USB 연동 스피커가 “공중에서” PC를 감염시키는 방식…크리에이티브 사운드 블래스터 취약점 연구

가격은 약 283달러(미국 판매가 기준)인 블루투스·USB 연동 스피커가, 사용자의 손이나 직접적인 페어링 없이도 ‘연결된 PC’를 감염시키는 시나리오가 실제 연구로 제시됐다. Ars Technica에 따르면 보안 연구자 라스무스 무라츠(Rasmus Moorats)는 Creative Technologies의 Sound Blaster Katana V2X에서, 스피커에 펌웨어를 원격으로 바꿔치기한 뒤 그 기능을 이용해 키입력(HID)을 통해 PC로 명령을 전달하는 공격 흐름을 입증했다.

핵심은 “페어링 없이” 가능한 CTP 명령과 펌웨어 업로드

무라츠는 리눅스 도구를 만들기 위해 스피커와 통신을 시도하다가, 스피커가 사용하는 것으로 추정되는 프로토콜(CTP: Creative Transport Protocol)을 통해 장치 제어가 가능하다는 점을 발견했다. CTP는 블루투스나 USB로 연결된 장치가 스피커에 명령을 보내(예: LED 색, 이퀄라이저 설정 변경) 응답을 받을 수 있게 해준다.

문제는 인증 절차가 사실상 없었다는 데 있다. 연구 결과에 따르면 블루투스로 접근한 장치가 스피커에 “페어링 없이도” 연결할 수 있었고, 특히 CTP 명령 중 하나가 “새 펌웨어 업로드”를 허용했다. 이 과정은 코드 서명 같은 검증 메커니즘을 거치지 않았고, 그 결과 스피커의 공식 펌웨어를 공격자가 만든 펌웨어로 교체할 수 있었다.

공격 시연: 원격 펌웨어 교체 → 재부팅 → ‘키 입력’ 전달

무라츠는 우선 펌웨어를 교체해 LED 화면에 “patched”라는 문구를 출력하는 간단한 교체물을 넣는 데 성공했다. 이후 그는 스피커 내부에서 실행되는 실시간 운영체제 FreeRTOS에 관심을 돌렸다. Ars Technica가 전한 내용에 따르면, 이 펌웨어에는 스피커가 키보드·마우스·웹캠 같은 주변기기처럼 동작할 수 있도록 하는 HID(인간 인터페이스 장치) 관련 기능이 포함돼 있었다.

스피커는 기본적으로는 제한된 HID만 제공하지만, 무라츠는 펌웨어가 USB 디스크립터(장치의 “능력”을 알리는 기술 정보)를 바꿀 수 있음을 확인했다. 이어서 스피커가 키보드로 동작하는 디스크립터를 추가로 구성하고, 펌웨어에 내장된 키 입력 전송 코드를 활용해 PC에 키스트로크를 전달하는 연결고리를 만들었다.

연구자는 이를 결합해, 실제 사용자 개입 없이 “공중에서(Over the air)” 스피커에 커스텀 펌웨어를 업로드하고 재부팅·플래시 과정을 거친 뒤, 특정 문자열을 입력하는 데까지 성공했다. Ars Technica에 따르면 그는 글에 “정책을 설명하는 수준의 개념 증명”으로서 키 입력이 실제로 전달됨을 보여줬으며, 실제 공격이라면 PowerShell 같은 명령 실행 창을 여는 키 입력 이후 악성 명령을 주입하는 식으로 확장될 수 있다고 시사했다.

“취약점”의 경계: 원격 공격과 제품 설계의 책임

이번 사안에서 특히 주목되는 지점은 공격 표면이 “스피커-스피커”가 아니라 “스피커-연결된 PC”로 이어진다는 점이다. 즉, PC 운영체제의 전통적 원격공격(브라우저 취약점, 네트워크 서비스 침투 등)보다 훨씬 덜 예상되는 경로로, 주변기기가 ‘브리지’ 역할을 하며 사용자 PC로 명령을 넘겨줄 수 있다.

또 하나의 쟁점은 시장에서 호평을 받은 제품이더라도, 펌웨어 업데이트 체계가 공격자에게 열려 있거나(서명 부재), 제어 채널이 인증 없이 열려 있다면 IoT/주변기기 범주의 보안 위험이 현실화될 수 있다는 점이다. 무라츠의 발견처럼 “블루투스 범위 안에서 스피커가 특정 명령을 받아들이는 구조”는 제조사가 의도한 기능과 별개로, 보안 통제 실패가 곧바로 원격 악용으로 연결될 수 있음을 보여준다.

사용자와 기업이 지금 할 일

이 유형의 공격은 일반적인 PC 보안 설정만으로는 완전히 방어하기 어렵다. 이유는 스피커 자체 펌웨어가 공격의 중간 단계가 되기 때문이다. 따라서 실사용자는 (1) 펌웨어 업데이트가 제공되는 경우 즉시 적용하고, (2) 가능하다면 블루투스·USB 연결을 최소화하며, (3) 주변기기 펌웨어 업데이트 기능이 외부에서 접근 가능한지(인증/서명 여부)를 점검해야 한다.

기업 환경에서는 사무실·거실 등 네트워크가 공유되는 공간에서 이런 주변기기 위험이 커질 수 있다. 관리자는 장치 인벤토리를 바탕으로 펌웨어 버전과 업데이트 공지를 추적하고, 취약 장치를 격리 또는 대체하는 정책을 검토하는 편이 안전하다.

향후 관전 포인트: 패치와 책임 있는 공개

이번 연구는 “가능성”이 아니라 “구현된 개념 증명”에 가깝다는 점에서 의미가 크다. 다음 단계는 제조사의 대응이다. 어떤 방식으로든 서명 기반 펌웨어 검증, 원격 제어 명령에 대한 인증 강화, 디스크립터 변경 및 HID 기능 악용을 막는 제약이 마련되는지가 관건이다.

또한 유통된 모델군 전체에 대해 같은 CTP·펌웨어 구조가 존재하는지 확인이 필요하다. 무라츠가 설명한 공격 체인이 재현 가능하다면, 스피커를 넘어 다른 주변기기(동일 프로토콜·동일 펌웨어 프레임워크 사용)의 연쇄 점검으로 이어질 가능성도 있다. Ars Technica는 이 사례가 사용자에게 “원격에서 주변기기가 장치 제어권을 얻으면 어떤 결과까지 이어질 수 있는지”를 다시 생각하게 만드는 경고라고 전했다.