[이코노미스트 우승민 기자] 국내에서도 판매 중인 샤오미 무선 이어폰 일부 모델에서 통화 관련 정보가 외부로 새어 나갈 수 있는 보안 취약점이 확인됐다. 별도 인증 없이 원격 공격이 가능한 구조로 드러나 이용자들의 주의가 요구된다.

10일 업계에 따르면 한국인터넷진흥원(KISA)은 최근 보안 공지를 통해 샤오미 블루투스 이어폰 '레드미 버즈' 시리즈 일부에서 보안 취약점이 확인됐다며 사용자 주의를 당부했다.

문제가 확인된 제품은 레드미 버즈 3 프로, 4 프로, 5 프로, 6 프로 등 4종이다. KISA에 따르면 이들 기기에서는 정보 노출 취약점과 서비스 거부(DoS) 취약점이 동시에 확인됐다. 현재까지 공식 보안 패치가 제공되지 않아, 사용하지 않을 때는 블루투스를 비활성화하는 등 예방 조치가 필요하다고 권고했다.

미국의 보안 기관 CERT 조정 센터 역시 같은 취약점을 공지하며 경고에 동참했다. 두 기관은 공격자가 블루투스 연결 범위 안에만 들어오면 별도의 페어링 과정 없이 악성 신호를 보내 기기를 원격 공격할 수 있는 구조라고 설명했다.

특히 정보 노출 취약점은 통화 관련 데이터가 외부로 유출될 수 있다는 점에서 심각성이 크다. 기기가 비정상 명령을 받을 경우 초기화되지 않은 메모리 영역이 외부로 반환되는 구조적 결함을 악용하는 방식으로, 공격자는 통화 상대방 전화번호 등 민감한 메타데이터에 접근할 수 있는 것으로 분석된다. 통화 중이거나 직후 공격이 이뤄질 경우 정보가 그대로 노출될 가능성이 있다.

또 다른 취약점은 대량의 명령을 보내 기기 자원을 과도하게 소모시키는 방식이다. 이 경우 이어폰이 정상 작동하지 않거나 연결이 끊기는 등 사용 장애가 발생할 수 있다.

레드미 버즈 프로 시리즈는 합리적인 가격 대비 성능으로 국내에서도 판매량이 높은 제품군이다. 최신 모델은 온라인 쇼핑몰에서 10만원 이하 가격대로 유통되며 대중적인 선택지로 자리 잡았다.

샤오미는 현재 공급업체들과 협력해 업데이트를 준비 중인 것으로 알려졌다. 최근 출시된 일부 제품에는 이미 개선된 소프트웨어가 적용돼 이번 취약점의 영향을 받지 않는다는 설명이다.

이번 문제는 국내 연구진이 발견해 국제 보안 체계에 보고하면서 알려졌다. 전문가들은 무선 기기 사용이 늘어나는 만큼 이용자들이 공공장소에서 블루투스 연결 상태를 수시로 점검하고, 제조사의 업데이트 공지를 확인하는 습관이 필요하다고 조언한다.

ⓒ이코노미스트(https://economist.co.kr) '내일을 위한 경제뉴스 이코노미스트' 무단 전재 및 재배포 금지