내 블루투스 이어폰, 남의 고막 울린다

각종 블루투스 헤드폰과 이어버드의 주요 부품에서 심각한 취약점이 발견됐다. 블루투스 기술로 접속이 가능한 거리에 있는 여러 제품들이 해킹 공격에 노출돼 있다고 보안 업체 ERNW가 경고했다. 다만 블루투스 헤드폰/이어폰 제품의 보편성과, 취약점이 주는 영향의 심각성을 고려해 기술 정보를 상세히 공개하지는 않았다.

이번 보안 경고의 주인공이자 문제의 핵심에 놓여 있는 부품은 에어로하(Airoha)라는 대만 기업이 만든 SoC(Systems on Chip)이다. ERNW에 따르면 에어로하는 “SoC만이 아니라, 각종 레퍼런스 설계와 구현까지 제공한다”고 하며, “트루 와이어리스 스테레오(True Wireless Stereo, TWS) 분야의 주요 공급자”라고 한다. 유명 무선 헤드폰 및 이어버드 제조사들이 에어로하의 기술을 기반으로 제품을 만들어 출시하고 있는 상황이다. 즉, 이번에 발견된 취약점의 영향력이 광범위하다는 뜻이다.

취약한 제품들

ERNW가 확인한 바에 따르면 이번 취약점의 영향을 받는 제품은 다음과 같다.

• Beyerdynamic Amiron 300
• Bose QuietComfort Earbuds
• EarisMax Bluetooth Auracast Sender
• Jabra Elite 8 Active
• JBL Endurance Race 2
• JBL Live Buds 3
• Jlab Epic Air Sport ANC
• Marshall ACTON III
• Marshall MAJOR V
• Marshall MINOR IV
• Marshall MOTIF II
• Marshall STANMORE III
• Marshall WOBURN III
• MoerLabs EchoBeatz
• Sony CH-720N
• Sony Link Buds S
• Sony ULT Wear
• Sony WF-1000XM3
• Sony WF-1000XM4
• Sony WF-1000XM5
• Sony WF-C500
• Sony WF-C510-GFP
• Sony WH-1000XM4
• Sony WH-1000XM5
• Sony WH-1000XM6
• Sony WH-CH520
• Sony WH-XB910N
• Sony WI-C100
• Teufel Tatws2

그 외에도 에어로하의 SoC가 사용된 제품들은 모두 취약할 것으로 예상된다고 ERNW는 경고한다. “문제의 SoC는 헤드셋, 이어버드, 동글, 스피커, 무선 마이크 등 다양한 장치에 사용됩니다. 하지만 모든 제품을 조사하고 찾아내는 것은 현실적으로 어렵기 때문에 여기서 모든 것을 목록화 하지는 않았습니다.”

무엇이 문제인가?

문제의 핵심은 에어로하 SoC에 내장돼 있는 커스텀 프로토콜이 노출돼 있다는 것이다. 노출된 프로토콜에 접근하는 데 성공하면 공격자는 피해자 장비의 메모리를 읽거나, 메모리에 임의 쓰기를 할 수 있게 된다. ERNW는 소비자들의 안전을 위해 이 프로토콜을 구체적으로 공개하지는 않았으나 “BLE GATT과 블루투스클래식(Bluetooth Classic)을 통해 노출돼 있다”고 알렸다. 또한 “피해자 장치와 공격자가 페어링 과정을 거치지 않고도 접근할 수 있다”고도 경고했다.

취약점의 CVE 번호도 아직 공식 등록되지 않았으나, 번호는 부여된 상태다. 그 번호는 다음과 같다.

1) CVE-2025-20700 : GATT 서비스에 대한 인증 절차가 마련되지 않았음.

2) CVE-2025-20701 : 블루투스클래식에 대한 인증 절차가 마련되지 않았음.

3) CVE-2027-20702 : 커스텀 프로토콜의 매우 중요한 기능들이 노출돼 있음.

세부 내용은 차후 기술 백서를 통해 공개할 것이라고 ERNW는 예고했다.

공격 성립 조건과 시나리오

공격자가 피해자의 블루투스 장비를 완전히 장악하려면 어떻게 해야 할까? 기술 정보가 공개되지 않아 아직 알 수 없지만, 공격 성공에 필요한 조건은 분명하다. “블루투스 거리 내에 공격자와 피해자가 같이 있어야 합니다. 그것만이 유일한 조건입니다. 그 외에 미리 페어링을 해둔다거나, 피해자의 크리덴셜을 확보해 두어야 한다는 등은 필요 없습니다.” 어느 정도 ‘물리적 접근’에 성공해야 한다는 건데, 이는 공격자들에게 그리 까다로운 조건이 아니다.

그렇다면 블루투스 거리 내의 공격자들은 어떤 짓을 할 수 있을까? “가장 먼저 생각나는 건 현재 피해자가 듣고 있는 오디오를 공격자가 같이 듣는 공격입니다. 즉 염탐과 도청이 가능하다는 겁니다. 이 경우 공격자는 마이크나 녹음기와 같은 장비까지 동원함으로써 피해자의 오디오를 녹음할 수도 있게 됩니다.”

일부 블루투스 장비들의 경우 전화 걸기 기능도 가지고 있는데, 공격자가 이 기능을 탈취할 수도 있다. “블루투스 장비들 간 신뢰 관계를 악용하는 공격이죠. 예를 들어 피해자가 이어폰과 스마트폰을 페어링한 채로 이어폰을 사용한다면, 공격자가 이 이어폰에 침투해 이어폰-스마트폰 간 신뢰 관계도 가져갈 수 있게 됩니다. 그리고 전화 걸기 등의 명령을 수행할 수 있습니다. OS와 장비의 권한에 따라 할 수 있는 일이 더 줄어들 수도, 더 많아질 수도 있습니다.” ‘더 많아질 수도 있다’는 것에는 연락처 추출도 포함된다. “피해자가 어떻게 장비들을 설정했느냐에 따라 통화 기록과 저장된 연락처까지 공격자가 가져갈 수 있습니다.”

"저는 사람 많은 곳에서 블루투스 장비를 즐겨 사용합니다만..."

ERNW는 이 취약점이 매우 심각한 문제가 될 수 있다고 경고한다. “저희는 취약점 증명을 위한 ‘개념증명’ 실험에 여러 차례 성공했습니다. 공개만 하지 않았지, 각종 공격 시나리오를 구현하기도 했습니다. 다만 이게 실험실 환경이 아니라 실제 일반 생활 속에서도 똑같이 적용 가능한지는 아직 검토 중에 있습니다.”

이 취약점이 실제 위협이 되려면 위에서 말한 ‘물리적 접근’이 전제되어야 한다는 게 ERNW의 설명이다. “저희가 말하는 블루투스 거리라는 건 이론상의 거리가 아닙니다. 10m 이내의 실질적인 거리를 말합니다. 일반 환경에서 블루투스 장비들은 10m까지 길게 연결되지 않거든요. 그렇다면 공격자도 피해자와 10m 이내에 있어야 한다는 의미가 되는데, 이 정도면 공격 상황에 따라서 너무 가까울 수도 있습니다. 또, 이 거리를 좁혔다 해도 익스플로잇을 실제 실행하려면 제품에 대한 기술적인 지식이 해박해야 합니다. 피해자가 공격 감행 당일에 착용한 제품을 아주 잘 알고 있어야 한다는 건데, 이 역시 현실에서는 큰 장애가 될 수 있습니다.”

그렇기에 ERNW는 블루투스 이어폰을 사용하는 일반 사용자들이 광범위하게 위협에 노출돼 있다고 보지는 않는다. 다만 표적 공격의 대상이 될 만한 일부 인사들에게는 심각한 위협이 될 수 있다고 강조한다. “10m 이내로 접근하고, 표적이 소유한 장비에 대해 기술적으로 잘 알고 있어야 한다는 조건은 일반인을 대상으로 하는 공격자에게는 까다로울 수 있습니다. 하지만 공격 대상이 구체적으로 정해져 있어 사전 정찰과 조사가 가능하다면 어떨까요? 달성 가능한 목표가 됩니다.”

때문에 언론인과 외교관, 정치 인사, 민감한 산업 종사자, 군인, 각종 VIP들이 위험할 수 있다고 ERNW는 정리한다. “자신이 고위험군에 포함될 경우, 장비 제조사를 통해서 에어로하 SoC가 사용되고 있는지를 확인해야 합니다. 만약 그렇다면 보안 패치가 나올 때까지 해당 제품을 사용하지 않아야 할 것입니다. 스마트폰과의 페어링도 해지해 두는 게 좋습니다.”

현재 에어로하 측도 문제를 인지하고 있고, 6월 말부터 패치가 된 SDK를 각 제조사들에 공급하고 있다. 따라서 조만간 제조사들로부터 패치 소식이 있을 것으로 예상된다.