마이크로소프트가 언급한 취약점은 지난달 구글이 BLE 기반의 타이탄(Titan) 보안키를 모두 회수하고 고객에게 무료 교체 서비스를 제공하는 것과 동일한 보안 결함이다. CVE-2019-2102가 할당된 이 취약점은 올해 초 두 명의 마이크로소프트 보안연구원인 에릭 피터슨(Erk Peterson)과 맷 비버(Matt Beaver)에 의해 발견되었다.
둘은 BLE 페어링 프로토콜 구현의 잘못된 구성으로 인해 피해자와 가까운 범위의 공격자가 사용자의 인지나 상호작용 없이 시스템(스마트폰, 랩톱, PC)에 악성 BLE 장치를 페어링 할 수 있었다. 당시 BLE와 호환되는 구글 타이탄 및 페이티안(Feitian) 보안 키가 이 취약점의 영향을 받았고, 두 회사는 고객에게 대체품을 제공했다.
현재 마이크로소프트는 윈도우 사용자가 동일한 CVE-2019-2102 취약점에 취약한 다른 BLE 보안키를 사용하는 경우에 이를 보호하기 위한 조치를 취했다. 마이크로소프트는 "이 문제를 해결하기 위해 페어링 구성 문제가 있는 BLE 페어링을 막았다."라고 2019년 6월 패치 튜스데이 업데이트의 보안권고문을 통해 발표했다. 즉 이 보안업데이트(ADV190016)를 적용한 후에는 윈도우 사용자는 이 공격에 취약할 수 있는 알려지지 않은 BLE 기기 페어링에 대해 OS 수준에서 보호된다.
지난주 구글은 CVE-2019-2102에 대한 수정을 포함하는 안드로이드 운영체제용 보안 패치를 발표했다. 공격자가 이 BLE 프로토콜 구성을 악용하여 악의적인 BLE 장치를 안드로이드 기기에 연결하는 것을 방지한다. 마이크로소프트의 ADV190016도 윈도우 사용자에게 동일한 기능을 제공한다. 리눅스 및 맥 사용자의 경우 이 문제에 대해 구글의 조언을 따르고 공격자가 실제로 가까이 있지 않을 환경에서 BLE 보안키와 운영체제를 쌍으로 연결해서 사용하는 것이 좋다.
★정보보안 대표 미디어 데일리시큐!★