싼 가격에 너도나도 샀던 ‘이 이어폰’…“통화 해킹당할 수 있다” 발칵

저렴한 가격으로 인기를 끈 샤오미의 무선 이어폰 ‘레드미 버즈 프로’ 일부 모델에서 보안 취약점이 확인돼 사용자 주의가 요구된다.

10일 업계에 따르면 한국인터넷진흥원(KISA)은 최근 공지를 통해 샤오미의 블루투스 이어폰 제품군 가운데 레드미 버즈 3 프로, 4 프로, 5 프로, 6 프로 등 총 4개 모델이 보안 취약점 영향을 받는다고 밝혔다.

해당 제품은 국내 온라인 쇼핑몰 등에서 8만원 안팎의 비교적 낮은 가격에 판매되며, 가성비 이어폰 수요층에서 높은 관심을 받아왔다.

KISA에 따르면 해당 제품에서는 정보 노출 취약점, 서비스 거부(DoS) 취약점이 함께 확인됐다. 두 취약점 모두 블루투스 통신 범위 안에 있는 공격자가 사전 페어링 없이도 공격을 시도할 수 있다는 점이 공통적이다.

정보 노출 취약점은 이어폰이 RFCOMM이라는 블루투스 통신 방식에서 비정상적인 테스트(TEST) 명령을 처리하는 과정에서 발생한다.

이 과정에서 이어폰 내부 메모리 일부가 제대로 걸러지지 않고 외부로 전달될 수 있으며, 실제 실험에서는 통화 상대방의 전화번호 등 통화 관련 정보가 노출될 가능성도 확인됐다.

또 다른 취약점인 서비스 거부는 같은 통신 채널로 신호를 반복 전송할 경우 이어폰 내부 처리 대기열이 포화 상태에 이르며 펌웨어가 멈추는 현상이다.

이 경우 이어폰은 연결된 기기와의 통신이 끊기며, 사용자는 충전 케이스에 넣어 재설정해야 정상 사용이 가능하다.

미국 카네기멜런대 산하 CERT 조정센터도 이번 취약점과 관련해 “공격자는 블루투스 탐색만으로 대상 기기를 찾을 수 있으며, 사람 많은 장소일수록 위험이 커질 수 있다”고 경고했다.

현재까지 이번 취약점과 관련해 샤오미 측의 보안 패치 제공 여부나 대응 계획은 확인되지 않았다.

이에 따라 보안 당국은 이어폰을 사용하지 않을 때는 블루투스 기능을 꺼두고, 특히 지하철·공항 등 공공장소 등에서 불필요한 블루투스 사용을 자제할 것을 권고했다.

한국 공식 사이트에는 레드미 버즈 5 프로·6 프로 제품 페이지도 운영되고 있어, 이용자들은 제조사 앱 내 펌웨어 버전과 업데이트 공지를 수시로 확인할 필요가 있다.