블루투스 취약점을 이용하는 ‘블루본’이 제 2의 워너크라이 사태로 이어질 수 있다는 경고가 이어지고 있다. 블루본은 블루투스 기능이 활성화 돼 있는 기기에 웜 형태로 전파되며, 사용자 디바이스 뿐만 아니라 IoT 및 산업용 IoT(IIoT)에도 영향을 미칠 수 있다.

포티넷은 19일 블루본의 위험성을 경고하며 블루투스 취약점 패치를 실행하고 사용하지 않는 블루투스 기능은 꺼 둘 것을 조언했다. 블루본은 웜과 같은 속성을 가지고 있어 취약한 호스트를 적극적으로 탐색하며, 감염된 기기는 연쇄적으로 다른 기기를 감염시킬 수 있다. 안드로이드, iOS, Mac OSX, 윈도우 시스템은 물론, 스마트워치, 피트니스 트랙커 등 모든 블루투스 지원 장치가 위험에 노출될 수 있다. 이 같은 취약점은 표준 블루투스 자체가 아니라 와이파이, 블루투스 하드웨어 컨트롤러 칩에 포함돼 있다.

블루본은 블루투스 통신 기반의 소비자 제품 외에도 블루투스 기술을 통해 네트워크에 연결된 수 많은 상업용 IoT 장치에도 영향을 줄 수 있다. 이 취약점의 정확한 규모와 잠재력에 대해서는 정확히 알려진 것이 없다.

아직 취약점 악용 공격이 공식적으로 발표되지 않았지만 공격이 일어날 가능성은 언제든 있다. 블루투스를 이용하는 전 세계 수억개의 기기를 이용한 공격이 발생할 수 있다. 블루투스는 대부분의 네트워크 보안 도구로 검사 및 감시되는 통신 프로토콜이 아니기 때문에, 침입 탐지 시스템과 같은 기존의 보안 장치로는 공격을 감지하지 못한다.

(이미지 출처: 포티넷 블로그 https://blog.fortinet.com/2017/09/14/blueborne-may-affect-billions-of-bluetooth-devices)

취약점 내재된 기기, 10초 내 해킹

블루본 멀웨어는 블루투스 지원 장치를 검색한 후, 관련 취약점이 있는지 확인한다. 취약점이 발견되면 해킹은 10초 이내에 완료된다. 장치가 감염되면, 공격자는 장치에서 임의의 명령을 실행할 수 있으며, 액세스는 물론이고 데이터를 탈취할 수 있다. 공격이 이뤄진 즉시, 취약점이 있는 다른 블루투스 장치를 찾아내 연쇄적으로 감염시키고 확산된다.

포티넷 보안연구소인 포티가드 랩은 블루투스 장치가 네트워크 보안 장치의 킬-체인에 속하지 않는다고 해도 블루본이 잠재적으로 강력한 전달 메커니즘을 가지고 있기 때문에 블루투스의 취약점 중 하나를 먼저 악용하는 다단계 공격으로 이어질 것이라고 전망했다.

그 후 감염된 장치에 랜섬웨어, 원격 익스플로잇 킷, 기타 위험한 파일을 포함한 멀웨어를 추가 감염시킨다. 2단계 공격은 C&C 서버와의 통신 과정에서 네트워크 및 엔드포인트 보안 장치에 의해 감지·차단 될 수 있다.

포티넷은 블루본을 대비하기 위해 사용하지 않는 블루투스 기능은 비활성화하며, 패치를 업데이트해야 한다고 조언했다.