블루투스가 해킹되면 어떤 보안사고를 일으킬까

2020-10-18 23:11
  • 카카오톡
  • 네이버 블로그
  • url
일부 블루투스 프로토콜은 간단한 정보만 있어도 해커가 접근 가능
악성코드 없이도 패킷 탈취해 정보 유출 및 악용 가능성 존재
오는 29일 ISEC 2020에서 블루투스 해킹 시나리오 시연 및 대응 방안 공유 예정


[보안뉴스 이상우 기자] 블루투스는 일상에서 흔히 사용하는 무선 통신기술 중 하나다. 한 때 유행했던 셀카봉은 물론, PC와 연결해 사용하는 키보드/마우스, 그리고 최근 유행하는 완전 무선 이어폰까지 다양한 기기에 적용돼 있다. 여기에 블루투스 비콘을 이용한 쇼핑이나 스마트폰과 연결하는 휴대용 카드 단말기 등 PC 이외에 분야에서 활용하는 사례도 늘고 있다. 특히, 과거와 비교해 전송 속도나 거리도 향상돼 빠르고 정확한 연결 및 제어를 요구하는 게이밍 기어도 블루투스를 지원하는 등 앞으로 더 넓은 분야에서 쓰일 것으로 보인다.


[사진=utoimage]

이처럼 흔히 볼 수 있는 기기지만, 블루투스 해킹에 관해 우려하는 사람은 드물다. “이어폰이나 마우스를 해킹해서 무슨 의미가 있냐”고 생각할 수도 있지만, 무선으로 데이터를 주고받는 기술인 만큼 중간에 패킷을 가로채거나 가짜 데이터를 전송하는 것이 가능하다. 가령 PC와 키보드 사이에 전송되는 데이터를 탈취해 입력하는 정보를 알아내거나 반대로 무선 이어폰 등으로 출력되는 데이터를 유출하는 것도 가능하다. 뿐만 아니라 블루투스를 통해 파일을 전송하는 것도 가능한 만큼 다른 사람 기기에 악성코드를 원격에서 주입 및 실행할 수도 있다.

특히, 블루투스를 이용한 해킹의 경우 사용자 스마트폰이나 PC에 직접 악성코드를 설치할 필요 없이, 해커가 약간의 정보만 확보하면 특별한 권한이나 인증 없이도 제어권에 접근할 수 있는 등 상대적으로 보안이 취약한 경우가 많다. 많은 기기가 블루투스 연결이나 데이터 전송 시 기기 이름이나 기기에 표시되는 코드를 확인하라는 메시지를 보내지만, 이렇게 간단한 절차 조차 하지 않는 기기도 존재하는 만큼 사용자들의 주의가 필요하다.

실제로 해외에서는 블루투스 기기에 스팸 또는 피싱 메시지를 전송하는 ‘블루재킹(Bluejacking)’, 차량의 핸즈프리 기능을 공격해 도청하는 ‘카 위스퍼러(Carwhisperer)’, 블루투스 프로토콜을 통해 칩입해 사용자 기기의 정보와 제어권을 탈취하는 ‘블루본(Blueborne)’ 등 이미 다양한 해킹 기법과 취약점이 소개된 바 있다.


▲블루투스 카드 결제 단말기 해킹 시연[사진=노르마]
국내 역시 안전하지만은 않다. 예를 들어 최근 배달 앱 사용자가 증가하면서 스마트폰과 블루투스로 연결하는 카드 결제 단말기를 사용하는 경우가 늘고 있는데, 이 과정에서 블루투스 해킹을 통해 카드 데이터가 유출될 수 있다. 이 데이터는 향후 해커가 다른 결제에 이용할 수도 있다. 또한, ‘블루투스 클래스1(블루투스 신호 강도 단위)’을 이용하는 기기의 경우 이론상 최대 100미터 이내에서 데이터를 탈취할 가능성도 있다.

오는 10월 29일부터 30일까지 양일간 서울 코엑스에서 열리는 제14회 국제 보안 컨퍼런스(ISEC 2020)에서는 최근 사용 빈도와 탑재 기기가 늘고 있어 새로운 보안 위협으로 떠오르는 블루투스 해킹을 직접 시연하고, 이러한 공격에 대응할 수 있는 방법을 소개한다.

블루투스 및 IoT 보안 솔루션 기업 노르마(대표 정현철)는 29일 오전, 이슈분석을 통해 결제 단말기 정보 카드 탈취, 무선 이어폰 입출력 음성 데이터 탈취, 블루투스 연결을 통한 스마트폰 주소록 탈취 등 다양한 해킹 시나리오를 시연한다.

세 가지 시나리오 모두 우리 삶에서 흔히 쓰는 기능을 이용해 민감한 정보를 탈취하는 만큼, 보안 관계자는 물론 일반 사용자들까지 관심을 기울여야 할 영역이다. 스마트폰과 카드 단말기 사이의 정보 탈취는 사용자의 금융정보를 악용할 수 있고, 무선 이어폰 해킹은 특정 사용자를 도청하거나 해커가 사용자를 협박하는 음성 메시지를 전달하는 것이 가능하다. 또한, 사용자 스마트폰에서 해커의 PC로 주소록이나 통화기록 등의 데이터가 전송될 경우 이러한 정보가 스미싱이나 보이스피싱에 악용될 수도 있다.


▲블루투스 이어폰 해킹 시연[사진=노르마]

그렇다면 사용자가 블루투스를 안전하게 사용할 수 있는 방법은 무엇일까? 우선 해당 기능을 이용하지 않을 때는 블루투스 기능을 꺼두는 것이 좋다. 사용자가 PC 및 스마트폰 제어 권한을 갖지 않은 이상 원격에서 블루투스를 켜는 것은 어렵기 때문에, 자신이 모르는 기기가 무단으로 연결되고, 데이터가 중간에서 탈취되는 사고를 막을 수 있다. 스마트폰 배터리를 아낄 수 있는 것은 덤이다.

운영체제를 최신 버전으로 유지하는 것 역시 중요하다. 운영체제 최신 업데이트에는 새롭게 발견된 취약점을 보완하는 내용이 포함돼 있기 때문에 블루투스 관련 신규 취약점에도 대응할 수 있다. 보다 자세한 내용은 오는 29일 열리는 ISEC 2020의 첫째날 해킹시연에서 확인할 수 있다.


▲ISEC 2020 홈페이지 화면[이미지=보안뉴스]

한편, ISEC는 과기정통부, 행안부 등 유관기관이 공동 후원하고, 한국인터넷진흥원, 더비엔, 세계 최대 규모 보안전문가 단체 (ISC)2 등이 주관하는 국내 최고 권위의 보안 콘퍼런스다. 지난해 행사에는 81개 기업이 96개의 부스를 운영하며 보안 솔루션을 시연 및 전시했고, 전체 참관객의 88% 이상이 정보보호 책임자, 보안 실무자 등으로 행사 전문성 역시 입증됐다.

올해에는 포스트 코로나 시대의 보안에 발맞춰 ‘제1회 방역+보안 통합 시스템 구축 컨퍼런스’를 동시 개최해 비대면·비접촉 시대의 보안 패러다임 변화에 관해 이야기하는 자리도 마련될 예정이다. 자세한 내용은 ISEC 홈페이지에서 확인할 수 있다.
[이상우 기자(boan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

연관 뉴스

헤드라인 뉴스

TOP 뉴스

이전 스크랩하기


과월호 eBook List 정기구독 신청하기

    • 다후아테크놀로지코리아

    • 인콘

    • 엔텍디바이스코리아

    • 이노뎁

    • 다후아테크놀로지코리아

    • 아이디스

    • 씨프로

    • 웹게이트

    • 씨게이트

    • 하이크비전

    • 한화비전

    • ZKTeco

    • 비엔에스테크

    • 비엔비상사

    • 원우이엔지

    • 지인테크

    • 지오멕스소프트

    • 이화트론

    • 다누시스

    • 테크스피어

    • 렉스젠

    • 슈프리마

    • 인텔리빅스

    • 시큐인포

    • 미래정보기술(주)

    • 동양유니텍

    • 비전정보통신

    • 경인씨엔에스

    • 트루엔

    • 성현시스템

    • 한결피아이에프

    • 프로브디지털

    • 디비시스

    • 세연테크

    • 스피어AX

    • 투윈스컴

    • 위트콘

    • 유에치디프로

    • 구네보코리아주식회사

    • 주식회사 에스카

    • 넥스트림

    • 포엠아이텍

    • 세렉스

    • 탈레스

    • 에스지에이솔루션즈

    • 로그프레소

    • 윈스

    • 포티넷코리아

    • 신우테크
      팬틸드 / 하우징

    • 에프에스네트워크

    • 유투에스알

    • 케이제이테크

    • 알에프코리아

    • 창성에이스산업

    • 아이엔아이

    • 미래시그널

    • 새눈

    • 에스에스티랩

    • 현대틸스
      팬틸트 / 카메라

    • 이스트컨트롤

    • 네티마시스템

    • 태정이엔지

    • (주)일산정밀

    • 넥스텝

    • 한국씨텍

    • 두레옵트로닉스

    • 에이티앤넷

    • 지에스티엔지니어링
      게이트 / 스피드게이트

    • 에이앤티글로벌

    • 포커스에이치앤에스

    • 신화시스템

    • 휴젠

    • 메트로게이트
      시큐리티 게이트

    • 글로넥스

    • 엘림광통신

    • 세환엠에스(주)

    • 유진시스템코리아

    • 카티스

    • 유니온커뮤니티

Copyright thebn Co., Ltd. All Rights Reserved.

MENU

회원가입

Passwordless 설정

PC버전

닫기