정부, 전기 삼륜차(e-rickshaw) 원격 차단 가능 앱 금지
인도 정부는 전기 삼륜차를 원격으로 무력화할 수 있다는 보고가 잇따르자, 주요 앱 스토어에서 스마트폰 애플리케이션 2개를 삭제하는 단호한 조치를 취했습니다. 이 조치는 인도의 급성장하는 전기차(EV) 생태계 내에서 증가하는 사이버 보안 위협을 억제하는 것을 목표로 합니다.
원격 차단 악용 사례의 증가
이번 단속은 주행 중 전기 삼륜차가 작동 불능 상태가 되는 모습이 담긴 소셜 미디어 영상이 확산되면서 커진 우려에 따른 것입니다. 보고된 주요 애플리케이션은 중국 Shenzhen Grenergy Technology에서 개발한 BAT-BMS입니다. 이 앱은 배터리 상태, 전압 및 온도를 모니터링하기 위한 정당한 유틸리티로 설계되었으나, 앱의 원격 관리 기능이 악용되고 있는 것으로 알려졌습니다.
이 악용 사례를 통해 사용자는 특정 범위 내의 블루투스 지원 리튬 배터리에 무선으로 연결할 수 있습니다. 연결되면 앱을 사용하여 배터리의 방전 기능을 끌 수 있으며, 결과적으로 차량을 멈춰 세워 운전자를 고립시킵니다. 보고된 여러 사례에서 전기 삼륜차 운전자들은 이러한 디지털 방해를 받은 후 차량을 다시 시동 걸기 위해 낯선 사람에게 돈을 지불해야 했다고 주장했습니다.
저가형 배터리 관리 시스템의 보안 결함
취약점은 소프트웨어뿐만 아니라 인도 전역의 많은 저가형 전기차에 사용되는 하드웨어에도 존재합니다. 정부 관계자들은 상당수의 전기 삼륜차가 강력한 보안 프로토콜이 결여된 중국산 배터리 관리 시스템(BMS)을 사용하고 있다고 지적했습니다.
이러한 특정 BMS 장치는 비밀번호 보호나 필수 인증 계층 없이 작동하는 경우가 많습니다. 이러한 "디지털 잠금장치"의 부재로 인해, BAT-BMS 앱을 가진 근처의 누구라도 블루투스 연결을 설정하고 전력 출력을 조작하는 것이 매우 쉬워집니다. 델리 정부 교통부는 이러한 주장의 진위 여부를 조사하고 블루투스 지원 배터리 관리가 초래하는 위험을 평가하는 업무를 맡았습니다.
정부, 앱 스토어에 더 엄격한 심사 요구
CII 사이버 보안 서밋에서 S Krishnan IT 비서관은 정부가 이미 문제가 된 애플리케이션을 삭제하는 조치를 취했다고 확인했습니다. 그러나 정부는 앱 삭제에만 그치지 않고, 플랫폼 제공업체에 책임을 묻는 방안을 검토하고 있습니다.
Krishnan 비서관은 앱 스토어가 시민들에게 신체적 또는 경제적 위험을 초래할 수 있는 애플리케이션을 호스팅하기 전에 훨씬 더 높은 수준의 실사(due diligence)를 수행해야 한다고 강조했습니다. 중앙 정부는 잠재적으로 해롭거나 악용될 수 있는 소프트웨어가 대중에게 도달하기 전에 차단될 수 있도록 주요 앱 스토어 운영자들과 협력할 계획입니다. 이번 사건은 향후 취약점을 방지하기 위해 인도 EV 부품 제조 분야에서 표준화된 사이버 보안 규정이 절실히 필요함을 시사합니다.
핵심 요약
- 즉각적인 조치 시행: 중앙 정부는 전기 삼륜차의 원격 무력화를 방지하기 위해 중국에서 개발된 BAT-BMS를 포함한 앱 2개를 앱 스토어에서 삭제했습니다.
- 하드웨어 취약성: 이 문제는 비밀번호 보호 및 인증과 같은 필수 보안 기능이 부족한 저가형 중국산 BMS 장치에서 비롯되었습니다.
- 규제 강화: IT부는 물리적 인프라와 운송을 방해하는 데 악용될 수 있는 애플리케이션의 배포를 막기 위해 앱 스토어의 더욱 엄격한 심사를 요구하고 있습니다.
