GN⁺: 제조사가 인위적으로 멈춰버린 기차를 수리한 폴란드 해커들, 철도 회사로부터 위협 받아

 (404media.co)
7P by neo 11달전 | favorite | 댓글 1개

폴란드 기차 해킹 사건 요약

  • 폴란드 남서부 지역 철도 회사의 기차가 독립 정비 업체의 수리 후 제조사에 의해 작동 불가 상태로 만들어짐.
  • 제조사는 기차를 해킹한 백해커들을 고소하겠다고 위협함.
  • 폴란드 인프라 및 수리 업계에서 논란이 일고 있으며, 제조사는 기차의 안전 문제를 주장하나 증명하지 못함.

부품 결합 방지 메커니즘

  • 기차 제조사 NEWAG는 GPS 추적기가 독립 정비 업체에 일정 기간 머물렀다는 것을 감지하거나, 제조사 승인된 시리얼 번호 없이 특정 부품이 교체되었다는 것을 감지하면 기차가 작동하지 않도록 하는 코드를 내장함.
  • 이러한 '부품 결합 방지' 메커니즘은 농부들이 존 디어 트랙터를 회사의 승인 없이 수리하는 것을 방지하고, 애플이 아이폰의 독립 수리를 방지하는 데 사용됨.

해커들의 기차 수리

  • 폴란드 기차 운영사 Lower Silesian Railway는 독립 정비 업체 SPS를 통해 정기적인 유지보수를 실시하다가 기차가 작동하지 않는 문제에 직면함.
  • SPS는 Dragon Sector라는 백해커 그룹에 도움을 요청함.
  • Dragon Sector는 기차 소프트웨어에 내장된 '작업장 감지' 시스템을 발견하고, 기차 운전사 패널에서 입력할 수 있는 '잠금 해제 코드'를 찾아 문제를 해결함.

제조사의 반응

  • NEWAG는 기차 소프트웨어에 고의적인 오류를 유발하는 솔루션을 도입하지 않았다고 주장하며, 해커들을 고소하겠다고 위협함.
  • NEWAG는 철도 교통 안전에 대한 위협과 법적 조항 위반을 이유로 해커들의 행동을 비난함.

유럽 저작권 법률

  • 유럽의 저작권 및 정보 사회 지침 2001년 제6조는 DRM 우회에 대해 미국의 DMCA 제1201조보다 엄격하며, 수리 면제가 구체적으로 명시되어 있지 않음.
  • 이로 인해 Dragon Sector와 같은 연구자들에게 추가적인 법적 위험이 발생할 수 있음.

GN⁺의 의견

  • 이 사건은 제조사가 독점적인 수리를 강요하고 독립적인 수리를 방해하는 글로벌 문제의 한 예시임.
  • 백해커들이 기술적인 장벽을 넘어 수리를 가능하게 한 것은 소비자의 권리와 독립 수리 산업에 중요한 승리임.
  • 이 사건은 수리 권리에 대한 법적 및 정책적 논의에 영향을 미칠 수 있는 중요한 사례로, 기술 보호 조치의 한계와 소유권에 대한 논쟁을 촉발시킬 수 있음.
neo 11달전  [-]
Hacker News 의견

  • 팬데믹 최고조 시기에 폴란드 해커가 개발한 동글이 미국 수리 전문가들에 의해 DRM을 우회하여 COVID-19 환자들을 살리기 위한 인공호흡기 사용에 필요했다는 기사를 썼음.

    • 이는 매우 악랄한 행위임. 수리권에 대해 다른 이들처럼 감정적으로 투자하지 않지만, DRM이 생존에 필수적인 기기의 작동을 어렵게 만드는 것은 부패함을 의미함. 이러한 회사들을 부끄러워해야 함.
    • 수리권을 지지하는 사람들은 이러한 사례를 지적해야 함. 이것이 바로 다른 사람들도 지지하고 싶게 만드는 주된 이유임.

  • Newagg가 해커들에게 대응할 가능성은 없다고 생각함. 해커들은 제3자 IT 네트워크/시스템을 해킹한 것이 아니라 철도 회사가 소유한 기차를 해킹함.

  • 관련 링크:

  • Gynvael Coldwind (Dragon Sector의 일원이지만 해당 기차를 해킹한 팀의 일원은 아님)가 회사의 방어 논리가 결함이 있다는 기사를 작성함.

    • 주로 리버스 엔지니어링, 컴파일 과정, 최종 바이너리에서의 레이아웃 - .text, .data 섹션, 오프셋 등에 대해 다룸.
    • 코드 케이브후킹에 대한 링크 제공
    • 결국, 기사는 EU 내에서 이러한 해킹의 법적 지위가 불분명함을 논의함.
    • 대형 산업 장비 구매자들이 DRM을 선호하는 공급업체를 시장에서 밀어낼 수 있기를 바라지만 현실은 그렇지 않음을 지적함.

  • DRM이 양방향으로 작용하는 것에 대해 만족함. 제조사가 제품을 잠그려고 하는 것은 자유롭지만, 그것이 공개되어야 하며, 소유자는 자신이 소유한 것을 조작할 자유가 있음. 그들이 기차를 소유함.

  • 이 이야기에서 얻은 교훈은 제조사들이 더 많은 돈을 벌기 위해 사용자들을 속이는 것이 "너무 작아서 맞서 싸울 수 없는 문제"가 아니라 무제한적인 탐욕임을 지적함.

  • Dragon Sector가 Newag의 성명에 대한 답변을 포함한 기사에 대한 직접 링크 제공:

    • 해커들의 Newag에 대한 응답 기사 링크
    • 이번에는 더 많은 세부 사항이 있을 것으로 보임. 예를 들어, 펌웨어의 Newag 서비스 차이점에 대한 '이전/이후' 비교를 가지고 있으며, 여기에 흥미로운 변경 사항이 있음.
    • 이것이 사실이라면, "무단 해커"들이 Newag 내부에 있을 수 있음을 시사함.

  • 기사가 DRM을 설명으로 사용하는 것을 싫어함. 이것은 DRM이나 소프트웨어 조작 방지와는 아무런 관련이 없음.

    • 제조사가 제3자 수리점을 무능하게 보이게 하기 위해 은밀하게 포함한 소프트웨어 부분임.
    • DRM은 공식적으로 문서화된 조작 방지처럼 보이게 만듦. 기사 자체는 좋지만 제목과 기사 내용에서 DRM 사용은 잘못됨.

  • 이것은 분명히 NEWAG 자체의 혐의에 대한 주목을 증가시킬 것이며 역효과를 낼 것임.

    • NEWAG의 경영진과 책임자들은 사기 음모 외에도 명예훼손 혐의로 형사 기소되어야 함.
    • NEWAG이 제3자 수리점의 부정 행위에 대해 고의로 거짓말을 했으며, 자사 수리점에서 서비스를 받도록 고객을 유도하거나 요구하는 데 이용했다는 것이 명백함.
답변달기