블루투스 & IoT 보안 솔루션 기업 노르마(대표 정현철)가 무선 이어폰, 자동차 네비게이션 등의 블루투스 보안 취약점을 확인, 주의를 당부했다.
저전력 근거리 네트워크인 블루투스는 사물인터넷(IoT) 기기에 광범위하게 사용되고 있는 추세지만 보안에 대한 대책은 미흡한 편이다.
노르마는 실제로 무선 이어폰, 스마트폰, 자동차 네비게이션의 블루투스를 모의 해킹하여 도감청, 주소록 탈취 등 개인 정보가 쉽게 유출될 수 있음을 확인했다.
무선 이어폰의 경우 해커가 연결 및 제어권을 탈취해 마이크를 통해 입력되는 음성 데이터를 도청하고 녹음할 수 있다. 이어폰의 해킹 원리는 블루투스 보안 설정이 취약한 점을 노린 것이다. L2CAP, RFCOMM, SCO 서비스 등의 블루투스 프로토콜은 약간의 정보만 취득한다면 특별한 권한 및 인증 없이도 제어권에 접근할 수 있다. 이러한 블루투스 보안의 헛점을 악용하면 도감청을 통해 개인 정보 유출, 협박 등의 범죄로 이어질 수 있다.
무선 이어폰 만큼 블루투스 기능이 거의 필수로 사용되는 차량 네비게이션도 보안에 취약하긴 마찬가지다. 해커가 자동차 네비게이션의 블루투스를 공격하여 제어권을 탈취, 음성 데이터를 도청하고 저장할 수 있다.
차량 네비게이션 보안 취약점은 이 뿐 만이 아니다. 차량 네비게이션과 블루투스로 연결되어 있는 스마트폰의 전화번호부까지 유출될 수 있다. 블루투스 공격으로 스마트폰과 커넥션을 맺으면, 블루투스 주소록 공유 서비스를 통해 전화번호부 데이터를 빼낼 수 있다. 또한 통화 기록까지 가져와 보이스피싱과 같은 범죄에 악용할 수 있다.
아래 그림과 같이 스마트폰에 연락처 공유 팝업이 뜰 수 있는데, 해커가 차량의 기기 정보로 위장하였기 때문에 무심코 예 또는 허용을 선택하기 쉽다.
이 같은 블루투스 해킹 피해를 예방하려면 블루투스는 사용할 때만 연결하고 평소에는 설정을 꺼두는 것이 좋다. 그리고 블루투스 연결 시 페어링 요청을 보내는 디바이스를 정확히 확인하고 신뢰할 수 있는 경우에만 승인 응답을 해야 한다. 사용자가 확인되지 않거나 의심스러운 디바이스의 페어링 요청은 허용하지 않아야 한다. 마지막으로 블루투스 소프트웨어 및 펌웨어 최신 패치를 확인하고 업그레이드 해야 한다. 최신 패치에는 보안 취약점 및 악의적인 공격에 대한 보안 대책이 반영되어 있다.
모바일 
[뉴스] '갤럭시S20·노트20' 시리즈 안드로이드 14 기반 원UI 6.0 업데이트 대상서 제외되나
Copyrightⓒ 넥스젠리서치(주) 케이벤치 미디어국. www.kbench.com
