전동킥보드 보안 뚫렸는데…공유업체 "나중에 조치" 뒷짐

전동킥보드를 비용 없이 타거나 무단 탈취할 수 있는 보안 취약점이 발견됐다. 취약점으로 가장 큰 피해가 예상되는 공유업체는 정작 “나중에 조치하겠다”는 입장이다. 사이버보안 기업 티오리의 박세준 대표는 “국내에서 서비스되고 있는 전동킥보드의 90% 이상이 무단 탈취, 서비스 불능 상태 만들기, 무과금 이용이 가능하다”면서 “물리적인 액세스가 있고 블루투스 통신 구간을 분석할 수 있으면 가능한 공격”이라고 밝혔다.

박 대표는 한국정보기술연구원 BoB 교육생들과 함께 전동킥보드 취약점 진단을 진행하고 보안 가이드라인을 만들고 있다. 박 대표는 “보안 무방비보다 더 큰 충격은 업체들 반응”이라면서 “여러 업체를 접촉했지만 안전한 환경을 만드는 데 일조하겠다고 결정한 업체는 단 두 곳(스윙·씽씽)뿐이었다”며 한숨을 내쉬었다.

전동킥보드 취약점은 특정 업체에만 국한되는 것이 아니다. 국내 전동킥보드 공유 업체는 15개사 정도다. 이들 업체가 납품받는 전동킥보드 하드웨어(HW)와 펌웨어는 중국의 2~3개 기업이 공급하고 있다. 전동킥보드는 대부분 중국에서 HW와 펌웨어를 그대로 들여오거나 일부 개조한 후 서비스된다. 보안 취약점이 있어도 서비스 기업에서 조치하기 어려운 구조다.

전동킥보드 사업을 준비하다가 심각한 보안 취약점을 발견했다는 여동엽 루카스잇 대표는 “서비스되고 있는 전동킥보드는 물리적으로나 소프트웨어(SW)적으로나 매우 취약한 상태”라면서 “공격자가 마음만 먹으면 뜯어갈 수 있고 업체 측에서 찾을 방법도 없다”고 꼬집었다. 해외에서는 전동 킥보드를 30대씩 무단 탈취한 실제 사건이 발생하기도 했다.

시민들이 지난 4월 6일 서울 강남구 언주로 일대에서 전동킥보드 공유서비스 킥고잉을 이용하는 모습. 김동욱 기자
시민들이 지난 4월 6일 서울 강남구 언주로 일대에서 전동킥보드 공유서비스 킥고잉을 이용하는 모습. 김동욱 기자

현재 국내에선 △킥고잉 △고고씽 △알파카 △스윙 △씽씽 △일레클 △지빌리티 △빔 △플라워로드 △라이드 △디어 △윈드 △제트 △다트 △라임 등 15개 이상의 전동킥보드 공유업체가 서비스하고 있다. 전동킥보드 이용자도 급증했다. 업계에서는 전동킥보드를 포함한 개인용 소형 교통수단 시장이 2022년이면 30만대까지 커질 것으로 보고 있다.

전동 킥보드 공유업체가 보안 조치를 결정하더라도 취약점이 빠르게 개선될 수 있는지는 의문이다. 박세준 티오리 대표는 “취약점 종류와 발생 지점에 따라 조치도 달라진다”면서 “공유업체가 개발한 제품에서 발견된 취약점은 바로 조치될 수 있지만 해외에서 들여온 부품·기기·펌웨어는 쉽게 변경하지 못하기 때문에 발주업체에 패치를 요구, 업데이트해야 하는 상황”이라고 말했다. 박 대표는 “HW부터 서버, 애플리케이션(앱)까지 전체 '엔드투엔드' 취약점을 진단한 후 발생 가능한 보안 결함을 막도록 설계해야 한다”면서 “이때 필요한 사항을 기기와 부품 발주처에 요구해서 좀 더 안전한 서비스를 제공할 수 있도록 해야 한다”고 강조했다.

오다인기자 ohdain@etnews.com