상단여백
HOME 투데이 광장 칼럼
이어폰 스피커 장난감 노리는 신종 블루투스 보안위협 어떻게 대응할까블루투스 기술 적용된 기기들 모두가 공격 표적 될 수 있어
  • 김유진 이글루시큐리티 사원
  • 승인 2018.01.29
  • 댓글 0

‘인형이 아이에게 이상한 말을 한다고?’ 1988년 처음 개봉한 영화 ‘사탄의 인형’은 지금까지도 많은 광고와 프로그램을 통해 패러디 될 정도로 큰 인기를 끈 공포 영화 중 하나다. 경찰에 쫓기던 흉악범의 영혼이 인형 안에 들어간다는 설정도 충격적이었지만, 가장 무서웠던 부분은 순진한 표정을 짓던 인형 ‘처키’가 주인공 소년과 둘만 남게 되자 갑자기 얼굴을 일그러뜨리고 무서운 말을 하며 아이를 위협하는 장면이었다. 친구처럼 소중하게 여겼던 인형이 공포의 존재로 돌변했기 때문이다.

30년이 지난 지금, 영화 속 상상이었던 이러한 공포가 실제로 재현될 수도 있다는 우려가 커지고 있다. 전 세계에서 널리 사용되고 있는 연결 프로토콜인 블루투스의 취약점을 노린 사이버 위협이 최근 급속히 대두되고 있는 까닭이다. 블루투스 기능이 탑재된 PC 주변 기기와 스마트 기기 등은 물론 클라우드·AI·블루투스 등의 기술을 토대로 아이들의 말에 적절한 대답을 찾아 응답하는 스마트 장난감 역시 사이버 공격의 대상이 될 수 있다.

이글루시큐리티 보안분석팀 김유진 사원

많은 공격자들은 그 동안 와이파이 등 다른 무선 통신 방식에 비해 상대적으로 그 위험성이 대두되지 않았던 블루투스의 취약점을 이용해 공격을 감행하고 있다. 블루투스 기술이 접목된 IoT 기기를 노린 공격은 ▶블루투스를 지원하는 모바일 기기에 스팸 메시지를 뿌리고(bluejacking), ▶저장된 연락처, 이메일, 문자 메시지 등에 접근하며(bluesnarfing), ▶심지어 접근 권한을 획득해 사용자의 휴대폰을 원격 조정하거나 통화 내용을 엿듣는 등(bluebugging)의 다양한 형태로 발생할 수 있다.

가공할만 한 전파력을 보유한 ‘블루본’의 등장

최근에는 블루투스를 켜 놓기만 해도 악성코드에 감염될 가능성이 있는 ‘블루본(BlueBorne)’ 취약점이 발견되어 보안업계에 큰 파장을 일으켰다. 작년 4월, 이스라엘의 IoT 보안업체 ‘아미스(Armis)’는 블루투스를 통해 내부 정보를 탈취하고 악성코드를 설치하며 접근 권한을 획득해 기기를 원격 조정할 수 있는 치명적인 보안 취약점들을 발견했다고 밝히고, 이러한 취약점들을 ‘블루본(Blueborne)’이라 명명했다. 해당 취약점 중 일부는 약 10년간 패치 되지 않은 채 존재한 것으로 밝혀졌다.

‘블루투스’와 공기로 전파된다는 의미의 ‘에어본(Airborne)’이 조합된 ‘블루본’은 이름 그대로 가공할만한 전파력을 가지고 있는 것이 특징이다. 공격자가 기기를 페어링하지 않아도 블루투스 기능이 활성화되어 있기만 한다면 공격이 가능할뿐더러, 일단 기기 1대를 멀웨어로 감염시키면 블루투스 망 내 취약한 다른 기기를 탐색해 연쇄적으로 감염시킬 수 있기 때문이다. 안드로이드, iOS는 물론 윈도, 리눅스 OS까지 블루투스 기능이 활성화된 모든 모바일, 데스크톱, IoT 기기가 공격의 대상이 될 수 있다.

블루본 취약점 (출처=한국인터넷진흥원 보안 공지)

커넥티드카, 스마트 잠금 장치 역시 위험

블루투스 취약점과 이를 악용한 공격은 블루투스가 적용된 수많은 기기를 대상으로 발생할 수 있다. 특히 전 세계적으로 커넥티드카 시장이 빠르게 성장하고 있는 만큼, 차량용 블루투스를 노린 해킹 위협 역시 급속히 증가할 것으로 점쳐지고 있다. 특히, 사용자의 편의성을 높이기 위해 기기 등록 과정에서 본인 인증 절차를 거치지 않거나 개인식별번호(PIN)를 요구하지 않는 차량들이 이러한 공격의 대상이 될 가능성이 높다고 보여진다.

일례로, 보안기업 노르마는 차량용 블루투스 시스템의 ‘기기 자동 등록 기능’을 악용해 공격자의 스마트폰을 자동 등록하는 방법으로 차량용 인포테인먼트 시스템을 통해 공격자가 원하는 음성과 문자를 탑승자에게 전달할 수 있음을 시연한 바 있다. 노르마는 블루투스 도청 장비와 노트북을 활용해 시험 차량의 블루투스 맥 주소(MAC address)와 기기 정보를 확인하고, 해당 차량의 블루투스 주소로 공격용 스마트폰 자동등록을 유도하는 방식으로 차량용 블루투스를 해킹할 수 있음을 증명했다.

최근 도입이 확산되고 있는 블루투스 기반 스마트 잠금 장치 역시 공격의 표적이 될 수 있다. 스마트폰 앱-기기 간 블루투스 통신을 통해 사용자 권한을 인증한 뒤 잠금 상태를 해제하고 있는 만큼, 암호화 기술이 뒷받침 되지 않는다면 쉽게 해킹될 수 있기 때문이다. 실제로, 평문으로 암호를 전송하는 등 암호화 처리가 미흡한 블루투스 자전거 잠금 장치의 경우, 스마트폰 앱과 스마트 잠금 장치 사이의 통신에 끼어들어 정보를 훔쳐내거나 변조된 데이터를 전달하는 ‘중간자 공격’이 가능한 것으로 나타났다.

스마트폰 등 스마트기기와 연결된 이어폰 스피커 장난감 등을 노리는 신종 블루투스 보안 위협이 증가하고 있다. (이미지=픽사베이)

언제 터질지 모르는 시한폭탄 될 수 있어…사용자 스스로의 관심과 대응 필요

그렇다면 어떻게 해야 블루투스를 노린 보안 위협에 유연히 대처할 수 있을까? 하루가 다르게 새로운 스마트 기기가 개발되고 무선 통신 기술 역시 발전을 거듭하고 있는 만큼, 앞으로 어떤 취약점이 어떤 형태로 나타날지는 그 누구도 장담할 수 없다. 특유의 편리성과 간편성으로 우리의 일상 곳곳에 파고든 블루투스를 보다 안전하게 이용하기 위해서는 블루투스 기술을 탑재한 제품, 서비스를 제공하는 기업과 더불어 사용자 스스로의 지속적인 노력이 필요하다고 보여진다.

많은 보안 전문가들은 꼭 필요한 경우가 아니면 스마트 기기의 블루투스 기능을 비활성화하고, 제조사들이 배포하는 최신 보안 업데이트를 즉각 적용할 것을 권고하고 있다. 실제로, ‘블루본’ 취약점의 위험성을 인지한 구글, 애플, MS, 상성 등의 기업들은 재빨리 이에 대한 패치를 배포했다. 하지만 제조사가 배포한 업데이트를 하지 않았거나 보안 업데이트를 지원하지 않는 구형 기기를 사용하고 있는 사용자들은 여전히 아무런 방패 없이 보안 사각지대에 방치되어 있는 것이 사실이다.

실제로 보안업계는 많은 사람들이 블루투스를 통해 스마트폰과 주변 기기를 연결해 사용하고는 있으나 자주 보안 업데이트를 하지 않는다는 사실을 고려할 때, 여전히 많은 스마트 기기들이 블루투스를 노린 보안 위협에 노출되어 있다고 보고 있다. 가족이 타는 자동차, 아이가 가지고 노는 장난감, 추억이 담긴 카메라 모두가 잠재적인 위험에 처해있다는 사실을 인지하고, 보다 안전하게 블루투스와 스마트 기기를 사용할 수 있도록 더 깊은 관심을 가졌으면 하는 바램이다.

김유진 이글루시큐리티 사원  yujin99@igloosec.com

<저작권자 © 키뉴스, 무단 전재 및 재배포 금지>

#블루투스#보안#블루투스 보안#이어폰#스피커#장난감#블루투스 해킹#해킹
네이버 뉴스 스탠드에서 키뉴스를 만나보세요.  키뉴스 뉴스스탠드 바로가기 - MY 뉴스 설정

icon인기기사
여백
여백
키뉴스 TV
여백
여백
여백
여백
여백
여백
여백
여백
Back to Top