1P by GN⁺ | ★ favorite | 댓글 1개
  • 37C3에서 Newag 열차의 비활성화 동작을 공개한 세 해커가 형사·민사 소송에 휘말리자, Chaos Computer Club이 법적 대응 비용 모금을 시작함
  • 문제의 열차는 경쟁사·고객 정비소의 지오좌표 안에 오래 머물거나 미등록 수리로 보이는 조건에서 스스로 최대 절전 상태로 들어갔음
  • 비활성화된 열차는 Newag 기술자를 불러야만 ‘구조’될 수 있었고, 해커들은 인증이 필요한 부품 교체 없이 이 동작을 확인함
  • Newag의 고소 이후 38C3에서는 지금까지 약 3만 유로가 든 법적 과정과 후속 내용이 공개됨
  • 2025년 1월 8일 기준 CCC는 529건의 송금으로 31,088.89유로를 받았으며, 초과금은 CCC e.V.의 정관상 목적에 쓰임

Newag 열차 DRM 공개와 법적 분쟁

  • Chaos Computer Club(CCC)은 37C3에서 Polish rail vehicle manufacturer Newag의 열차 조작을 공개한 세 해커를 지원함
  • 해당 내용은 37C3 발표에서 다뤄졌고, CCC는 이를 37C3에서 가장 인기 있었던 발표 중 하나로 봄
  • 열차는 특정 조건에서 최대 절전 상태로 들어갔음
    • 경쟁사나 고객 정비소의 지오좌표 안에 너무 오래 주차된 경우
    • 미등록 수리를 받은 것으로 보이는 조건에 놓인 경우
  • 이렇게 비활성화된 열차는 Newag 기술자를 불러야만 ‘구조’될 수 있었음
  • 해커들은 인증이 필요한 열차 부품의 잠재적으로 불법적인 교체 없이 이 동작을 밝혀냄

CCC의 모금과 38C3 후속 발표

  • Newag는 공개 이후 해커들을 형사·민사 양쪽으로 고소함
  • CCC는 이번 소송이 이런 ‘illegal instructions’ 관련 공개와 향후 공개를 막으려는 성격이라고 봄
  • 해커들은 38C3에서 법적 과정을 발표하며, 현재까지 비용은 약 30,000유로 수준임
  • CCC는 Chaos Computer Club e.V.의 일반 은행 계좌로 송금하고 참조 문구를 Lokomotive로 적어 달라고 요청함
    • 계좌: DE41 2001 0020 0599 0902 01
    • BIC: PBNKDEFFXXX
  • 필요한 30,000유로를 넘는 기부금, 실제 법률 비용이 더 낮을 때의 잔액, 환급된 법원 비용은 Chaos Computer Club e.V.의 정관상 목적에 사용됨
  • CCC e.V.는 공식적으로 비영리 단체로 인정받지 않았다는 점도 명시함
  • 후속 발표는 2024년 12월 27일 금요일 Hamburg의 38C3에서 진행되며, 당일 오후 11시부터 라이브 스트림으로 볼 수 있고 이후 media.ccc.de에 공개됨
  • 2025년 1월 8일 업데이트 기준, 총 529건의 은행 송금으로 31,088.89유로가 접수됨

댓글과 토론

Hacker News 의견들
  • 133.7€를 기부했고, 추가 법적 비용이 생기면 기꺼이 또 낼 생각임
    다른 사람들도 넉넉히 기부하고 이 스레드에 공유해주면 좋겠음
    Newag이 여기서 하는 짓은 정말 역겹고, 제3자 정비소에서 정비한 열차를 “재활성화”한다며 열차당 20,000€ 를 받으려 함
    이런 선례를 남기게 해서는 안 됨
    이전 발표도 꼭 보길 권함: https://media.ccc.de/v/37c3-12142-breaking_drm_in_polish_tra...

    • 일정에 따르면 그 팀이 We've not been trained for this: life after the Newag DRM disclosure라는 발표를 현지 시각 23:00에 시작할 예정이었고, 당시 기준 약 30분 뒤였음
      생중계는 여기였음: https://streaming.media.ccc.de/38c3/eins/hls
      발표는 끝났고 훌륭했음
      일정: https://events.ccc.de/congress/2024/hub/en/event/we-ve-not-b...
    • 많은 사람이 생각하는 것만큼 선례가 큰 문제는 아닐 수 있음
      유럽 대부분은 판례 중심 사법 체계가 아니라서, 유사 사건의 이전 판결보다 법 자체가 중요함
    • 수리할 권리가 모든 제품에 대해 법으로 보장되도록 싸워야 함
      제품을 샀다면 모든 소프트웨어에 접근하고 고칠 수 있어야 함
    • 웹사이트에서 어떻게 기부하는지 모르겠음
      어디로 기부했는지 궁금함
  • 열차 제조사들이 요즘 많은 회사들의 수법을 따라 하는 것처럼 보임
    제조사가 구매 이후에 어떤 이유로든 제품을 원격 비활성화하는 관행이 여러 제품군에서 재앙처럼 번지고 있음
    돈을 받고 제품을 넘긴 뒤에는 제조사가 그 제품의 사용 방식에 간섭할 권리가 없어야 함
    이건 정말 멈춰야 하고, 전 세계 규제기관들은 이 문제에 잠들어 있음

    • “우리”라는 완전히 동질적인 소프트웨어 전문가 집단이 이걸 멈출 수도 있지만, 그러지 않고 있음
    • 저작권이 문제의 뿌리임
      규제를 더하는 것도 해법일 수는 있지만, 그게 정말 우리가 원하는 방향인지 의문임
    • 구독 모델로 소프트웨어 업계에 열린 끝없는 탐욕의 구덩이가 하드웨어 제조사들도 끌어들이고 있음
      사실상 더 이상 물건을 사는 게 아니라 빌리는 셈임
      “시장”이 이런 헛소리를 받아들이면 규제기관은 아무것도 하지 않을 것임
    • 요즘만의 일은 아님
      내 첫 PC에도 열면 보증 무효 봉인이 붙어 있었음
  • Newag은 교통 소외 대응 의회팀 위원장인 Paulina Matysiak 의원도 겨냥했고, 면책특권 박탈을 신청했음
    작년에 이 일이 알려진 뒤부터 그가 이 사안을 조사해 왔음
    https://transinfo-pl.translate.goog/inforail/jest-wniosek-o-...

  • 경쟁 정비업체에서 정비한 열차를 열차 회사가 비활성화했다는 사실을 “해커들”이 발견했던 이야기가 기억남
    그들이 고소당했다니 안타까움
    충분한 돈을 모아서 Newag에 고통스럽고 깊숙한 증거개시를 요구할 수 있으면 좋겠음

    • 회사가 사보타주와 어쩌면 반역 혐의로 기소되지 않은 게 안타까움
      자신들이 만든 열차라 해도 열차를 공격하는 건 국가 핵심 기반시설을 공격하는 것임
  • “엄마에게 네가 하는 일을 설명했을 때 엄마가 충격을 받는다면, 뭔가 잘못하고 있는 것”이라는 예전 도덕 규칙은 어떻게 된 건지 모르겠음
    Newag이 하는 일은 그 규칙을 아주 명확히 어김

    • 그 규칙은 본질적으로 “정치적으로 곤란해질 일인가”에 관한 것임
      하지만 지금은 대형 독점적 사업자들이 그런 효과를 그냥 무시함
      언론은 자금이 부족하고 부패했으며, 정치인들도 넓은 의미에서 부패했음
    • 그 규칙을 따르는 게 수익성이 없으니, 돈을 최대화하라는 최우선 지령이 앞서는 듯함
      합법이든 준합법이든 가능한 방식으로 말임
    • 가족에게 진실을 말하는 경우는 드물고, 스스로를 납득시키기 위해 조금 왜곡할 방법은 언제나 있음
  • 처음 발견됐을 때의 이전 논의가 있었고, 더 많이 논의되지 않은 게 의외였음: https://news.ycombinator.com/item?id=38893116

  • 전체 사정을 모르는 사람들을 위해 누가 요약해주면 좋겠음
    이런 트로이 목마 열차를 산 정부들이 왜 열차 공급업체를 박살 내지 않고, 이걸 폭로한 해커들에게 훈장을 주지 않는 건지 궁금함

    • 정부들이 매우 자본주의적이라서, 대기업은 원하는 대로 해도 된다고 믿기 때문임
  • 이건 거의 보편적인 흐름임
    제조사들이 이미 하고 있지 않다면 계획 중일 가능성이 큼
    세계 여러 곳이 발전하면서 더 싼 기계를 제공하는 제조사들이 everywhere 생기고, 기존 제조사의 해자가 사라지고 있음
    내구재 제조사들은 다음 사업 모델인 유지보수·지원 구독 서비스에 매달리고 있음
    Ford의 커넥티드 차량군 서비스는 탄력을 받고 있고, 상용차 분야에서 매우 수익성이 클 수 있음
    이런 흐름의 상당 부분은 인력 부족, 훈련 부족, 경험 부족으로 노동 풀이 약해지는 데서 비롯됨
    이번 열차 사태는 분명 범죄에 가까우나, 지금 벌어지는 “진보”의 물결과 아주 멀리 떨어져 있지는 않음

  • 안타깝게도 이런 발견은 다른 회사들이 교훈을 얻는 계기가 될 것 같음
    즉, 자신들의 그럴듯한 부인 가능성이 있는 수법을 더 발견하기 어렵게 만들고, “보안”이라는 명목 아래 숨기는 방향으로 갈 것임
    Big Tech는 이미 한동안 그 게임을 해왔음
    https://news.ycombinator.com/item?id=36926276
    https://news.ycombinator.com/item?id=24955071

  • Newag은 여기서 마피아처럼 행동하고 있음
    “열차가 멈추면 참 안타깝겠죠..?”라는 식임
    폴란드에 이래라저래라 하고 싶지는 않지만, 만족스러운 결말은 Newag 열차를 그런 식으로 프로그래밍하라고 지시한 사람이 정확히 누구인지 찾아내서 감옥에 보내는 것임
    그런 소프트웨어가 올라간 열차가 발견될 때마다 형량을 더하고, Newag에는 해당 열차의 무상 유지보수를 강제해야 함
    폴란드가 돈을 벌려고 대중을 등쳐먹는 사람들을 어떻게 다루는지 강경한 태도를 보이고 싶다면 그 정도가 최선임
    압도적 증거가 있어도 폴란드 대중을 등쳐먹는 게 남는 장사라고 말하고 싶다면, 뭐 그렇게 하면 됨

    • NewAg은 명백히 악의와 사보타주, 그리고 갈취를 염두에 두고 행동하고 있음
      열차와 철도에 관한 일이라면 단순한 사업 문제가 아니라 전략적 국가 안보 문제가 됨
      “상하기 쉬운 식품을 실은 열차가 운행 중 멈춰서 수확물이 썩으면 참 안타깝겠죠” 같은 상황임
      식량 안보가 정부의 질서 유지 능력에 영향을 주지 않는 나라가 어디 있는지 모르겠음
      정비 사업자가 아닌 제3자가 이런 일을 했다면 합리적으로 테러 조직으로 간주됐을 것이고, 그런 집단의 구성원도 그렇게 다뤄져야 함
      설령 동의해야 하는 작고 특정한 기능에 한정된다고 주장하더라도, 정상 기능에 필수적이지 않은 취약점을 공급망에 삽입하고, 그것을 필수처럼 설계한 것임
      최소한 직접 실행하지 않더라도 그런 집단이 활개칠 길을 닦아주는 셈임