취약점 목록
CVE-2025-32056 – 도난 방지 시스템 우회
CVE-2025-32057 – app_redbend: MiTM 공격
CVE-2025-32058 – v850: CBR 처리 중 스택 오버플로우
CVE-2025-32059 – RCE로 이어지는 스택 버퍼 오버플로우 [0]
CVE-2025-32060 – 커널 모듈 서명 검증 부재
CVE-2025-32061 – RCE로 이어지는 스택 버퍼 오버플로우 [1]
CVE-2025-32062 – RCE로 이어지는 스택 버퍼 오버플로우 [2]
PCA_NISSAN_009 – CAN 버스 간 부적절한 트래픽 필터링
CVE-2025-32063 – Wi-Fi 네트워크 지속성
PCA_NISSAN_012 – i.MX 6 HAB의 CVE-2017-7932를 통한 지속성
전기차만의 문제 아닌 커넥티드카의 공통된 취약점
이번 해킹 사례는 긍정적으로 보면 원격 조작자가 차량에 ‘로그인’하여 비상 상황에서 차를 조작할 수 있는 방법을 잘 설명하고 있다.
하지만 일부에서는 이를 두고 “전기차는 해킹될 수 있다”고 주장할 수 있으나, 실제로는 전자식 파워 스티어링(EPS), 전자식 스로틀 제어, 전자식 브레이크 등을 갖춘 거의 모든 현대 자동차가 비슷한 방식으로 해킹될 가능성이 있다.
이번 사례의 가장 우려되는 부분은 사생활 침해와 녹음 기능으로, 이는 개인정보 보호 측면에서 심각한 문제를 제기한다.
닛산 측은 이미 취약점에 대해 보고받은 상태지만, 이번 사례는 현대 자동차의 연결성이 증가함에 따라 사이버보안이 얼마나 중요한 문제가 되었는지 다시 한번 상기시키고 있다.
