보안뉴스 창간 17주년을 축하합니다!!

Home > 전체기사

블루투스 재연결이 위험해! 새로 등장한 블레사 취약점

입력 : 2020-09-17 11:30
페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기
한 번 연결됐었던 블루투스 장비들, 다시 연결할 때의 과정이 너무 쉬워
블루투스 시스템에서 선호되는 BLE 프로토콜의 지나친 편리성이 문제


[보안뉴스 문가용 기자] 퍼듀대학의 연구원들이 블루투스 저전력(BLE)에서 취약점을 발견했다. 전 세계 수십억 대의 사물인터넷 장비에 영향을 줄 만한 것이며, 안드로이드 장비들은 거의 대부분 이 취약점에 노출된 채 사용되고 있다고 한다. 이 취약점에는 블레사(BLESA)라는 이름이 붙었다.

[이미지 = utoimage]


블레사는 BLE 스푸핑 공격(BLE Spoofing Attacks)의 준말로, 블루투스 연결이 재차 성립되는 과정에서 발동된다. 재연결은 보안 전문가들의 관심이 잘 닿지 않는 곳이다. 여기서 재연결이란, 이미 블루투스를 통해 페어링이 된 두 개의 장비 중 하나가 연결 범위 바깥으로 이동했다가 다시 연결되는 현상을 말한다. 산업 현장에서는 빈번히 발생하는 현상이기도 하다.

공격자들은 재연결 시 필요한 인증 과정을 BLESA를 통해 우회해 자신들이 표적으로 삼은 장비에 접근해서 가짜 데이터를 보낼 수 있게 된다. 장비가 엉뚱한 기능을 발휘하거나 전혀 다른 역할을 담당하도록 만들 수 있다는 것이다. 또한 장비 담당자에게 거짓 정보를 심는 것도 가능하다.

BLE 프로토콜이 워낙 널리 사용되기 때문에 이 취약점은 상당히 광범위한 영향력을 발휘한다. BLE는 에너지 효율을 높여주고 사용이 편하기 때문에 제조사들 사이에서 가장 선호되며, 실제 수십억 대 블루투스 장비에 탑재되어 있다. 사용이 간편하다는 건 페어링 할 때 사용자가 직접 조작할 것이 거의 없다는 것인데, 바로 이 부분이 문제의 근원이다.

퍼듀대학의 보고서에 의하면 이 편리성이 BLESA 공격마저 편하게 만들어준다고 한다. “BLE 프로토콜은 BLE가 구현된 장비들끼리 얼마든지 연결되어 각종 정보를 주고받을 수 있도록 만들어졌습니다. 그래서 BLE 장비가 연결된 서버를 공격자가 발견하기만 하면 장비와 연결성에 대한 특성 정보를 공격자가 쉽게 가져갈 수 있습니다. 게다가 BLE는 애드버타이징 패킷(advertising packet)을 항상 평문으로 전송합니다. 악용하기 딱 좋죠.”

서버로부터 정보를 갈취한 공격자들은 자신들의 가짜 애드버타이징 패킷을 내보내기 시작한다. 그래서 과거에 연결되어 본 적 있던 클라이언트가 연결을 다시 시도할 때 이 가짜 패킷을 접하게 되고, 따라서 공격자들은 마치 자신들이 서버인 냥 클라이언트 장비에 접근할 수 있게 된다.

이를 해결하려면 두 가지 부분이 수정되어야 한다고 퍼듀대학은 보고서를 통해 제안했다.
1) 장비들 간 재연결이 이뤄질 때 인증이 필수가 아닌 경우가 많다. 재연결 시에도 인증을 필수로 하면 공격에 대한 위험도가 낮아질 수 있다.
2) 장비들 간 재연결이 이뤄질 때 인증 절차가 두 가지로 제공된다. 이는 공격자가 인증 과정을 아예 우회하는 게 가능하다는 것으로 귀결된다.

블레사 공격이 가능한 건 리눅스, 안드로이드, iOS 체제 모두에서다. 윈도에서 구현된 BLE는 아직까지 괜찮은 것으로 분석됐다. 퍼듀대학 전문가들은 애플, 구글 등에 이러한 사실을 알렸고, 애플은 지난 6월 이 취약점에 CVE-2020-9770이라는 번호를 부여하며 패치를 발표했다. 그러나 구글 장비들은 아직까지 취약한 상태라고 한다. 리눅스의 관련 개발 팀도 곧 패치를 발표할 거라고 약속했다.

한편 이번 달에만 블루투스 시스템에서 주요 취약점이 블레사를 포함해 두 개나 발견됐다. 하나는 블러투스(BLURtooth)로 익스플로잇 될 경우 블루투스 범위 내에 있는 공격자가 인증 키를 훔쳐 중간자 공격을 실시할 수 있게 해주는 것으로 분석됐다.

3줄 요약
1. 블루투스 시스템에서 또 치명적인 취약점 발견됨.
2. 블레사라는 취약점으로, 블루투스 장비 간 너무 쉬운 재연결 방식에 기인함.
3. 현재 수십억 대 장비가 위험한 상태. 특히 안드로이드 장비들이 위험.

[국제부 문가용 기자(globoan@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>

  •  
  • 0
  • 페이스북 보내기 트위터 보내기 네이버 밴드 보내기 카카오 스토리 보내기 네이버 블로그 보내기

  •  SNS에서도 보안뉴스를 받아보세요!! 
 하이젠 파워비즈 23년 11월 16일~2024년 11월 15일까지 아스트론시큐리티 파워비즈 2023년2월23일 시작 위즈디엔에스 2018 넷앤드 파워비즈 진행 2020년1월8일 시작~2021년 1월8일까지
설문조사
3월 15일부터 시행되고 있는 개정 개인정보보호법과 관련해 가장 까다롭고 이행하기 어려운 조항은 무엇인가요?
인공지능(AI) 등 자동화된 결정에 대한 정보주체 권리 구체화
접근권한 관리 등 개인정보 안전성 확보조치 강화 및 고유식별정보 관리실태 정기조사
영향평가 요약본 공개제도 도입 등 개인정보 영향평가제도
영상정보처리기기 및 안전조치 기준
개인정보 보호책임자의 전문성 강화 위한 전문CPO 지정
국외 수집·이전 개인정보 처리방침 공개 등 개인정보 처리방침 평가제도
손해배상책임 의무대상자 변경 및 확대
공공기관 개인정보 보호수준 평가 확대
기타(댓글로)