블루투스 기술 표준의 구성 요소에서 보안 취약점이 발견됐다.
카네기 멜론 대학교 컴퓨터 침해사고대응팀(CERT/CC)와 블루투스 기술 표준기구인 블루투스 SIG는 블루투스 관련 보안 공지를 9일(현지시간) 발표했다.
이번 취약점은 기술 표준 구성 요소인 '교차 전송 키 파생(Cross-Transport Key Derivation, CTKD)'에서 기인하며 블루투스 4.0부터 5.0 버전까지 영향을 미친다. 공통보안취약점공개항목(CVE) 번호는 'CVE-2020-15802'다.
CTKD는 저전력 블루투스(BLE)와 블루투스 BR ·EDR(Basic Rate·Enhanced Data Rate)dp eogo 지원 기기에서 만들어지는 서로 다른 인증 키 세트를 설정할 때 작동한다. 페어링된 두 장치가 사용할 블루투스 표준 버전을 결정짓는 것이다.
이번 보안 공지의 핵심은 공격자가 CTKD 구성 요소를 조작해 블루투스 인증 키를 덮어쓸 수 있고, 이를 통해 공격자가 해당 기기에서 블루투스 사용 가능한 앱에 대한 접근 권한을 획득할 수 있다는 것이다. 또 인증 키의 암호화 수준을 낮추게 할 수도 있는 것으로 나타났다. 공격자는 이런 공격을 수행하기 위해 취약한 장치와 무선 연결이 가능한 범위에 있어야 한다.
관련기사
- 구글 픽셀버즈2 블루투스 통신 결함 발견2020.06.02
- 블루투스 SIG, DiiA와 블루투스 통신 표준 만든다2020.05.28
- 집 안에서 잃어버린 노트북, 블루투스 신호로 찾는다2020.05.08
- 애플·구글, '코로나19 추적' 공동보조…3대 쟁점2020.04.13
사용자가 이런 공격을 방지하기 위해서는 블루투스 장치 페어링 환경을 제어해 공격자 장치와 페어링되는 것을 방지해야 한다. 블루투스 5.1 표준에서는 이 공격을 방지하는 기능이 탑재돼 있다.
카네기 멜론 대학 CERT/CC와 블루투스 SIG는 사용자가 기기와 운영체제 제조사로부터 최신 업데이트를 설치했는지 확인해야 한다고 조언했다.
