"제조사가 원격 정지"… 북유럽 덮친 중국산 버스 해킹 공포

[시큐리티팩트=김상규 기자] 평화롭고 효율적이던 스칸디나비아 대중교통 시스템에 심각한 보안 경보가 울렸다. 유럽 국가들이 중국 기술 의존도를 높이는 가운데, 중국산 버스가 제조사 또는 해커에 의해 원격으로 정지될 수 있다는 충격적인 사실이 드러났다. 이는 중국이 건설한 방대한 인프라가 유사시 무기화되거나 강탈될 수 있다는 서방의 오랜 우려가 현실화될 수 있음을 시사한다.

중국 위통 버스, 유럽 대중교통 시장 장악

서구 사회의 중국 기술 의존도에 대한 깊은 우려가 예상치 못한 곳까지 확산되고 있다. 이제 덴마크와 노르웨이의 버스 공급업체들이 비상이 걸렸다. 9일(현지 시각) NBC 보도에 따르면, 세계 최대 버스 제조업체인 중국 정저우 본사의 위통(Yutong) 버스에서 보안 허점이 발견됐다. 덴마크 대중교통 제공업체 모비아(Movia)는 이를 긴급히 조사하고 시정 중이라고 밝혔다.

위통은 유럽 전기 버스 시장의 선두 주자이다. 유럽의 친환경 교통수단 전환 흐름을 타고 시장 점유율을 공격적으로 확대했다. 2022년 479대를 등록하며 11.5%의 점유율로 유럽 1위를 차지했다. 메르세데스-벤츠나 볼보 같은 기존 유럽 제조사들을 앞지른 것이다. 2024년에는 등록 대수가 1092대로 폭증하며 점유율 14.0%로 선두를 공고히 했다. 현재까지 영국, 북유럽(노르웨이, 덴마크, 핀란드, 아이슬란드), 프랑스, 이탈리아 등 26개국 이상의 유럽 국가에 진출했다. 심지어 프랑스 랑스에는 부품 관리를 위한 최초의 중앙 부품 창고까지 설립했다.

SW 업데이트·진단 위해 버스에 디지털 접근 가능

이처럼 유럽 전역의 대중교통 시스템에 깊숙이 침투한 위통 차량에서 문제가 발견되었다. 모비아의 최고 운영 책임자(COO) 제페 가르드(Jeppe Gaard)는 이 문제를 NBC 뉴스에 이메일로 알렸다. 그는 "위통 버스가 '무선으로(Over-The-Air)' 업데이트와 진단 테스트를 받을 수 있다"고 설명했다. 가르드 COO는 이 기능 때문에 버스가 "제조업체나 해커에 의해 원격으로 정지될 수 있다"고 경고했다. 전기 버스는 원칙적으로 소프트웨어 시스템이 온라인에 연결되면 원격 비활성화가 가능하다. 모비아 차량 262대가 위통 버스이다. 이 버스는 2019년부터 덴마크 동부와 코펜하겐 네트워크에 도입되었다.

이러한 경보는 노르웨이 버스 운영업체 루터(Ruter)에서 먼저 나왔다. 루터는 수도 오슬로를 포함한 노르웨이 대중교통의 절반을 운영한다. 루터는 위통 모델과 네덜란드 제조업체 VDL의 버스를 가지고 지하 테스트를 수행했다. 네덜란드 VDL 버스는 무선 업데이트 기능이 없다고 루터는 밝혔다. 반면, 위통은 소프트웨어 업데이트 및 진단을 위해 개별 버스에 직접 디지털 접근이 가능하다. 이론적으로 "이 버스는 제조업체에 의해 정지되거나 운행할 수 없게 될 수 있다"는 결론이 나왔다. 다만, 루터는 위통이 차량을 원격으로 운전할 수는 없다고 덧붙였다.

위통 "암호화·접근 통제로 보호" 주장, 전문가는 '신뢰' 문제 제기

덴마크와 노르웨이의 움직임에 대한 논평 요청에 위통은 성명을 보냈다. 위통은 "차량 안전 및 데이터 개인 정보 보호에 대한 대중의 우려를 이해하고 높이 평가한다"고 밝혔다. 그들은 "관련 법률, 규정 및 업계 표준을 엄격히 준수한다"고 주장했다. 유럽연합 내 차량 데이터는 독일 프랑크푸르트의 아마존 웹 서비스(AWS) 데이터 센터에 저장된다. 위통은 데이터가 "암호화 및 접근 통제 조치로 보호"되며, "고객 승인 없이는 누구도 시스템에 접근할 수 없다"고 강조했다.

이 문제는 유럽과 중국의 복잡한 관계에서 가장 최근에 발생한 사건이다. 유럽은 중국 무역에 크게 의존하고 노하우를 늘리고 있다. 동시에 중국의 사이버 침략, 지적 재산권 도용, 인권 침해에 대해서는 비판적이다. 한편, 미국보다 유럽 국가들은 핵심 인프라를 중국에 더 많이 의존해 왔다. 이제 관계가 악화될 경우 이것이 문제가 될 수 있다는 결론에 도달했다. 유럽 정부들은 중국의 압력에도 불구하고 화웨이와 ZTE가 만든 5G 네트워크를 철거했다. 중국이 이를 서방 안보를 손상시키는 데 사용할 수 있다는 우려 때문이었다.

영 정보국 전 국장 "중국산 EV로 런던 마비 가능성" 경고

오늘날 가장 뜨거운 이슈는 중국 전기차(EV)다. 미국에서는 판매가 차단되었지만, 유럽에서는 시장 점유율이 급증하고 있다. 자동차 컨설팅 회사 JATO Dynamics에 따르면 2025년 상반기에 작년 대비 5.1%로 두 배 증가했다. 다른 서방의 우려와 마찬가지로 중국은 자국 기술이 안보 위험을 초래한다는 점을 단호히 거부했다.

영국 MI6 정보국의 전 국장인 리처드 디어러브(Richard Dearlove)는 심각하게 경고한다. 그는 "화웨이와 5G에 대한 모든 문제, 이제 중국 전기차에서도 비슷한 문제가 있다"고 말했다. 그는 "이 차량들은 제조업체의 전환 시 모두 고정될 수 있다"는 것이다. 그는 "중국과 위기가 발생하면 그들은 이 차량들을 재프로그래밍하여 런던 전체를 완전히 정지시킬 수 있다"고 경고했다.

사이버 보안 컨설팅 회사 펜 테스트 파트너스(Pen Test Partners)의 설립자 켄 먼로(Ken Munro) 역시 이에 동의했다. 그는 이는 인터넷 연결에 의존하는 모든 전기차(테슬라 포함)에 해당한다고 말했다. 노르웨이의 루터는 향후 버스 구매에 대한 엄격한 통제를 발표했다. 해커로부터 보호하기 위한 방화벽 구축도 약속했다.

하지만 전문가들은 이 조치들이 효과가 있을지 회의적이다. 먼로는 "설마"라고 짧게 답했다. 그는 "우리 모두가 소비자로서 원하는 연결성과 소프트웨어 업데이트 기능을 활성화해야 한다"고 지적했다. 먼로는 운영자가 차량에서 모든 연결을 제거하는 것만이 유일한 해결책일 수 있다고 덧붙였다. 먼로는 중국이 실제로 이러한 잠재적 취약점을 악용할 가능성은 "엄청나게 작다"고 평가하면서도, 결국 이 모든 것은 "신뢰"의 문제로 귀결된다고 결론지었다.

김상규 기자 sgkim@securityfact.co.kr 이 기자의 다른 기사 보기