구글·아마존 AI스피커, 뻥뚫린 블루투스 보안 패치

아미스 “다른 장치 공격도구 악용 우려” 경고

인터넷입력 :2017/11/19 09:37    수정: 2017/11/19 10:24

구글과 아마존이 인공지능(AI) 스피커인 ‘구글홈’과 ‘아마존 에코’ 보안을 위한 수정된 패치 배포를 시작했다.

이는 다수의 기기에 존재하는 블루투스 취약점 ‘블루본’(BlueBorne)에 대처하기 위해서다. 블루본은 블루투스(Bluetooth)와 공중을 뜻하는 에어본(Airborne)의 합성어다.

블루본은 8개의 블루투스 취약점의 총칭이다. iOS, 안드로이드, 윈도, 리눅스를 탑재한 다수의 스마트폰이나 컴퓨터에 영향을 미치는 것으로 알려져 있다.

이 취약점을 발견한 보안 기업 아미스(Armis)는 구글홈이나 아마존 에코에서 이 취약점은 악성코드를 심어 다른 장치를 공격하기 위한 도구로 사용될 가능성이 있다고 경고했다.

아마존 에코와 구글 홈

공격자는 블루투스 통신 가능 범위 내에 있어야 하지만, 페어링을 하지 않아도 블루투스가 활성화된 장치를 공격할 수 있다.

특히 블루본 공격으로 해킹을 당해도 해킹을 당한 사람은 자신의 기기가 해킹을 당했는지 바로 알 수가 없다. 또 연쇄적으로 공격을 할 수 있는 문제도 있다.

아미스에 따르면 아마존 에코는 약 1천500만대, 구글 홈은 500만대가 판매됐다. 양사는 이미 블루본 취약점에 대응하는 업데이트를 제공하고 있다.

아마존 에코에는 리눅스 커널에서 원격 코드 실행 취약점과 SDP(Session Description Protocol) 서버에 정보 유출 취약점이 있었다. 구글 홈은 안드로이드 블루투스 스택의 정보 유출 취약점이 있었다. 공격자가 이 취약점을 이용하면 에코를 통제 상태에 두거나, 구글 홈 블루투스 통신 기능을 방해할 우려가 있다.

아미스 고객을 대상으로 실시한 조사에 따르면 82% 기업이 사내에 하나 이상의 아마존 에코를 두고 있는 것으로 나타났다. 이에 아미스는 이 장치가 기업의 네트워크에 침입하기 위한 디딤돌이 될 수 있다고 경고했다.

아미스는 제조업체가 어떻게 블루투스를 구현하는지에 따라 다르지만, 사물인터넷 제품을 포함해 모든 블루투스 장치가 영향을 받을 가능성이 있다는 지적이다.

관련기사

블루투스 기술의 다국적 연합체인 블루투스 SIG 추정에 따르면 블루투스를 탑재한 디바이스는 82억대에 달한다.

또 그 범위는 자동차, 의료기기, 웨어러블 기기, 소매점에서 사용하는 블루투스 신호 등 다양하다. 이에 구글이나 마이크로소프트는 해당 문제를 해결하고, 리눅스에서의 지원도 이뤄지고 있다.