Home > 전체기사
블루투스 재연결이 위험해! 새로 등장한 블레사 취약점
  |  입력 : 2020-09-17 11:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기
한 번 연결됐었던 블루투스 장비들, 다시 연결할 때의 과정이 너무 쉬워
블루투스 시스템에서 선호되는 BLE 프로토콜의 지나친 편리성이 문제


[보안뉴스 문가용 기자] 퍼듀대학의 연구원들이 블루투스 저전력(BLE)에서 취약점을 발견했다. 전 세계 수십억 대의 사물인터넷 장비에 영향을 줄 만한 것이며, 안드로이드 장비들은 거의 대부분 이 취약점에 노출된 채 사용되고 있다고 한다. 이 취약점에는 블레사(BLESA)라는 이름이 붙었다.

[이미지 = utoimage]


블레사는 BLE 스푸핑 공격(BLE Spoofing Attacks)의 준말로, 블루투스 연결이 재차 성립되는 과정에서 발동된다. 재연결은 보안 전문가들의 관심이 잘 닿지 않는 곳이다. 여기서 재연결이란, 이미 블루투스를 통해 페어링이 된 두 개의 장비 중 하나가 연결 범위 바깥으로 이동했다가 다시 연결되는 현상을 말한다. 산업 현장에서는 빈번히 발생하는 현상이기도 하다.

공격자들은 재연결 시 필요한 인증 과정을 BLESA를 통해 우회해 자신들이 표적으로 삼은 장비에 접근해서 가짜 데이터를 보낼 수 있게 된다. 장비가 엉뚱한 기능을 발휘하거나 전혀 다른 역할을 담당하도록 만들 수 있다는 것이다. 또한 장비 담당자에게 거짓 정보를 심는 것도 가능하다.

BLE 프로토콜이 워낙 널리 사용되기 때문에 이 취약점은 상당히 광범위한 영향력을 발휘한다. BLE는 에너지 효율을 높여주고 사용이 편하기 때문에 제조사들 사이에서 가장 선호되며, 실제 수십억 대 블루투스 장비에 탑재되어 있다. 사용이 간편하다는 건 페어링 할 때 사용자가 직접 조작할 것이 거의 없다는 것인데, 바로 이 부분이 문제의 근원이다.

퍼듀대학의 보고서에 의하면 이 편리성이 BLESA 공격마저 편하게 만들어준다고 한다. “BLE 프로토콜은 BLE가 구현된 장비들끼리 얼마든지 연결되어 각종 정보를 주고받을 수 있도록 만들어졌습니다. 그래서 BLE 장비가 연결된 서버를 공격자가 발견하기만 하면 장비와 연결성에 대한 특성 정보를 공격자가 쉽게 가져갈 수 있습니다. 게다가 BLE는 애드버타이징 패킷(advertising packet)을 항상 평문으로 전송합니다. 악용하기 딱 좋죠.”

서버로부터 정보를 갈취한 공격자들은 자신들의 가짜 애드버타이징 패킷을 내보내기 시작한다. 그래서 과거에 연결되어 본 적 있던 클라이언트가 연결을 다시 시도할 때 이 가짜 패킷을 접하게 되고, 따라서 공격자들은 마치 자신들이 서버인 냥 클라이언트 장비에 접근할 수 있게 된다.

이를 해결하려면 두 가지 부분이 수정되어야 한다고 퍼듀대학은 보고서를 통해 제안했다.
1) 장비들 간 재연결이 이뤄질 때 인증이 필수가 아닌 경우가 많다. 재연결 시에도 인증을 필수로 하면 공격에 대한 위험도가 낮아질 수 있다.
2) 장비들 간 재연결이 이뤄질 때 인증 절차가 두 가지로 제공된다. 이는 공격자가 인증 과정을 아예 우회하는 게 가능하다는 것으로 귀결된다.

블레사 공격이 가능한 건 리눅스, 안드로이드, iOS 체제 모두에서다. 윈도에서 구현된 BLE는 아직까지 괜찮은 것으로 분석됐다. 퍼듀대학 전문가들은 애플, 구글 등에 이러한 사실을 알렸고, 애플은 지난 6월 이 취약점에 CVE-2020-9770이라는 번호를 부여하며 패치를 발표했다. 그러나 구글 장비들은 아직까지 취약한 상태라고 한다. 리눅스의 관련 개발 팀도 곧 패치를 발표할 거라고 약속했다.

한편 이번 달에만 블루투스 시스템에서 주요 취약점이 블레사를 포함해 두 개나 발견됐다. 하나는 블러투스(BLURtooth)로 익스플로잇 될 경우 블루투스 범위 내에 있는 공격자가 인증 키를 훔쳐 중간자 공격을 실시할 수 있게 해주는 것으로 분석됐다.

3줄 요약
1. 블루투스 시스템에서 또 치명적인 취약점 발견됨.
2. 블레사라는 취약점으로, 블루투스 장비 간 너무 쉬운 재연결 방식에 기인함.
3. 현재 수십억 대 장비가 위험한 상태. 특히 안드로이드 장비들이 위험.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기


  •  SNS에서도 보안뉴스를 받아보세요!! 
그린존시큐리티 4개월 배너모니터랩 파워비즈 6개월 2020년6월22~12월 22일 까지넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지위즈디엔에스 2018파워비즈배너 시작 11월6일 20181105-20200131
설문조사
코로나19 팬더믹 이후, 가장 기승을 부리고 있는 사이버 공격 유형은 무엇이라고 보시나요?
랜섬웨어
피싱/스미싱
스피어피싱(표적 공격)/국가 지원 해킹 공격
디도스 공격
혹스(사기) 메일
악성 앱
해적판 소프트웨어
기타(댓글로)