애플 비츠 이어폰, '도청 해킹' 취약점 뒤늦게 패치 작성일 06-21 41 목록 <div id="layerTranslateNotice" style="display:none;"></div> <strong class="summary_view" data-translation="true">소니·보스 등은 올 초 패치...애플은 결함 보고 1년 만에 '1B211' 배포</strong> <div class="article_view" data-translation-body="true" data-tiara-layer="article_body" data-tiara-action-name="본문이미지확대_클릭"> <section dmcf-sid="FnGmworNAz"> <p contents-hash="f38d36e9b9e44aa2052fb9382a72055e3f4396f6eec11c614a963be371ea589d" dmcf-pid="3LHsrgmjj7" dmcf-ptype="general">(지디넷코리아=백봉삼 기자)애플이 산하 오디오 브랜드 비츠(Beats)의 무선 이어폰 '비츠 스튜디오 버즈'에서 타인이 내 통화와 대화 내용을 몰래 도청할 수 있는 치명적인 보안 취약점을 확인, 소프트웨어 업데이트를 통해 수정했다.</p> <p contents-hash="2830a5dfd1cef372ac5f72af55c2115ba32db51f68ac8fd6e9360809fc30304f" dmcf-pid="0oXOmasAou" dmcf-ptype="general">결함 보고 약 1년 만에 이뤄진 보안 패치로, 경쟁사들 대비 수개월 늦은 조치다.</p> <p contents-hash="53ce3c98d3f7dc82648945ca756a8d0b033e11ba9ae8432741e57491032c7372" dmcf-pid="pgZIsNOccU" dmcf-ptype="general">21일 IT 전문 매체 아르스테크니카 등 외신에 따르면, 문제가 된 취약점은 'CVE-2025-20701'로 이름 지어졌다. 이는 대만 미디어텍의 자회사 아이로하(Airoha)가 제공하는 블루투스 오디오 소프트웨어 개발 키트(SDK)에서 발생한 버그다. 이 취약점을 악용하면 공격자가 사용자 동의 없이 블루투스 오디오 기기를 몰래 페어링할 수 있으며, 추가적인 실행 권한 없이도 원격으로 기기 접근 권한을 획득할 수 있다. 해당 결함의 심각도(CVSS) 평가는 10점 만점에 8.8점으로 '고위험' 수준에 해당한다.</p> <p contents-hash="ed6a6ae03c10e620e8e9c4cb6719012462a4edc966a4cf58ff83ed35a64e0ec6" dmcf-pid="UMScjeAiAp" dmcf-ptype="general">이 취약점이 뚫릴 경우, 블루투스 신호 범위 내에 있는 제3자가 원래 페어링된 사용자의 스마트폰이 아닌 자신의 기기를 비츠 스튜디오 버즈에 강제로 연결할 수 있게 된다.</p> <figure class="figure_frm origin_fig" contents-hash="0eb78060f830de0713f9a5d9d66f32a156d49949e81327f69cf9967b19d57089" dmcf-pid="uRvkAdcnN0" dmcf-ptype="figure"> <p class="link_figure"><img alt="비츠 스튜디오 버즈+(출처=애플 공식 웹사이트)" class="thumb_g_article" data-org-src="https://t1.daumcdn.net/news/202606/21/ZDNetKorea/20260621135305717qsdd.jpg" data-org-width="640" dmcf-mid="tXMBz5qFoq" dmcf-mtype="image" height="auto" src="https://img3.daumcdn.net/thumb/R658x0.q70/?fname=https://t1.daumcdn.net/news/202606/21/ZDNetKorea/20260621135305717qsdd.jpg" width="658"></p> <figcaption class="txt_caption default_figure"> 비츠 스튜디오 버즈+(출처=애플 공식 웹사이트) </figcaption> </figure> <p contents-hash="d6dffed225b0bf9538d0bc9afd5703d1978678b9301add9d1ca83a6a8fdf5fe6" dmcf-pid="7eTEcJkLk3" dmcf-ptype="general">독일 보안 기업 인시뉴에이터 소속 연구원인 데니스 기제(Dennis Giese)와 프리더 슈타인메츠(Frieder Steinmetz)는 지난해 6월 이 문제를 최초로 보고하며 "공격자가 이 취약점을 이용해 표적 기기의 통화 이력이나 연락처를 빼내고, 임의의 번호로 몰래 전화를 걸거나 통화 내용을 도청하는 등 악의적인 행위가 가능하다"고 경고했다.</p> <p contents-hash="d4dd01cb269f69f1a1f4b17b097867c003f1a20f606afa8bb16028a2a118b45c" dmcf-pid="zdyDkiEoaF" dmcf-ptype="general">애플은 결함이 보고된 지 약 1년 만인 이달 16일(현지시간), 비츠 스튜디오 버즈 전용 펌웨어 업데이트인 '1B211' 버전을 배포하며 해당 취약점을 뒤늦게 패치했다. 사용자는 아이폰이나 아이패드의 '설정' 앱 내 '블루투스' 메뉴, 혹은 맥의 '시스템 설정'에서 해당 기기 옆의 정보(i) 버튼을 눌러 펌웨어 버전을 확인하고 업데이트를 진행할 수 있다.</p> <p contents-hash="643733d004d0e848788015a30063f370e4614c0aefcd9c6c077eae7bd5926a12" dmcf-pid="qJWwEnDgot" dmcf-ptype="general">반면 동일한 취약점의 영향을 받은 다른 오디오 기기 제조사들은 애플보다 발 빠르게 대처한 것으로 나타났다. 자브라는 지난해 12월 '자브라 링크 390' 어댑터용 펌웨어 업데이트를 배포했으며, 소니·보스·JBL·마샬 등 주요 브랜드 역시 올해 초에 보안 패치 배포를 완료했다.</p> <p contents-hash="287f86323f519b5de9f105046ffeb46a203190aaa32ab4312ffeb69caddb0ec7" dmcf-pid="BiYrDLwaj1" dmcf-ptype="general">다행히 해당 취약점을 이용한 실제 해킹 피해 사례는 거의 보고되지 않았다. 아르스테크니카는 "공격을 실행하려면 해커가 피해자의 기기 근처(블루투스 범위 내)에 물리적으로 위치해야 하는 등 조건이 까다롭기 때문"이라고 설명했다.</p> <p contents-hash="f81d8f017c0de752a20a8e91a384cf2d2918a25ad51c73dec20fe001cfd290d6" dmcf-pid="bnGmworNg5" dmcf-ptype="general">보안 전문가들은 해킹 표적이 되는 것을 막기 위해 가장 확실한 방법인 '최신 펌웨어 업데이트'를 반드시 실행할 것을 당부했다. 아울러 업데이트를 완료하기 전이거나 무선 이어폰을 사용하지 않을 때는 스마트폰 등 기기의 블루투스 기능을 잠시 꺼두는 것이 안전하다고 조언했다.</p> <p contents-hash="977305fd32e4e58436fc6e7c30766900f640d41f60bdb22a5d3ddcffe5390682" dmcf-pid="KLHsrgmjgZ" dmcf-ptype="general">백봉삼 기자(paikshow@zdnet.co.kr)</p> </section> </div> <p class="" data-translation="true">Copyright © 지디넷코리아. 무단전재 및 재배포 금지.</p> 관련자료 이전 양자 컴퓨팅 시대, 개인정보 털리기 더 쉽다는데…KT가 제시한 보안 전략 06-21 다음 개인정보위, EQT·SK쉴더스 조사 장기화 논란…강민국 "결론 없이 수개월째 진행" 06-21 댓글 0 등록된 댓글이 없습니다. 로그인한 회원만 댓글 등록이 가능합니다.