미국 테슬라 모터스의 전기자동차 '테슬라S'의 스마트폰 차량 제어시스템에 대한 보안 취약점이 지적됐다. 최악의 경우에는 차량을 도난 당할 위험이 있다는 주장까지 나왔다.

31일(현지시간) 주요 외신은 저명한 보안 컨설턴트 니테쉬 단자니의 블로그를 인용, 테슬라S가 자동차 위치 노출, 차량 잠금 해제 등 여러가지 보안 취약점을 갖고 있음을 지적했다고 보도했다.

단자니 블로그에 따르면 테슬라S모델 구입 시  테슬라 웹사이트에서 계정을 등록하면서 6자리의 암호를 설정한다. 이후 이 전기차를 구매한 고객은 자신의 차량을 테슬라 웹사이트와 iOS앱을 연동시켜 차량 위치를 확인하거나 잠금을 해제할 수 있다.

그러나 웹사이트 로그인에 실패하게 되면 계정이 잠기는 등 안전장치는 없는 것이 문제다. 게다가 계정이 탈취될 경우 역으로 iOS앱의 기능까지 접속이 가능하다. 6자로 구성된 이 암호는 계정탈취를 위한 악성코드 등을 통해 손쉽게 탈취가 가능하다고 한다. 권한이 탈취되면 차량의 문 역시 쉽게 잠금 해제가 가능하다. 계정이 탈취되면 차량까지 도난당할 수 있다는 의미다.

특히 테슬라S용 iOS앱과 서버간의 REST.API도 문제다. 보안 대책이 미비한 서드파티 앱을 통해 역으로 테슬라 웹사이트 계정을 탈취할 수 있다는 것이다. REST.API는 서버와 앱사이의 통신을 연계하는 소프트웨어 아키텍처 도구를 의미한다.

니테쉬 단자니는 "사물인터넷(IoT)보안 문제는 하루 이틀 지적되어 온 문제가 아니지만, 10만달러를 호가하는 차량을 겨우 6자 암호에 의존하게 만드는 시스템은 더 큰 문제가 있다"고 경고했다.