中샤오미 이어폰서 통화정보 줄줄 샌다…“가성비 믿었다가 뒤통수”

정호준 기자(jeong.hojun@mk.co.kr) 2026. 2. 9. 11:27
자동요약 기사 제목과 주요 문장을 기반으로 자동요약한 결과입니다.
전체 맥락을 이해하기 위해서는 본문 보기를 권장합니다.

샤오미가 판매하는 일부 블루투스 이어폰 제품에서 통화 정보 탈취까지 가능한 취약점이 발견됐다.

9일 정보기술(IT)업계에 따르면 미국의 비영리 보안 기관 CERT 조정 센터는 지난달 취약점 노트를 통해 샤오미의 블루투스 이어폰 레드미 버즈 시리즈에서 정보 유출 취약점과 서비스 거부(DoS) 취약점이 발견됐다고 공지했다.

음성재생 설정 이동 통신망에서 음성 재생 시 데이터 요금이 발생할 수 있습니다. 글자 수 10,000자 초과 시 일부만 음성으로 제공합니다.
번역beta Translated by kaka i
글자크기 설정 파란원을 좌우로 움직이시면 글자크기가 변경 됩니다.

이 글자크기로 변경됩니다.

(예시) 가장 빠른 뉴스가 있고 다양한 정보, 쌍방향 소통이 숨쉬는 다음뉴스를 만나보세요. 다음뉴스는 국내외 주요이슈와 실시간 속보, 문화생활 및 다양한 분야의 뉴스를 입체적으로 전달하고 있습니다.

美보안기관, 이어폰 보안취약점 공지
레드미 버즈 3 프로~6 프로 4종 해당
블루투스 범위내면 페어링 없이 탈취
전화번호등 정보 탈취·연결 끊을수도
샤오미 “업데이트통해 문제해결 노력”
샤오미의 블루투스 이어폰 ‘레드미 버즈 6 프로’ 이미지 [출처 = 샤오미 웹사이트]
샤오미가 판매하는 일부 블루투스 이어폰 제품에서 통화 정보 탈취까지 가능한 취약점이 발견됐다.

9일 정보기술(IT)업계에 따르면 미국의 비영리 보안 기관 CERT 조정 센터는 지난달 취약점 노트를 통해 샤오미의 블루투스 이어폰 레드미 버즈 시리즈에서 정보 유출 취약점과 서비스 거부(DoS) 취약점이 발견됐다고 공지했다.

취약점이 발견된 모델은 레드미 버즈 3 프로부터 레드미 버즈 6 프로까지 4종의 모델이다.

두 취약점은 모두 블루투스 연결 범위 내에 있으면 별도 페어링이나 연결 없더라도 외부에서 공격할 수 있는 취약점으로 파악된다. 블루투스 기기가 다른 기기와 소통하는 RFCOMM 프토로콜을 관리하는 펌웨어상의 문제라고 CERT는 설명했다.

첫 취약점인 ‘CVE-2025-13834’의 경우 공격자가 외부에서 통화 데이터를 탈취할 수 있는 것이 특징이다. 디바이스가 비정상적인 TEST 명령을 받았을 때 초기화되지 않은 메모리 버퍼를 반환하는 현상이다.

공격자는 이를 통해 최대 127바이트의 민감한 데이터를 탈취할 수 있으며, 여기에는 통화 상대방의 전화번호 등이 포함되는 것으로 파악된다.

통화 중이거나 통화가 끝난 후에 이같은 공격을 받게 되면 전화번호를 포함해 관련된 메타 데이터가 유출될 수 있다. 또한 사용자에게 별도 알림 없이 공격이 반복 수행될 수 있다는 점도 특징이다.

또 다른 취약점인 ‘CVE-2025-13328’의 경우 공격자가 많은 양의 명령을 한 번에 보냄으로써 기기의 자원을 과도하게 소모시키고, 사용자의 기기 연결까지 끊을 수 있는 취약점이다.

이번 취약점은 이희조 고려대 교수 연구팀이 발견해 제보한 취약점으로 확인된다.

이같은 공격은 블루투스 기기와 연결 없이도 공격을 수행할 수 있다는 점에서 인파가 많은 지역에서 특히 유의해야 한다. 취약점이 발견된 4종의 모델은 구형 모델이지만, 그중 버즈 5 프로와 버즈 6 프로는 국내에서 샤오미 공식 스토어를 통해 판매가 진행되고 있는 상품이다.

한국인터넷진흥원(KISA) 또한 지난 5일 공지를 통해 해당 제품 사용 주의를 공지하며 “해당 제품은 보안 패치가 제공되지 않으므로, 인파 밀집 지역 등 공공장소에서 이어폰을 사용하지 않을 때는 블루투스 기능을 비활성화해야 한다”라고 권고했다.

한편 샤오미 측은 “해당 사안에 대해 인지하고 있으며, 일부 칩 공급업체가 구글 패스트 페어(Google Fast Pair) 프로토콜과 관련하여 비표준 구성을 사용함에 따라 발생한 것임을 확인했다”라며 “공급업체들과 긴밀히 협력하여 OTA 업데이트를 통해 문제를 해결하기 위해 노력하고 있다”라고 밝혔다.

이어 “최근 출시된 제품들은 이미 업데이트가 완료되어 해당 이슈의 영향을 받지 않는다”라고 설명했다.

Copyright © 매일경제 & mk.co.kr. 무단 전재, 재배포 및 AI학습 이용 금지