상단으로 이동하기

블루투스가 탑재된 모든 기기가 해킹에 노출됐다Posted Sep 13, 2017 4:04:20 PM

황승환

공부해서 남 주는 사람이 되자! 가열차게 공부 중입니다.
dv@xenix.net

보안업체 아미스(armis)가 블루투스가 내장된 모든 기기가 해킹 위험에 노출됐다고 경고했다. 아미스는 홈페이지를 통해 12일(현지시각) 지금까지 알려지지 않았던 8가지 제로 데이 취약점을 공개했다. 버전과 상관없이 모든 블루투스에 해당된다. ‘블루본(BlueBorne)’이라고 이름 지어졌고 정보를 빼낼 수 있는 CVE-2017-0785 취약점, 악성 코드를 설치하고 실행할 수 있는 CVE-2017-0781, CVE-2017-0782 취약점, 기기를 오가는 모든 데이터를 가로챌 수 있는 CVE-2017-0783 취약점 4가지가 특히 위험하다고 경고했다.

위 영상을 일단 감상하자. 페어링도 필요 없고 악성코드를 설치할 필요도 없다. 블루투스가 활성화되어 있다면 해당 취약점을 이용해 카메라, 마이크를 켜거나 데이터를 가로채고 몰래 앱을 설치하는 것도 가능하다. 윈도우, 안드로이드, 리눅스, iOS, IoT 운영체제를 가리지 않는다. 현재 전 세계에 20억 대의 안드로이드 기기, 20억 대의 윈도우 기기, 10억 대의 iOS 기기, 그리고 10억 대의 IoT 기기가 있고 대부분 블루투스를 탑재하고 있다.

블루투스의 신호 도달 거리가 길지 않기 때문에 괜찮다고 생각할 수 있지만 많은 사람이 몰려 있는 사무실, 공공장소 등에서는 활성화된 블루투스를 타고 빠르게 확산될 수 있다는 점에서 대규모 해킹 공격이 가능하다고 경고하고 있다. 블루투스는 대부분의 운영 체제에서 많은 접근 권한을 갖고 있다. 대부분 블루투스를 활성화한 상태로 기기를 사용하고 블루투스를 통한 해킹에 대해 큰 신경을 쓰지 않는다.

안드로이드 기기를 해킹하는 시연 영상이다. 아미스의 블루본 경고 페이지에 가면 다양한 OS를 해킹하는 시연 영상을 확인할 수 있다.

구글에게는 지난 4월 통보됐고 9월 안드로이드 누가, 안드로이드 마시멜로에 대한 보안 패치를 배포했다. 안드로이드 구 버전과 변형 안드로이드 버전을 사용하는 중소 제조사의 기기는 여전히 위협에 노출되어 있다. 마이크로소프트도 4월 연락을 받았고 지난 9월 모든 윈도우 버전에 보안 패치를 배포했다. 애플에게는 8월 연락이 됐다. 하지만 iOS 10에서 이미 해당 문제가 패치됐기 때문에 사실상 취약점은 사라졌다. 리눅스에게는 늦게 통보됐고 아직 해결되지 않았다. 삼성에게는 4월, 5월, 6월에 걸쳐 연락을 했지만 답변을 받지 못했다고 한다.

아직 해당 취약점을 악용한 사례는 보고된 바가 없지만 최신 펌웨어로 업데이트하거나 불필요한 경우 블루투스를 비활성화하는 것이 좋다. 

이 기사를 읽은 분들은 이런 기사도 좋아했습니다.