이석원 기자
싱가포르 폴리테크닉디자인대학과 싱가포르과학기술연구청 공동 연구팀이 마이크로소프트 서피스 랩톱3, 서피스 고2, 델 에일리언웨어 m17 R3 등 적어도 1,400개 모델 가전과 산업용 제품에 영향을 미치는 블루투스 취약점인 브렉투스(BrakTooth)를 발표했다.
브렉투스는 11개사가 제조한 SoC 13종에 사용되는 블루투스 소프트웨어 스택에 내재된 취약점 16종 총칭. 노트북과 스마트폰, 산업용, 사물인터넷 기기 등 1,400개 모델 이상에 영향을 미친다고 볼 수 있다. 브렉투스라고 명명된 취약점 16종은 각각 심각도와 영향이 다르지만 그 중에서도 최악이라고 인정된 CVE-2021-28139는 원격 블루투스 LMP 패킷을 통해 ESP32 펌웨어에 구현된 모든 기능을 수행하기 때문에 연구팀은 업체 측에 빠른 대응을 호소하고 있다.
브렉투스 영향을 받는 장치 중에서도 대표적인 건 마이크로소프트 서피스 랩톱3, 서피스 고2, 서피스 프로7, 서피스 북3, 델 옵티플렉스 5070, 에일리언웨어 M17 R3, 소니 엑스페리아 XZ2 등이다. 차량용 멀티미디어 전자 제어 장치와 인포테인먼트 시스템, 비행 오디오 시스템 중에도 브렉투스 영향을 받는 SoC를 탑재한 게 있으며 볼보 트럭인 볼보 FH도 영향을 받고 있다고 한다.
연구팀은 이번 발표 전에 브렉투스가 내재된 SoC를 제조하는 11개사에 통지했으며 이 가운데 인피니언, 블루트럼테크놀러지, 에스프레시프시스템즈는 패치를 내놨고 인텔, 퀄컴, 주하이지엘리테크놀러지, 액션테크놀러지는 현재 지원 중이라고 한다. 또 에스프레시프시스템즈와 샤오미는 자사 버그 포상금 프로그램에 상금도 제시했다. 브렉투스를 통한 개념 증명용 도구 내용은 인텔이 패치 배포를 완료하는 2021년 10월말 공개 예정이다. 관련 내용은 이곳에서 확인할 수 있다.
정용환 기자
