Press Release

블루투스가 해킹되면 어떤 보안사고를 일으킬까 2020.10.18
일부 블루투스 프로토콜은 간단한 정보만 있어도 해커가 접근 가능
악성코드 없이도 패킷 탈취해 정보 유출 및 악용 가능성 존재
오는 29일 ISEC 2020에서 블루투스 해킹 시나리오 시연 및 대응 방안 공유 예정


[보안뉴스 이상우 기자] 블루투스는 일상에서 흔히 사용하는 무선 통신기술 중 하나다. 한 때 유행했던 셀카봉은 물론, PC와 연결해 사용하는 키보드/마우스, 그리고 최근 유행하는 완전 무선 이어폰까지 다양한 기기에 적용돼 있다. 여기에 블루투스 비콘을 이용한 쇼핑이나 스마트폰과 연결하는 휴대용 카드 단말기 등 PC 이외에 분야에서 활용하는 사례도 늘고 있다. 특히, 과거와 비교해 전송 속도나 거리도 향상돼 빠르고 정확한 연결 및 제어를 요구하는 게이밍 기어도 블루투스를 지원하는 등 앞으로 더 넓은 분야에서 쓰일 것으로 보인다.

[사진=utoimage]


이처럼 흔히 볼 수 있는 기기지만, 블루투스 해킹에 관해 우려하는 사람은 드물다. “이어폰이나 마우스를 해킹해서 무슨 의미가 있냐”고 생각할 수도 있지만, 무선으로 데이터를 주고받는 기술인 만큼 중간에 패킷을 가로채거나 가짜 데이터를 전송하는 것이 가능하다. 가령 PC와 키보드 사이에 전송되는 데이터를 탈취해 입력하는 정보를 알아내거나 반대로 무선 이어폰 등으로 출력되는 데이터를 유출하는 것도 가능하다. 뿐만 아니라 블루투스를 통해 파일을 전송하는 것도 가능한 만큼 다른 사람 기기에 악성코드를 원격에서 주입 및 실행할 수도 있다.

특히, 블루투스를 이용한 해킹의 경우 사용자 스마트폰이나 PC에 직접 악성코드를 설치할 필요 없이, 해커가 약간의 정보만 확보하면 특별한 권한이나 인증 없이도 제어권에 접근할 수 있는 등 상대적으로 보안이 취약한 경우가 많다. 많은 기기가 블루투스 연결이나 데이터 전송 시 기기 이름이나 기기에 표시되는 코드를 확인하라는 메시지를 보내지만, 이렇게 간단한 절차 조차 하지 않는 기기도 존재하는 만큼 사용자들의 주의가 필요하다.

실제로 해외에서는 블루투스 기기에 스팸 또는 피싱 메시지를 전송하는 ‘블루재킹(Bluejacking)’, 차량의 핸즈프리 기능을 공격해 도청하는 ‘카 위스퍼러(Carwhisperer)’, 블루투스 프로토콜을 통해 칩입해 사용자 기기의 정보와 제어권을 탈취하는 ‘블루본(Blueborne)’ 등 이미 다양한 해킹 기법과 취약점이 소개된 바 있다.

▲블루투스 카드 결제 단말기 해킹 시연[사진=노르마]

국내 역시 안전하지만은 않다. 예를 들어 최근 배달 앱 사용자가 증가하면서 스마트폰과 블루투스로 연결하는 카드 결제 단말기를 사용하는 경우가 늘고 있는데, 이 과정에서 블루투스 해킹을 통해 카드 데이터가 유출될 수 있다. 이 데이터는 향후 해커가 다른 결제에 이용할 수도 있다. 또한, ‘블루투스 클래스1(블루투스 신호 강도 단위)’을 이용하는 기기의 경우 이론상 최대 100미터 이내에서 데이터를 탈취할 가능성도 있다.

오는 10월 29일부터 30일까지 양일간 서울 코엑스에서 열리는 제14회 국제 보안 컨퍼런스(ISEC 2020)에서는 최근 사용 빈도와 탑재 기기가 늘고 있어 새로운 보안 위협으로 떠오르는 블루투스 해킹을 직접 시연하고, 이러한 공격에 대응할 수 있는 방법을 소개한다.

블루투스 및 IoT 보안 솔루션 기업 노르마(대표 정현철)는 29일 오전, 이슈분석을 통해 결제 단말기 정보 카드 탈취, 무선 이어폰 입출력 음성 데이터 탈취, 블루투스 연결을 통한 스마트폰 주소록 탈취 등 다양한 해킹 시나리오를 시연한다.

세 가지 시나리오 모두 우리 삶에서 흔히 쓰는 기능을 이용해 민감한 정보를 탈취하는 만큼, 보안 관계자는 물론 일반 사용자들까지 관심을 기울여야 할 영역이다. 스마트폰과 카드 단말기 사이의 정보 탈취는 사용자의 금융정보를 악용할 수 있고, 무선 이어폰 해킹은 특정 사용자를 도청하거나 해커가 사용자를 협박하는 음성 메시지를 전달하는 것이 가능하다. 또한, 사용자 스마트폰에서 해커의 PC로 주소록이나 통화기록 등의 데이터가 전송될 경우 이러한 정보가 스미싱이나 보이스피싱에 악용될 수도 있다.

▲블루투스 이어폰 해킹 시연[사진=노르마]


그렇다면 사용자가 블루투스를 안전하게 사용할 수 있는 방법은 무엇일까? 우선 해당 기능을 이용하지 않을 때는 블루투스 기능을 꺼두는 것이 좋다. 사용자가 PC 및 스마트폰 제어 권한을 갖지 않은 이상 원격에서 블루투스를 켜는 것은 어렵기 때문에, 자신이 모르는 기기가 무단으로 연결되고, 데이터가 중간에서 탈취되는 사고를 막을 수 있다. 스마트폰 배터리를 아낄 수 있는 것은 덤이다.

운영체제를 최신 버전으로 유지하는 것 역시 중요하다. 운영체제 최신 업데이트에는 새롭게 발견된 취약점을 보완하는 내용이 포함돼 있기 때문에 블루투스 관련 신규 취약점에도 대응할 수 있다. 보다 자세한 내용은 오는 29일 열리는 ISEC 2020의 첫째날 해킹시연에서 확인할 수 있다.

▲ISEC 2020 홈페이지 화면[이미지=보안뉴스]


한편, ISEC는 과기정통부, 행안부 등 유관기관이 공동 후원하고, 한국인터넷진흥원, 더비엔, 세계 최대 규모 보안전문가 단체 (ISC)2 등이 주관하는 국내 최고 권위의 보안 콘퍼런스다. 지난해 행사에는 81개 기업이 96개의 부스를 운영하며 보안 솔루션을 시연 및 전시했고, 전체 참관객의 88% 이상이 정보보호 책임자, 보안 실무자 등으로 행사 전문성 역시 입증됐다.

올해에는 포스트 코로나 시대의 보안에 발맞춰 ‘제1회 방역+보안 통합 시스템 구축 컨퍼런스’를 동시 개최해 비대면·비접촉 시대의 보안 패러다임 변화에 관해 이야기하는 자리도 마련될 예정이다. 자세한 내용은 ISEC 홈페이지에서 확인할 수 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>