차량 음주측정기 회사가 사이버 공격을 받아 미국 전역에서 운전자들이 발이 묶이다

미국에서 음주운전 전력이 있는 운전자에게 장착이 의무화되는 차량용 음주측정기(Ignition Interlock Device)를 제조하는 회사가 사이버 공격을 당했다. 이 장치는 운전자가 시동을 걸기 전에 음주 측정을 통과해야만 차량이 작동하도록 하는 장비인데, 서버가 마비되면서 미국 전역의 운전자들이 정상적으로 음주 측정을 통과했음에도 차량 시동을 걸 수 없는 상황이 발생했다.

이 사건이 흥미로운 이유는 단순한 데이터 유출이나 서비스 장애가 아니라, 사이버 공격이 물리적 세계에 직접적인 영향을 미친 사례이기 때문이다. 해당 음주측정기는 측정 결과를 중앙 서버로 전송하고, 서버의 인증을 거쳐야 시동이 허용되는 구조다. 서버가 다운되자 장치가 "인증 실패"로 판단해 시동 자체를 차단해버린 것이다.

출퇴근을 위해 차량이 필수적인 미국에서, 법원 명령으로 이 장치를 장착한 운전자들은 갑자기 이동 수단을 잃게 됐다. 대부분 음주운전 전력자들이지만, 이들이 이미 법적 의무를 이행하고 정상적으로 측정을 통과했음에도 차를 사용할 수 없게 된 것은 시스템 설계의 근본적인 문제를 드러낸다. 클라우드 의존 IoT 장비의 단일 장애점(Single Point of Failure) 문제가 현실 세계에서 얼마나 심각한 결과를 초래할 수 있는지 보여주는 사건이다.

클라우드 의존 IoT의 구조적 취약점

이 사건의 핵심은 기술적으로 보면 꽤 단순한 구조에서 비롯된다. 차량용 음주측정기(IID, Ignition Interlock Device)는 운전자의 호흡을 분석해 혈중 알코올 농도를 측정하는 하드웨어 장치다. 여기까지는 순수한 로컬 장치로 동작할 수 있다. 문제는 이 장치가 측정 결과를 원격 서버로 전송하고, 서버로부터 "시동 허용" 응답을 받아야만 다음 단계로 진행되도록 설계되어 있다는 점이다.

이렇게 설계한 이유는 이해할 수 있다. 법원이나 보호관찰관이 원격으로 운전자의 음주 측정 기록을 모니터링해야 하고, 장치 조작이나 우회 시도를 실시간으로 감지해야 하기 때문이다. 하지만 이 요구사항이 곧 "서버 없이는 시동이 불가능하다"를 의미해야 하는 것은 아니다.

안전한 설계라면 페일오픈(fail-open) 방식을 고려했어야 한다. 즉, 로컬에서 음주 측정이 정상적으로 통과되었다면 서버 연결 상태와 무관하게 시동을 허용하고, 측정 데이터는 로컬에 캐시해뒀다가 서버가 복구되면 일괄 전송하는 방식이다. 반대로 현재 구조는 페일클로즈(fail-close)로, 서버와 통신이 안 되면 무조건 차단한다. 보안 관점에서 페일클로즈가 더 안전해 보일 수 있지만, 이 경우에는 "사이버 공격으로 인해 합법적 사용자가 차를 사용하지 못하는" 사태를 만들어낸다.

이런 설계 결정은 IoT 전반에서 반복되는 패턴이다. 스마트 도어락이 서버 장애로 열리지 않는다거나, 스마트 온도조절기가 클라우드 연결 없이 작동하지 않는다거나 하는 사례가 이미 여러 차례 보고된 바 있다. 핵심 기능은 로컬에서 독립적으로 동작할 수 있어야 하고, 클라우드는 부가 기능(모니터링, 분석, 원격 제어)을 위한 계층으로 분리되어야 한다는 것이 이 사건이 주는 교훈이다.

IoT 보안과 규제의 교차점

이번 사건은 IoT 보안 논의에서 자주 간과되는 측면을 부각시킨다. 보통 IoT 보안이라고 하면 장치가 해킹당해 개인정보가 유출되거나 봇넷에 편입되는 시나리오를 떠올린다. 하지만 이 사례는 장치 자체가 아니라 백엔드 인프라가 공격당했을 때 연결된 모든 장치의 핵심 기능이 마비될 수 있다는 점을 보여준다. 공격자 입장에서는 수십만 대의 장치를 개별적으로 해킹할 필요 없이, 중앙 서버 하나만 무력화하면 전체 시스템을 마비시킬 수 있는 것이다.

미국에서 IID 장착은 주(State) 법률에 따라 의무화되어 있으며, 전미 약 35만 명 이상의 운전자가 이 장치를 사용하는 것으로 추정된다. 장치 제조사는 소수의 회사가 시장을 과점하고 있어, 한 회사가 공격을 받으면 수만 명이 동시에 영향을 받는 구조다. 이는 규제 기술(RegTech)의 인프라 집중 리스크이기도 하다.

유사한 구조적 문제는 다른 영역에서도 발견된다. 전자 발찌 모니터링 시스템, 가석방자 위치 추적 시스템, 차량 운행 기록 장치(디지털 타코그래프) 등 법적 의무에 의해 운용되는 IoT 장비들이 모두 비슷한 중앙 집중식 구조를 가지고 있다. EU에서는 2024년부터 시행된 사이버 복원력 법(Cyber Resilience Act)이 IoT 장치의 보안 요구사항을 강화하고 있는데, 이번 사건은 장치 자체의 보안뿐 아니라 백엔드 인프라의 가용성과 장애 시 동작 방식까지 규제 범위에 포함되어야 한다는 주장에 힘을 실어준다.

한국에서도 전자 발찌 시스템이나 화물차 운행 기록 장치 등 법적 의무와 결합된 IoT 시스템이 운용되고 있다. 이러한 시스템의 백엔드가 공격당했을 때 현장 장비가 어떻게 동작하도록 설계되어 있는지, 페일오버 계획은 있는지 점검해볼 필요가 있다.