지난 2017년 7월 미국 로드아일랜드에서 열린 전미 주지사협회 회의에 참석한 엘론 머스크 테슬라 CEO는 원칙상 누군가가 자율주행 가능한 테슽라 차량을 해킹하면 로드아일랜드에 모든 차량을 보내라고 명령할 수 있을 것이라는 농담을 던졌다. 하지만 보도에 따르면 테슬라 차량을 일제히 원격 조작할 수 있는 취약점이 그의 발언 몇 개월 전에 발견됐었다고 한다.
테슬라 차량 소유주인 제이슨 휴즈는 아직 발표되지 않은 기능을 해킹으로 잠금 해제하거나 테슬라 차량을 개조하는 부품을 판매해오며 테슬라 커뮤니티에서도 잘 알려진 인물. 그는 테슬라를 포함한 자동차 펌웨어와 시스템 취약점을 찾아 제조업체에 보고하는 화이트해커로도 활약했다.
테슬라가 충전용 과급기 장소나 상황을 내비게이션에 전송하는 서비스를 시작했을 때 그는 시스템 분석을 실시해 서비스를 제공하는 서버 측에 차량을 통해 액세스해 전 세계 슈퍼차저 충전기 스테이션 데이터를 취득할 수 있는 취약점을 발견했다.
그는 테슬라에 취약점을 보고했고 테슬라는 버그 보고 프로그램에 따라 5,000달러를 그에게 보상으로 지불했다. 이 사건을 게기로 휴즈는 적극적으로 테슬라 취약점을 찾게 됐다고 한다.
휴즈는 2017년 테슬라 시스템에서 취약점을 발견했다. 테슬라 전 차량에서 실시간으로 데이터를 수신하고 테슬라에 탑재된 AI에 기계학습을 피드백해주는 기능에서다. 이 학습 통신에 사용하는 테슬라 서버 마더십(Mothership)에 휴즈는 자동차 VPN 연결을 통해 액세스하는 데 성공했다.
그는 차량 식별번호만 있으면 마더십에서 차량을 완전히 제어할 수 있다는 걸 깨달았다. 또 테슬라 데이터베이스를 통해 접속하면 모든 차량에 명령을 보내는 것도 가능했다. 실제로 당시 한 자동차 식별번호를 전달하자 그는 곧바로 차량 위치 정보와 배터리 잔량 등 데이터를 꺼내 보였다.
또 휴즈는 당시 테슬라 소프트웨어 보안 부문 책임자에게 취약점을 보고하면서 캘리포니아에 위치한 담당자의 테슬라 차량을 3,800km 떨어진 노스캐롤라이나 집에서 조작해보였다. 테슬라는 휴즈가 제공한 정보를 바탕으로 시스템을 수정하고 곧바로 네트워크 보호에 나섰다. 휴즈는 버그 보상금 상한보다 10배에 이르는 5만 달러를 특별 지급 받았다.
테슬라는 2020년 1월 자사 차량을 대상으로 100만 달러 현상금을 내건 해킹 프로그램인 Pwn2Own을 선보인 바 있다. 테슬라 측은 2014년 첫 버그 포상금 프로그램 시작 이후 테슬라는 보안 연구자와 파트너십에 대한 투자를 지속적으로 늘려왔다면서 이 프로그램을 통해 본질적으로 안전한 시스템 설계를 위한 개선을 계속할 수 있을 것이라고 밝혔다. 관련 내용은 이곳에서 확인할 수 있다.