‘샤오미 이어폰 쓰면 통화 엿들을 수도’…일부 제품 보안 취약점 발견

국내에서도 인기를 얻었던 중국 샤오미의 블루투스 무선이어폰 제품에서 통화정보 탈취가 가능한 보안취약점이 발견돼 주의가 요구된다.

미국의 비영리 보안 기관 CERT 조정센터가 9일 레드미 버즈 시리즈 일부 모델에서 정보 유출 및 서비스 거부(DoS) 취약점이 확인됐다며 사용에 각별한 주의를 당부했다.

앞서 한국인터넷진흥원(KISA)도 지난 5일 샤오미사 레드미 버즈 프로 제품 사용을 주의하라고 보안공지한 바 있다. 문제가 된 제품은 레드미 버즈 3·4·5·6 프로 모델이다. 이들 제품에 정보 유출 취약점과 서비스 거부(DoS) 공격 취약점이 존재한다는 게 KISA 판단이다.

공격자는 블루투스 통신 범위 내에서 사전 페어링이나 인증 없이 조작된 신호를 기기 내부 채널로 전송해 통화 관련 중요 데이터를 노출시키거나 펌웨어 오류를 반복적으로 발생시킬 수 있는 것으로 전해졌다.

KISA는 이 제품에 보안 패치가 제공되지 않아 인파 밀집 지역에서 이어폰을 사용하지 않을 때는 블루투스 기능을 비활성화하라고 조언했다.

샤오미의 레드미 버즈 프로 시리즈는 샤오미의 대표적인 가성비 무선이어폰이다. 국내 시장에서도 인지도 높은 제품으로, 최신 기종인 레드미 버즈 6 프로는 현재 국내 네이버 스마트스토어 등에서 약 8만 원 안팎에 판매되고 있다.

샤오미코리아는 일부 칩 공급업체가 구글 패스트 페어(Google Fast Pair) 프로토콜 관련 비표준 구성을 사용해 발생한 문제로 보고 있다. 최근 출시된 제품들의 경우 이미 업데이트를 마쳐 문제가 없다는 입장이다.

샤오미코리아 관계자는 “해당 사안에 대해 인지하고 있으며, 당사는 구글을 비롯한 관계사들과 지속적으로 소통하면서 공공업체들과 무선 업데이트(OTA) 업데이트를 통해 문제를 해결하기 위해 노력하고 있다”며 “앞으로도 사용의 안전을 최우선으로 하며 모든 문제에 책임감있게 대응할 것을 약속드린다”고 말했다.

유현진 기자