원격 전기 삼륜차(e-rickshaw) 강제 종료 보고에 따라 정부, 앱 삭제 조치
인도 정부는 전기 삼륜차(e-rickshaw)가 원격으로 작동 불능 상태가 될 수 있다는 우려 섞인 보고가 잇따르자, 주요 앱 스토어에서 스마트폰 애플리케이션 2개를 삭제하는 단호한 조치를 취했습니다. 이번 조치는 인도 내에서 사용되는 인터넷 연결 차량 관리 시스템의 사이버 보안 취약성에 대한 광범위한 우려가 커짐에 따라 이루어졌습니다.
BAT-BMS를 통한 원격 하이재킹의 증가
주행 중인 전기 삼륜차를 개인이 원격으로 종료시키는 모습이 담긴 소셜 미디어 영상이 확산되면서 논란이 가속화되었습니다. 이러한 사건과 연관된 주요 도구는 중국의 Shenzhen Grenergy Technology가 개발한 BAT-BMS 애플리케이션입니다. 이 앱은 공식적으로 전압과 온도를 모니터링하는 정식 배터리 관리 도구로 설계되었으나, 원격 제어 기능이 차량 운행을 방해하는 데 악용되었습니다.
보고에 따르면 악의적인 사용자들이 이 앱을 이용해 배터리의 방전 기능을 꺼버림으로써 운전자들을 도로 위에 고립시키고 있습니다. 여러 사례에서 운전자들이 이러한 원격 종료 공격을 받은 후, 차량을 다시 재가동하기 위해 낯선 사람에게 비용을 지불해야 했던 것으로 알려졌습니다.
저가형 전기 삼륜차 시스템의 사이버 보안 결함
이러한 취약점은 인도 전역의 많은 저가형 전기 삼륜차에 사용되는 하드웨어의 치명적인 약점에서 비롯됩니다. 이 차량 중 상당수는 강력한 보안 프로토콜이 결여된 중국산 배터리 관리 시스템(BMS)을 사용하고 있습니다.
정부 관계자들의 예비 조사 결과에 따르면, 이러한 BMS 장치에는 비밀번호 보호나 필수 인증 기능이 없는 경우가 많습니다. BAT-BMS 앱은 제한된 범위 내에서 Bluetooth 지원 리튬 배터리에 무선으로 연결할 수 있게 해주기 때문에, 근처에 있는 누구라도 시스템에 접속할 수 있습니다. 일단 연결되면 사용자는 배터리의 전력 출력을 조작하여 물리적 접촉 없이도 차량을 효과적으로 끌 수 있습니다.
정부 대응 및 앱 스토어 심사 강화 요구
S Krishnan IT 비서관은 CII Cybersecurity Summit에서 문제가 된 애플리케이션들의 삭제를 확인했습니다. 그는 정부의 이번 개입이 차량 안전과 운전자의 생계에 대한 새로운 위협에 대한 직접적인 대응임을 강조했습니다.
정부는 앱을 삭제하는 것에 그치지 않고, 앱 스토어 운영사들에게 더욱 철저한 주의 의무를 다할 것을 요구하고 있습니다. Krishnan 비서관은 잠재적으로 유해하거나 악용될 수 있는 도구가 대중에게 노출되지 않도록, 플랫폼이 애플리케이션을 호스팅하기 전에 더욱 엄격한 심사를 거쳐야 한다고 강조했습니다. 동시에 델리 정부는 교통부에 BAT-BMS 앱의 진위 여부와 Bluetooth 연결을 통한 차량 조작 가능성을 조사하도록 지시했습니다.
핵심 요약
- 즉각적인 조치 시행: 인도 정부는 전기 삼륜차에 대한 추가적인 원격 조작을 방지하기 위해 BAT-BMS를 포함한 스마트폰 애플리케이션 2개를 앱 스토어에서 성공적으로 삭제했습니다.
- 보안 취약점: 이번 문제는 인증 절차가 없고 Bluetooth 기능이 탑재된 중국산 배터리 관리 시스템(BMS)을 사용하는 저가형 전기 삼륜차의 심각한 사이버 보안 위험을 부각시켰습니다.
- 책임 촉구: 인도 정부는 물리적 인프라나 차량 안전을 해치는 데 악용될 수 있는 소프트웨어의 유통을 막기 위해, 앱 스토어가 더욱 엄격한 검증 프로세스를 도입하도록 압박하고 있습니다.
