최신 스마트폰 '블루투스' 취약점 노출

최신 스마트폰과 스마트기기가 '블루투스 블루본' 취약점에 노출된 채 판매됐다.

스마트폰 구매자는 제조사에서 제공하는 보안 패치를 신속히 적용해야 단말기가 좀비가 되는 것을 막을 수 있다. 사물인터넷(IoT) 보안 기업 아미스는 19일 블루본 취약점을 찾아 구글과 단말기 제조사에 알렸다. 블루본은 블루투스가 켜진 모든 기기에 작용한다. 공격자는 블루투스가 켜진 기기에 악성코드를 감염시키고 중요 데이터를 빼돌릴 수 있다. 스마트폰 등을 분산서비스거부(DDoS) 공격을 일으키는 좀비 네트워크로 만든다. 아미스는 구글 플레이에 블루투스 블루본 취약점을 점검하는 앱을 올렸다. 최신 스마트폰에 앱을 깔고 조사한 결과 취약점이 드러났다.

보안전문가들은 스마트폰은 물론이고 블루투스 기능이 들어간 최신 IT기기가 모두 같은 상황이라고 진단했다. 단말기 제조사의 빠른 대응이 요구된다.

아미스 블로그에 따르면 구글은 단말기 제조사에 8월 7일부터 시큐리티 업데이트를 배포했다. 9월 4일 진행된 정규 패치에도 관련 내용이 들어있다. 구글이 운용체계(OS) 업데이트를 진행했지만 실제로 소비자가 쓰는 단말기에 업데이트를 진행하는 건 제조사 몫이다. 구글이 단말기 파트너에게 한 달 전 시큐리티 업데이트를 공지했지만 반영하는데 시간이 촉박했다. 삼성전자는 최신 스마트폰 구입 후 통신사 네트워크에 연결과 동시에 보안 업데이트를 진행하는 조치를 취했다.

삼성전자 관계자는 “갤럭시노트8은 통신사 네트워크에 연결하면 바로 보안 업데이트를 진행한다”고 설명했다. 최신 스마트폰 구매자는 반드시 소프트웨어 업데이트 후 사용해야 블루본 피해를 줄일 수 있다.

이 같은 문제는 안드로이드 개발 생태계에서 비롯된다. 구글은 리눅스 커널을 기반으로 안드로이드를 만들고 제조사가 이를 가져다 쓴다. 제조사는 각 제품에 적합한 펌웨어를 개발하는데 6개월 이상 소요하며 하드웨어(HW) 최적화를 거친다. 구글이 한 달 전 보안 패치를 제공해도 각 단말기별로 최적화에 시간이 걸린다.

IoT 보안 기업 아미스는 블루투스 기능이 들어간 기기 취약점을 '블루본'이라 명명했다. (자료:아미스 홈페이지)
IoT 보안 기업 아미스는 블루투스 기능이 들어간 기기 취약점을 '블루본'이라 명명했다. (자료:아미스 홈페이지)

김용대 KAIST 교수는 “단말기 취약점 보안 업데이트는 최소 한 달에서 최대 석 달까지 걸리는 사례도 있다”면서 “보안 업데이트가 제대로 작동하고 다른 애플리케이션과 충돌 현상 등이 발생하지 않는지 점검하는 데 시간이 걸린다”라고 설명했다.

이희조 고려대 교수는 “그나마 최신 스마트폰은 보안 업데이트를 진행하지만 구형은 패치조차 나오지 않는다”라면서 “제품이 취약한 상태로 남아 있다가 좀비 기기가 돼 다른 공격에 이용될 수 있다”고 지적했다.

김인순 보안 전문기자 insoon@etnews.com