EV 충전소는 여전히 사이버 보안 취약점으로 가득 차 있습니다

전기 자동차(EV)의 인기가 높아지면서 가스에 민감한 소비자뿐만 아니라 EV 충전소를 사용하여 광범위한 공격을 수행하는 데 중점을 두는 사이버 범죄자도 선호합니다. 이는 개인 차고 내부든 공공 주차장이든 모든 충전 지점이 온라인이고 운전자 신원을 저장하는 동시에 결제 시스템 및 전력망과 상호 작용하는 다양한 소프트웨어를 실행하기 때문입니다. 즉, 사물인터넷(IoT) 소프트웨어 싱크홀이다.

충전 네트워크 제공업체인 EVPassport의 CEO인 Hooman Shahidi는 “EV 충전이 더욱 널리 보급됨에 따라 더욱 정교한 해킹 그룹의 매력적인 표적이 될 것입니다.”라고 말했습니다. "공급업체는 자신의 제품을 국가 안보의 중요한 인프라이자 중요한 구성 요소로 생각해야 합니다." 있다 미국에서 운행되는 전기 자동차 2.5만 대, 그 중 절반 이상이 플러그인 충전기가 필요합니다. 그 인기를 인정받아 2022년, 영국에서는 모든 신규 주택 건설에 충전소를 의무적으로 건설해야 합니다..

충전소는 심각한 사이버 보안 위험에 직면해 있습니다. "문제에는 보호되지 않은 인터넷 연결, 불충분한 인증 및 암호화, 네트워크 분할 부재, 관리되지 않는 에너지 자산 등이 포함됩니다." Check Point Software 및 SaiFlow의 연구원, 후자는 분산 에너지 솔루션의 사이버 보안 전문가입니다. 예를 들어, 손상된 스테이션은 전력망을 손상시키거나 고객 데이터를 도난당할 수 있습니다. CTO 사무실에서 일하는 Check Point Software의 Aaron Rose는 "충전기는 개인 정보와 결제 정보를 갖고 있으며 일반적으로 기존 방화벽에서 인식되지 않는 다양한 프로토콜을 실행합니다."라고 말합니다.

충전소에 대한 사이버 공격의 초기 단계는 몇 년 전 시작되었습니다. 러시아 기지가 공격당했다 2022년 2022월 우크라이나 전쟁에 대한 대응으로, XNUMX년 XNUMX월 영국에서 XNUMX개가 더 손상되었습니다. 두 상황 모두 부대 화면에 무례한 메시지를 표시하는 사이버 장난에 가깝습니다. Shell은 작년에 취약점을 패치했습니다. 전 세계에서 수백만 개의 충전 로그를 노출할 수 있는 하나의 데이터베이스 EV 충전 네트워크.

새로운 취약점이 계속해서 충전소를 괴롭히고 있습니다. 그 중 두 가지는 SaiFlow가 발견한 원격 코드 실행 및 잠재적인 데이터 도난으로 이어질 수 있습니다. 올해 초. 연구에 따르면 이 익스플로잇은 스테이션에서 사용되는 다양한 소프트웨어 모듈 중 취약한 인증 루틴을 이용합니다. 충전소 공급업체인 Enel X Way는 기타 다양한 데이터 손상 차량 ID 번호와 차량 제어 장치에 원격으로 접근할 수 있는 익스플로잇이 포함됩니다.

Elias Bou-Harb는 루이지애나 주립대학교의 컴퓨터 과학자입니다. 오랫동안 연구한 충전소 보안. 그는 SQL 주입 및 크로스 사이트 스크립팅과 같은 잘 알려진 공격 방법을 포함하여 거의 모든 과금 제품에 심각한 취약점이 있음을 발견했습니다. "특히 놀라운 점은 대부분의 공급업체가 일부 잘 알려진 보호 조치를 구현하지 않았으며, 이러한 약점을 확인한 후에도 보안을 개선하기 위한 조치를 취한 공급업체가 거의 없다는 것입니다."

IoT 장치는 여전히 매력적인 목표로 남아 있습니다.

확실히 충전소의 위협은 사이버 공격자의 기회 표적이 되는 유일한 IoT 장치가 아닙니다. 그리고 스테이션은 악용이 계속 증가하는 수많은 IoT 장치 중 하나일 뿐입니다. 보안 설계 및 관행이 열악한 수많은 소규모 공급업체와 다양한 장치를 찾아 손상시키는 봇넷과 같은 수많은 자동화 도구가 결합되어 모든 IoT 장치가 해커의 쉬운 표적이 됩니다. 이후 미국 연방통신위원회(FCC)의 데이터가 늘어났다.

그러나 충전소는 스마트 TV와 스마트 스피커를 뛰어넘을 수 있는 복잡하고 매우 풍부하며 잠재적으로 활용 가능한 요소의 조합을 나타냅니다. 예를 들어 Check Point의 Rose는 "충전기는 유사한 위험 프로필을 가지고 있지만 다른 스마트 장치와는 다른 공격 표면을 제공합니다"라고 말합니다.

이것이 의미하는 바는 충전기가 "EV 사용자와 자동차 사이, 충전소와 전력망 사이에서 관리 소프트웨어 도구를 실행하고 청구, 인증 및 공급 전력을 조정한다는 것"이라고 Bou-Harb는 말합니다. "그리고 이러한 복잡성에 더해 이 모든 것은 클라우드의 충전 공급업체에 의해 배포됩니다." 그의 연구에 따르면 이러한 스테이션에서 실행되는 일부 소프트웨어는 수년 동안 악용되어 왔으며 "공급업체는 문제를 해결하기는커녕 자신이 손상되었다는 사실도 아직 깨닫지 못하고 있습니다."

Enel X Way의 블로그 게시물에는 포괄적인 내용이 나열되어 있습니다. 8점 프레임워크 신원 액세스, 위험 관리, 비상 대응 및 기타 요소를 다루는 충전소의 경우. 

규제 당국의 십자선

미국과 유럽 모두 공공 및 민간 충전소를 통제하기 위해 규제 조치를 취하고 있습니다. 영국은 2022년부터 가정용 충전소와 관련된 변조 방지법을 시행했습니다. 이로 인해 여러 공급업체의 보안 개선, 최근 보고된 바와 같이. 충전소 공급업체인 Wallbox는 이러한 규정을 준수하기 위해 장비에 추가 보안 보호 장치를 추가한 반면, 다른 공급업체는 제품을 개선하는 대신 유럽 시장에서 물러났습니다. 

EU는 전력망 운영자와 IoT 공급업체를 위한 새로운 사이버 보안 보호 조치를 제안했습니다. NIS2 지시문 지난해 10월부터 시행될 예정이다. 여기에는 더욱 엄격한 위반 보고 요구 사항과 더 높은 벌금이 부과되는 항목이 포함됩니다. 

또 다른 제안은 Underwriters Laboratories가 다양한 전자 제품에 대해 수행하는 것과 같이 충전소 업계가 자체 장치를 자체 인증하도록 하는 것입니다. 유럽의 자동차 안전 공급업체 Dekra는 공공 충전소 인증 프로그램을 제안했습니다. 업계 최초라고 주장합니다. 기본 보안 서비스 제공부터 장비 침투 테스트까지 세 가지 수준을 제공합니다. 

미국은 이러한 노력에 뒤쳐져 있다. 지난해 여름 바이든 행정부는 다음과 같은 제안을 했다. 스마트 홈 장치에 대한 사이버 보안 라벨링 프로그램. 더빙 사이버 신뢰 마크, 이는 국립 표준 기술 연구소(National Institute of Standards and Technology)에서 개발한 작업을 기반으로 FCC에서 관리합니다. Check Point의 Rose는 “사이버 신뢰 마크는 좋은 아이디어입니다.”라고 말합니다. “그러나 실행이 핵심이 될 것입니다. 마크는 업데이트되어야 하며 장치에 대한 지속적인 테스트를 기반으로 해야 합니다.”

지난해 미국 국립표준기술연구소(NIST)도 공공 충전소에 대한 일련의 권장 사항을 제안했습니다. 사이버 보안을 개선하기 위해. 그러나 NIST, Cyber ​​Trust 및 Dekra 이니셔티브의 핵심 요소 중 하나는 모두 자발적이라는 것입니다. Akitra의 제품 관리 부사장인 Ravi Lingarkar는 "충전소 지침은 긍정적인 발전입니다."라고 말했습니다. LinkedIn에 썼습니다. “획일적인 사이버 보안 표준이 없으면 EV 충전소는 해커의 쉬운 표적이 될 수 있습니다. 이는 누구나 자신의 장치를 그리드에 가져올 수 있도록 하는 것과 같습니다. EV 충전 인프라의 급속한 확장을 고려할 때 사이버 보안은 많은 잠재적인 문제의 최전선에 있습니다.” 

그러나 이러한 노력은 아직 초기 단계이고 불완전합니다. Bou-Harb는 “정부 규제가 너무 늦었습니다.”라고 말했습니다. “시장은 이미 다양한 충전 제품으로 포화 상태입니다. 이러한 공급업체는 실제로 장치의 보안에 관심을 두지 않으며 이는 종종 나중에 고려하는 경우가 많습니다. 이제 충전 공급업체가 함께 모여 문제가 있음을 인정하고 솔루션 작업을 시작하고 위협 데이터를 공유해야 할 때입니다.”

한 가지 잠재적인 장애물은 EV 충전기가 교통부, 에너지부, 국토안보부 등 여러 규제 기관의 관할하에 있다는 것입니다. 모두가 협력하여 일하도록 하는 것은 쉽지 않을 것입니다. Bou-Harb는 “아무도 리더십을 발휘하지 못하고 있습니다.”라고 말합니다. 

“정부가 지금 취할 수 있는 간단한 조치는 EV 충전 공급자에게 SOC2 계류를 요구하는 것입니다. 우리는 기준을 높여야 합니다.”라고 EVPassport의 Shahidi는 말합니다. SOC2 표준은 무엇보다도 보안 제어 및 개인 정보 보호에 중점을 둡니다.  

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/ics-ot-security/ev-charging-stations-still-riddled-with-cybersecurity-vulnerabilities