제로데이: 블루투스 취약점으로 수백만 대의 헤드폰이 도청 장치로 변질

제로데이: 블루투스 취약점으로 수백만 대의 헤드폰이 도청 장치로 변질

주요 제조업체의 인기 모델에 탑재된 블루투스 칩셋이 취약합니다. 해커는 이 취약점을 악용하여 통화를 시작하고 기기를 도청할 수 있습니다.

무선 헤드폰과 스마트폰의 연결이 새로운 블루투스 공격의 표적이 되고 있습니다.

(이미지: Shutterstock/carballo)

2025년 6월 26일 오후 12시 15분 (중부유럽 표준시)

보안

작성자

크리스토퍼 쿤츠 박사

목차

제로데이: 블루투스 취약점으로 수백만 대의 헤드폰이 도청 장치로 변질

도청, 메모리 스누핑 및 정보 유출

논란의 여지가 있는 취약점의 심각성

영향 대상: 소니, JBL 등 수백만 대의 기기

제조업체의 미흡한 대응

업데이트 여부 불확실

많은 블루투스 헤드폰의 심각한 보안 취약점으로 인해 공격자가 원격으로 기기의 데이터를 읽고 연결을 장악할 수 있습니다. 이 취약점은 독일 보안 회사 ERNW의 연구원들이 발견했습니다.

연구진은 올해 열린 TROOPERS 보안 컨퍼런스에서 해당 취약점을 발표했습니다.

 다양한 제조업체의 수백만 대의 기기가 영향을 받은 것으로 추정되지만, 아직 문제 해결을 위한 업데이트는 제공되지 않았습니다. 그럼에도 불구하고 연구진은 공격 가능성은 있지만 공격 대상은 제한적이라고 안심시켰습니다.

이 취약점은 "True Wireless Stereo"(TWS) 헤드폰으로 특히 유명한 대만 제조업체 Airoha의 Bluetooth SoC(시스템온칩)에 존재합니다.

Airoha 칩을 사용하는 소형 인이어 헤드폰은 스마트폰과 같은 재생 기기의 스테레오 사운드를 지연 없이 재생할 수 있습니다.

Sony, JBL, Marshall, Bose와 같은 유명 제조업체에서도 이 칩을 사용하지만, 다른 공급업체의 Bluetooth 기술도 탑재하고 있습니다.

Airoha는 자체 개발한 Bluetooth 칩에 자체 프로토콜을 적용하여 무선 통신을 통해 기기의 작동 및 플래시 메모리를 조작할 수 있도록 했습니다.

블루투스 저전력(BLE)과 "클래식" 블루투스(BD/EDR)를 통해 접근 가능한 이 프로토콜은 제조사 앱과의 상호작용을 위한 것으로 추정되지만, 호기심 많은 보안 연구원들에게는 매력적인 요소였습니다.

연구원들은 앱 로그인이나 일반적인 블루투스 "페어링" 과정 없이도 다양한 제조사의 헤드폰을 원격으로 탈취할 수 있었습니다.

 이어폰의 플래시 메모리와 RAM에 대한 전체 접근 권한을 획득함으로써 실제 사용자의 스마트폰과 같은 다른 기기와의 연결도 장악할 수 있었습니다.

도청, 메모리 스누핑, 정보 유출

연구원들은 블루투스 칩의 작동 메모리에 접근하여 사용자가 현재 재생 중인 미디어(팟캐스트나 음악 등)를 초기에 알아낼 수 있었습니다.

 그러나 이 공격은 기기마다 메모리 주소가 다르기 때문에 붐비는 버스에서 데이터를 무작위로 읽어낼 수 없어 공격 방식을 조정해야 했습니다.

안드로이드 기기의 경우, 연구원들은 기기의 전화번호와 수신 통화, 심지어 통화 내역과 휴대전화의 주소록까지 알아낼 수 있었습니다.

에어로하 기기 공격 사례

ENRW 연구원들은 에어로하 칩셋이 장착된 헤드폰에서 어떤 음악이 재생되는지 알아낼 수 있었습니다. 이 영상은 레이디 가가의 노래입니다.

(이미지: ENRW)

연구원들은 헤드폰에서 블루투스 연결의 암호화 키를 복사하여 휴대폰과 헤드폰 간의 연결을 탈취할 수 있었습니다. 이후 다양한 방법이 있습니다. 전화를 걸거나 거부하고, 시리(Siri)나 제미니(Gemini)와 같은 음성 비서를 실행하고, 여러 가지 방법으로 피해자의 정보를 도청할 수 있습니다.

도청 공격은 헤드폰을 도청 장치로 변환합니다. 공격자는 연결된 스마트폰을 헤드폰으로 위장하여 녹음된 소리를 마이크에서 다른 기기로 전송합니다. 하지만 많은 무선 이어폰이 단일 기기와만 연결되기 때문에 이러한 공격은 쉽게 감지할 수 있습니다.

피해자는 갑자기 헤드폰에서 음악이나 통화 소리가 들리지 않게 되고, 이는 곧 의심을 품게 됩니다.

두 번째 방법은 휴대폰에 헤드셋을 착용한 것처럼 위장하여 공격자에게 전화를 걸도록 속이는 것입니다.

피해자가 스마트폰에 주의를 기울이지 않으면 블루투스 스파이는 이제 기기에서 발생하는 모든 일을 엿들을 수 있습니다.

이러한 공격이 이론적으로는 위협적으로 보일지라도, ERNW 연구원들은 안심할 수 있다고 말합니다. 도청 공격을 실행하려면 많은 조건이 충족되어야 합니다. 무엇보다도 공격자는 블루투스 단거리 무선 통신 범위 내에 있어야 합니다.

인터넷을 통한 공격은 불가능합니다. 또한 주의를 끌지 않고 여러 가지 기술적 단계를 수행해야 합니다.

그리고 블루투스 연결을 도청할 이유가 있어야 하는데, 발견자들에 따르면 이는 소수의 대상에게만 가능한 것으로 보입니다.

 예를 들어 유명인, 언론인, 외교관뿐만 아니라 정치적 반체제 인사나 보안이 중요한 기업의 직원도 공격 대상이 될 수 있습니다.

취약점의 심각성의심스러운

취약점의 심각성에 대해 발견자와 제조사 Airoha 사이에 의견 차이가 있습니다.

Airoha 측은 하나의 심각한 취약점(CVE-2025-20702, CVSS 9.6/10)과 두 개의 고위험 취약점(CVE-2025-20700과 CVE-2025-20701, 모두 CVSS 8.8/10)을 추정하는 반면, Airoha 측은 이에 동의하지 않으며 공격의 복잡성과 연결된 휴대전화에 미치는 영향 부족을 지적합니다.

Airoha는 이 취약점에 대해 총 3개의 CVE ID를 보유하고 있습니다.

CVE-2025-20702: CVSS 9.6/10(위험 "치명적" 논란, 위 참조): Airoha 독점 프로토콜의 핵심 기능

CVE-2025-20700: CVSS 8.8/10(위험 "높음"): GATT 서비스 인증 누락

CVE-2025-20701: CVSS 8.8/10(위험 "높음"): 블루투스 페어링 인증 누락

영향을 받는 기기: Sony, JBL 등 수백만 대의 기기

전 세계적으로 이 취약점의 영향을 받는 기기의 수는 불분명합니다.

공격자는 수백만 대의 기기를 버그로 만들거나 메모리를 읽을 수 있습니다. 연구원들이 블로그 게시물에서 강조했듯이, 영향을 받는 것으로 의심되는 모든 블루투스 헤드폰 모델 중 일부만 테스트할 수 있었습니다.

그러나 다음 모델은 어떤 경우에도 취약하며, 때로는 Airoha 칩에 대한 공격에만 취약합니다.

제조사 모델

베이어다이나믹 아미론 300

보스 콰이어트 컴포트 이어버드

earisMax 블루투스 아우라캐스트 송신기

자브라 엘리트 8 액티브

샤오미 레드미 버즈 5 프로

Jlab 에픽 에어 스포츠 ANC

JBL 라이브 버즈 3, 인듀어런스 레이스 2

마샬 워번 III, 스탠모어 III, 액톤 III, 메이저 IV 및 V, 마이너 IV, 모티브 II

모어랩스 에코비츠

소니 WH-1000XM{4,5,6}, WF-1000XM{3,4,5}, WH-CH520, WH-CH720N, WH-XB910N, WI-C100, WF-C510-GFP, WF-C500, 링크 버즈 S, ULT 웨어

테우펠 에어리 TWS 2

ERNW 연구원들은 100가지가 넘는 다양한 기기 유형이 영향을 받을 수 있습니다.

그러나 많은 블루투스 기기에 Airoha 칩이 감지되지 않은 채 설치되어 있기 때문에 포괄적인 평가를 내리는 것은 불가능합니다.

전문가들은 일부 제조업체가 자사 기기에 대만 제조업체의 칩이 포함되어 있다는 사실조차 인지하지 못하고 있다고 설명합니다. 이들은 일부 개발을 하청업체에 아웃소싱했습니다.

주요 제조업체인 소니, 보스, JBL은 작년에 판매된 14억 대의 헤드폰 중 시장 점유율이 20%에 달하지만, 취약한 모델은 소수에 불과합니다. 전체 판매량의 1%에 불과하더라도, 약 300만 대의 취약한 기기가 있다는 의미입니다.

22%의 시장 점유율로 헤드폰 제조업체 중 1위를 차지한 애플은 이번에는 영향을 받지 않았습니다(작년에 무선 헤드폰에서 문제가 발생하긴 했지만요).

정품 AirPods에는 Airoha 칩이 포함되어 있지 않지만, 온라인 마켓플레이스에서 신뢰도가 각기 다른 중국 제조업체의 다양한 복제품에는 포함되어 있습니다.

제조업체의 불충분한 대응

TROOPERS 보안 컨퍼런스 발표에서 발견자들은 제조업체 Airoha를 비판했습니다. Airoha는 정보 페이지에서 보안 연구원들이 3~5일 이내에 답변을 제공하고 PGP 암호화 이메일을 지원하겠다고 약속했지만, 실제로는 그렇지 않았습니다.

보안 연구원들은 올해 3월 25일 Airoha에 취약점에 대한 자세한 정보를 보냈지만, 대만 업체가 답변을 하기까지는 5월 말, 즉 두 달이 더 걸렸습니다.

 연락을 받은 세 헤드폰 제조업체 중 단 한 곳만 보안 공지에 응답했습니다.

그럼에도 불구하고 일주일 후인 2025년 6월 4일, Airoha는 오류를 수정한 업데이트된 소프트웨어 개발 키트(SDK)를 고객들에게 제공했습니다.

업데이트? 불확실

하지만 Sony, JBL 등이 펌웨어 업데이트를 통해 취약점을 수정할지 여부와 시기는 아직 불확실합니다. 본 기사를 위한 조사 과정에서 저희는 ERNW에서 제공한 영향받는 기기 개요에서 헤드폰 모델을 확인했습니다.

 절반에 가까운 기기의 펌웨어 업데이트 정보는 찾을 수 없었습니다. 제조사 앱을 통해서만 헤드폰 사용자에게 배포되기 때문입니다.

다른 모든 기기의 최신 펌웨어는 2025년 5월 27일 이전 날짜로, Airoha가 SDK를 업데이트하기 전에 배포되었습니다.

즉, 대다수 기기에서 이 버그가 아직 수정되지 않았을 가능성이 높으며, 따라서 "제로데이"라고 볼 수 있습니다.

따라서 연구원들은 기술적 구현이나 "개념 증명" 익스플로잇에 대한 세부 정보를 아직 공개하지 않고 있습니다.

제조사 업데이트가 제공되는 즉시 업데이트가 제공될 예정이며, 헤드폰 사용자는 블루투스 공격으로부터 기기를 보호할 수 있습니다.

제조사 앱은 일반적으로 펌웨어 업데이트를 담당하지만, 일상 생활에서 거의 사용되지 않으므로 버그가 수정되기까지는 오랜 시간이 걸릴 가능성이 높습니다.

설상가상으로 일부 기기는 더 이상 생산 및 업데이트가 제공되지 않을 수도 있습니다.

 https://www.heise.de/en/news/Zero-day-Bluetooth-gap-turns-millions-of-headphones-into-listening-stations-10460704.html

https://insinuator.net/2025/06/airoha-bluetooth-security-vulnerabilities/

블루투스 취약점 때문에 헤드폰 과 이어폰 이 도청 될수도 있다는 외신 기사입니다. 

AIROHA 칩셋에서 발견된 취약점인데.. 다른 제조업체 칩셋 은 어떻게 되어있을지 정말 궁금합니다.