Volkswagen이 client assertion 요구로 Home Assistant를 차단함

 (github.com/robinostlund)
1P by GN⁺ | ★ favorite | 댓글 1개
  • Issue #967은 아직 Open 상태이며, 관련 항목으로 #971과 최신 릴리스 v5.4.7이 표시되지만, 제공된 논의만으로 최종 해결 여부는 확인되지 않음
  • 최초 보고는 Home Assistant의 homeassistant-volkswagencarnet 인증이 만료된 뒤 이메일과 비밀번호로 재로그인이 불가능해졌고, Android 앱과 브라우저 로그인은 계속 동작한다는 내용임
  • 재현 절차는 이메일과 비밀번호 입력이며, 오류 메시지는 Anmeldung bei Volkswagen Connect nicht möglich. Bitte überprüfe deine Zugangsdaten und stelle sicher, dass der Dienst verfügbar ist.로 나타남
  • 한 참여자는 이것이 버그가 아니라 Volkswagen이 API를 영구 비활성화한 결과라고 봤고, 이후 다른 참여자는 공식 유료 API와 무료 비공식 API가 있으며 후자가 더 이상 동작하지 않는다고 정리함
  • 일부 사용자는 웹 로그인은 가능하지만 API와 앱이 동작하지 않거나 앱 응답이 매우 느리다고 보고했고, 다른 사용자는 Android 앱 로그인은 가능하지만 Home Assistant 재시작 뒤 같은 문제가 생겼다고 보고함
  • CarConnectivity-plugin-mqtt가 동작한다는 보고가 있었지만, 같은 API를 쓰므로 기존 설정은 토큰 만료 전까지만 유지되고 신규 사용자는 동작하지 않을 수 있다는 반론이 나옴
  • 다른 사용자는 CarConnectivity-plugin-mqtt를 처음 써도 새 인증 토큰으로 데이터를 가져왔다고 보고해, 해당 대안의 지속 가능성은 논의 안에서 확정되지 않음
  • Skoda EV Facebook 포럼에 관련 변경이 공유됐고, 공식 발표를 보지 못했다는 참여자는 이 변경이 VAG 브랜드 전체에 영향을 줄 가능성이 있다고 봄
  • 대안으로 Smartcar와 Tibber가 거론됐으며, Smartcar는 차량 데이터 흐름과 GDPR 적용 여부가 논의됐고 한 사용자는 Smartcar로 “일단 동작”하게 만들었다며 wbyoung/smartcar#110의 댓글을 공유함
  • Tibber는 Home Assistant의 기본 Tibber 통합으로 동작한다는 보고가 있었지만, Tibber가 엔터프라이즈 API 접근 비용을 내는 구조라면 비결제 신규 사용자가 몰리는 상황을 오래 허용하지 않을 수 있다는 우려가 제기됨
  • 한 참여자는 Skoda 공지가 돈을 요구한다기보다 API 사용자가 Volkswagen에 등록해야 한다는 의미라고 해석하며 프로젝트 등록 여부를 물었고, 유지관리자는 Volkswagen 차량을 더 이상 보유하지 않아 직접 진행하지 않았다고 답함
  • 유지관리자는 등록이 사용자별 키를 요구할 가능성이 있다고 봤고, 조사와 프로젝트 유지관리를 도와줄 사람이 필요하다고 요청해 해결 방향은 커뮤니티 지원에 의존하는 상태로 남음

함께 보면 좋은 글 β

GN⁺   [-]
Hacker News 의견들

  • EU Data Act가 바로 이런 상황을 막기 위해 만들어진 것 아닌가 싶음, 특히 4조와 5조가 해당돼 보임: https://digital-strategy.ec.europa.eu/en/policies/data-act
    사용자가 연결 제품이나 관련 서비스의 데이터에 직접 접근할 수 없으면, 데이터 보유자는 지체 없이 사용자가 쉽게, 안전하게, 무료로, 구조화되고 널리 쓰이며 기계가 읽을 수 있는 형식으로, 필요하고 기술적으로 가능할 때는 지속적/실시간으로 접근할 수 있게 해야 한다고 되어 있음
    차량 데이터에 대한 EU의 별도 지침도 있음: https://digital-strategy.ec.europa.eu/en/library/guidance-ve...

    • 맞음, 이건 Data Act로 접근권을 되찾을 수 있는 영역으로 보임
      다만 GDPR 79조처럼 Volkswagen을 직접 상대로 접근권을 청구할 수 있는 구조는 아닌 듯함: https://gdpr-info.eu/art-79-gdpr/
      집행 방식에 대한 글이 많지 않아 규정을 직접 봤는데, 39조는 우선 거주 회원국이 지정한 관할 기관에 민원을 내야 하는 듯함: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=OJ:...
      그 기관이 아무 조치도 하지 않으면, 국내법에 따라 효과적인 사법 구제나 전문성을 갖춘 독립 기관의 심사를 받을 권리가 생김
      그런데 그 경우 소송 대상은 회사가 아니라 그 관할 기관이 되는 듯하고, 39(3)이 그 점을 명확히 함
      내가 틀렸으면 좋겠음
      Muñoz vs. Superior Fruiticola 판례처럼 “그 의무는 민사 절차로 집행 가능해야 한다”는 논리가 적용될 수도 있겠지만 확신은 없고, GDPR이 명시한 경로보다 훨씬 약함: https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELE...
      Data Act를 개인이 어떻게 집행할 수 있는지 더 나은 자료가 있으면 알고 싶음
    • Volkswagen에도 EU Data Act 사이트가 있음: https://drivesomethinggreater.com/eu-data-act

  • 다른 제조사들도 꽤 많이 같은 일을 했음
    나는 충전 상태를 얻으려고 역공학된 Polestar 라이브러리를 쓰고 있지만, 그들이 똑같이 막지 않을 거라고 믿을 수 없어서 같은 일을 할 CAN 버스 스니퍼를 만드는 중임
    이게 정말 큰 매출원이 될 것 같지도 않고, 제품에 가장 깊이 관여하는 사람들을 화나게 하는데 왜 하는지 잘 모르겠음

    • 이미 일부 CAN 메시지에는 암호학적 인증을 넣어서 변경하지 못하게 하고 있음
      암호화까지 넣는 건 시간문제로 보임
      내 생각엔 주로 기업의 위험 회피 문제임
      어떤 부서가 사소한 위험 목록을 담은 위험 평가서를 쓰고, 예를 들어 서드파티 앱 백엔드가 해킹될 가능성이나 지역 언론의 “취미 개발자가 Home Assistant에 연결하려고 차를 해킹했다” 같은 헤드라인을 적음
      그 목록이 돌고, 중간관리자 누구도 책임지고 싶어 하지 않으며 공식 승인된 긍정적 사용 사례도 없으니, 가혹한 대응책이 하나씩 기획되고 만들어짐
    • 맞음, 어느 세그먼트든 Home Assistant를 완전히 받아들이는 첫 회사는 판매나 마케팅 면에서 꽤 이득을 볼 것 같음
      IKEA가 그럭저럭 좋은 예라고 볼 수 있음
    • 독일 회사인 BSH와는 흥미로운 대비가 됨
      Bosch와 Siemens 가전 쪽은 Home Connect 플랫폼을 여는 일을 EU의 데이터 투명성·이동성 법규 준수의 일부로 본 듯함
    • 자동차와 인터페이스할 수 있는 능력은 근본적으로 “모든 것을 암호화”하는 쪽으로 가는 규제 흐름과 충돌함
      자동차용 RISC-V 쪽에서 무엇을 하고 있는지나 EU Cyber Resilience Act의 요구사항을 보면 됨
    • 필요에 맞을 수 있는 오픈소스 제품으로 WiCAN이 있음: https://www.meatpi.com/products/wican-pro

  • BYD가 내 차량 연결 저장소 전체에 DMCA 요청을 보냈음: https://github.com/github/dmca/blob/master/2026/05/2026-05-2...
    프리미엄 가격에 산 차를 자동차 회사들이 잠그고, 오픈소스를 상대로 십자군 전쟁을 벌이는 건 정말 아쉬움

    • Louis Rossmann에게 이메일을 보내보는 게 좋겠음, 비슷한 상황의 사람들을 도와온 적이 있음
    • 이건 “불법을 저지른 건 아니지만 불법처럼 보이게 만들겠다”는 식으로 읽힘
      공공장소 열쇠를 현관 매트 밑에 두고 “여기 열쇠 있음”이라고 써놓은 뒤, 이미 공개된 공간에 그 열쇠로 들어오면 안 된다고 불평하는 꼴임
    • 다른 곳으로 옮겨뒀는지 궁금함
      Codeberg를 확인해봤는데 거기에는 없었음
    • 그들이 암호화를 깼다고 주장하는 거라면, 이 경우에는 DMCA가 적절할 수도 있다고 봄
      반면 인증 토큰을 얻는 공식 방법이나 차를 Home Assistant에 연결하는 방법이 없다면, 그건 서비스 결함으로 봐야 함
      r/opensource_legalaid
      답변해서 데이터 접근을 요구하자

  • 기업식 표현을 사람 말로 번역한 댓글이 정말 좋음: https://github.com/robinostlund/homeassistant-volkswagencarn...
    왜 스스로 발등을 찍는 걸까? 이게 정말 의미 있는 수익원인가? 정말 보안을 높이나?

    • 그들은 발등을 찍는 게 아님
      대다수 사용자는 신경 쓰지 않고, MySkoda에서 일하는 어떤 중간관리자는 “우리가 큰 보안 위험을 막고 가치 있는 ~~가축~~ 사용자 데이터를 제자리로 보냈다”고 보고할 수 있음
    • Home Assistant가 만드는 트래픽을 직접 봤는데, 사용량 모델이 뒤집혀 있음
      인프라, 서버, 대역폭은 돈이 듦
      좋든 나쁘든 대부분 기기는 로컬 인터페이스가 없음
      최근 1~2년간 Matter 기기가 좀 나왔지만 모든 데이터와 기능이 Matter로 제공되지는 않고, 오래된 기기는 Matter 지원으로 업데이트되지 않을 가능성이 큼
      게다가 HA는 로컬 실행·로컬 중심 앱이라, OEM 쪽의 추가 개발 없이는 클라우드 기반 API/데이터 전달 시스템과 잘 맞지 않음
      마지막으로 내부 시스템에서 계산했을 때, 24시간 동안 HA 트래픽이 전체의 약 20% 였는데 사용자 비중은 1% 미만이었음
      각 인스턴스가 몇 분마다 또는 그보다 더 자주 API를 직접 호출하기 때문임
      임원이 이 수치를 들으면 아마 차단하라고 할 것임
      옳고 그름과 별개로 사람들이 그렇게 반응함
    • 추가 수익원 얘기와 관련해, 예전에도 VW 데이터에 접근하려면 WeConnect 구독이 필요했음
      연 100유로를 내야 했고, 다만 그때는 다른 앱이나 자동화로 같은 데이터에 접근할 수 있었음
      이제는 이미 구독료를 내고 있는데도 같은 데이터에 접근하려면 반드시 WeConnect와 파트너만 써야 함
    • 사람들이 그래도 차를 살 것이기 때문임
      평균적인 사용자는 사생활 보호에 별 관심이 없고, 우리는 무감각해지도록 길들여졌음
      이건 실제 수익원이 맞고, 보안을 높이지는 않음
    • 대부분의 임원은 더 많은 권력을 얻기 위해 상업적으로 불리한 결정을 함
      거의 비즈니스 법칙처럼, 임원은 회사의 이익률보다 자기 권력을 먼저 우선함
      코딩 외주화가 비용을 절감하지 못하고 상업적으로도 재앙이었는데도 인기 있었던 이유 중 하나가 이것임
      그 관계에서는 우리와 일할 때보다 임원들이 훨씬 더 운전석에 앉아 있었음
      Home Assistant 소비자 세그먼트가 “중요하지 않다”고 말하는 사람들도 있지만 실제로는 중요함
      그래도 본질은 데이터에 대한 통제라는 눈에 보이는 이득과, 소비자 호감 상실이라는 눈에 덜 보이는 손실 사이의 문제임
      회사는 어떤 대가를 치르더라도 이윤만 극대화하는 존재가 아님
      주주와 임원은 하나의 단일한 몸이 아니며, 서로 다르고 때로는 크게 어긋나는 이해관계를 가짐

  • Client Assertion은 OAuth 기능이지만, 여기서 논의되는 내용은 전혀 그게 아님
    헷갈릴 수 있는데 HN 제목에만 있고 원문 페이지에는 나오지 않음

    • 이제 앱은 클라이언트의 Security Assertion 사용을 요구함
      이 경우 Android에서는 Play Protect가 하고, iOS에서는 그쪽이 쓰는 무언가가 담당함
    • Client attestation이 더 정확한 표현일 수 있음

  • Google도 이 일에 한몫하는 것처럼 보임: https://github.com/robinostlund/homeassistant-volkswagencarn...

    • 맞음, Google이 하드웨어 증명을 이용해 벤더가 API 접근을 막도록 돕고 있음
      최근 내 차고문 오프너 API인 MyQ에 직접 접근하려다 같은 벽에 부딪혔음
      Google이 이런 행태를 가능하게 하는 게 EU 경쟁법을 하나도 위반하지 않는다면 놀라울 것임

  • 최근 소프트웨어 공급망이 난장판이 된 걸 보면, 뭔가를 연결해두는 건 러시안룰렛처럼 느껴짐
    몇 년째 Home Assistant를 쓰고 있는 사람으로서 하는 말임
    특히 지금은 내 전기차는 Volkswagen이 아니지만 HA에 연결하는 게 꽤 위험한 자충수처럼 느껴짐
    3개월 전만 해도 분명 편리했을 텐데 말임

  • 스마트홈을 오래 해왔고, 이게 내가 Home Assistant를 떠난 이유 중 하나임
    아주 멋지고 기능적인 프로젝트지만, 회사들이 API를 계속 열어두거나, 더 흔하게는 역공학 API를 가능하게 하는 마법을 패치하지 않는 데 전적으로 의존함
    불행히도 지난 몇 년의 흐름은 HA에 불리했음
    Tesla, Ring, MyQ, Ecobee 등은 API를 닫아왔고, 보통 “보안 우려”를 이유로 들었음
    어느 정도 정당성은 있지만, 내 생각엔 대개 구독 매출을 잃을지 모른다는 두려움이 동기임
    Tesla는 공식 OAuth 앱에 많은 돈을 받음
    다만 예전 해킹은 그들이 패치하지 않고 방치한 유출된 OAuth 앱에 의존했으니 공정하게 보자면 그런 면도 있음
    Ecobee는 HomeKit과 일부 기능을 Security+ 구독 뒤에 숨겼는데, 그들의 보안 플랫폼이 빈약한 걸 생각하면 농담 같은 일임
    MyQ는 분명 연 45달러 구독을 지키려고 그렇게 했고, RATGDO가 훨씬 낫기 때문에 자기들이 손해를 본 셈임
    Ring은 어째서인지 아직 동작하지만, API를 꺼버릴 수 있다는 두려움 때문에 HomeKit Secure Video 지원은 매우 불안정함
    나처럼 주로 HomeKit 통합용으로 HA를 쓰던 사람에게는 HA 의존이 시한폭탄
    새 집으로 이사하면서 우회 없이 HomeKit에 네이티브로 호환되는 것들을 찾는 데 집중했고, 그 덕분에 지금 스마트홈은 훨씬 잘 동작함

    • 이건 Home Assistant를 떠날 이유라기보다, Home Assistant에 연결할 폐쇄형·클라우드 전용 제품을 사지 말아야 할 이유에 더 가까워 보임
    • 그건 프라이팬에서 불 속으로 뛰어드는 상황임
      나도 같은 방식으로 홈 자동화를 시작했고, HomeKit 중심도 꽤 괜찮긴 함
      다음으로는 100% 로컬 제어 기기를 쓰는 HA가 HomeKit으로 브리지하는 구성을 보고 있음
      HomeKit 전용 기기들은 Wi-Fi 안정성이 엉망인 경우가 많고, 요즘 Matter/Thread가 어떻게 돌아가는지 더 신경 써야 할 것 같음
      Zigbee/Z-Wave를 불평하는 사람도 있지만, 평균적으로는 Wi-Fi 기반 HomeKit보다 훨씬 나았음
    • HA에 엔티티가 50개 넘게 있는데, 세상 어떤 회사도 그중 하나라도 멈추게 만들 수 없음
      솔직히 언급된 것들 중에서 HA가 시한폭탄과 가장 거리가 멀다고 봄

  • 다음 차는 Sköda나 Volkswagen이 아닐 게 분명함

    • 그럼 어떤 브랜드를 생각하고 있음?

  • 원격 증명은 루트 인증서를 누가 제공하든, Google이든 Apple이든 GrapheneOS든 불법으로 만드는 법이 필요함
    지금 이 기술의 유일한 용도는 사람들이 자신이 소유한 기기로 원하는 일을 하지 못하게 막고, 상호운용성을 암호학적으로 불가능하게 만드는 것임
    반경쟁적이므로 그냥 불법이어야 함

    • 5~10년 안에 개방형 프로세서와 운영체제를 쓰고, 독점 제품과 비슷하거나 더 나은 사용자 경험과 OS를 가진 노트북·스마트폰이 나올 가능성이 실제로 있음
      하지만 원격 증명이 더 널리 퍼지면 암호학적으로 어떤 서비스도 쓰기 어려워져, 평균 소비자에게는 사실상 쓸모없는 기기가 될 수 있음
    • 이미 EU에서는 EU Data Act에 따라 불법임
      VW 임원들은 예전처럼 법을 비틀 수 있다고 생각해서 신경 쓰지 않는 범죄자들일 뿐임
    • 정말 찾는 건 API 없는 서비스나 제품임
      즉 클라우드 없이도 동작해야 함
      아니면 제품에 대한 API 접근을 명시적으로 제공하는 제품이나 회사를 골라야 함
    • 원격 증명의 합법적 용도가 전혀 없다고 소리치는 건 그냥 말이 안 됨
      내가 소유한 장치를, 원치 않는 사람들이 물리적으로 접근해 자격 증명을 뽑아낼 수 있는 환경에 배포할 때 쓸 수 있음
      사람들이 회사 지급 장치에서만 민감한 회사 정보에 접근하게 하고, 접근 가능한 데이터를 다른 곳에 아무렇게나 복사하지 못하게 할 때도 필요함
      휴대폰을 카드 결제 단말기로 쓰면서 화면에는 한 금액을 표시하고 실제로는 다른 금액을 승인하는 일을 막는 데도 필요함
      내가 소유한 모든 것이 생성하는 데이터를 열린 형식으로 제공해야 한다는 데는 꽤 강하게 찬성하지만, 증명에 정당한 사용처가 없다고 하는 건 사실과 다름
답변달기