저전력 블루투스 기술결함으로 보안취약점에 노출 (KISTI)

최근 오하이오 주립대학의 연구진들은 해킹 취약점에 노출될 수 있게 만드는 블루투스 장비의 보안결함을 발견한 것으로 나타나 블루투스 기술의 보안취약점에 대해 살펴보기로 한다.

전력소비를 경감시키도록 설계된 저전력 블루투스 장치는 현재 대다수 주변기기에 사용되고 있으며, 보안/의료/건강관리/가정용 엔터테인먼트 산업에 도입되고 있다 볼 수 있겠다. 특히 10미터의 반경 내 2.4기가헤르츠 주파수 대역에서 낮은 전력으로 데이터 송수신이 가능한 블루투스 기술인 저전력 블루투스(Bluetooth Low Energy)에서 발생하는 보안취약점은 해당 장치를 제어하는 모바일 어플리케이션과 통신하는 방식에서 발생하는 것으로 나타났다고 한다.

이번 연구를 주도한 Zhiqiang Lin 교수는 해당 기기가 최초 모바일 어플리케이션과 페어링된 이후 보안취약점이 노출되는 근본적인 기술결함이 있음을 언급하였는데, 모바일기기와 최초 통신을 설정하기 위해 블루투스 장치가 범용고유식별자(universally unique identifier)를 사용해 통신을 시작하는데 이때 저전력 블루투스 장치가 지문공격에 취약점이 노출되어 해커는 특정 블루투스 장치의 사용여부를 손쉽게 확인이 가능하며, 사용자의 기기로 전송되는 데이터를 탈취할 수도 있는 것이다.

연구진들은 자신들의 연구실에서 해킹 장비를 사용해 최대 1킬로미터 떨어진 수 백개의 저전력 블루투스 장치의 신호를 스니핑할 수 있었으며, 임의로 사이버공격자에 의해 장치 식별이 가능할 수 있었을 뿐 아니라 도청 및 무단접근에 취약점이 노출되었다.

이처럼 보안취약점으로 인해 해커가 기기 페어링 과정에 장치가 사용하는 암호화키를 강제로 탈취해 페어링된 순간 장치들 간 전달되는 데이터를 조작 또는 모니터링 할 수 있는 위험성이 지속적으로 제기되고 있어 기술결함을 보완할 수 있는 방안이 조속히 마련되어야 할 것으로 예상되고 있다.