# 블루투스 헤드폰 해킹: 스마트폰 침투의 새로운 경로

> Clean Markdown view of GeekNews topic #25501. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=25501](https://news.hada.io/topic?id=25501)
- GeekNews Markdown: [https://news.hada.io/topic/25501.md](https://news.hada.io/topic/25501.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-01-02T09:40:21+09:00
- Updated: 2026-01-02T09:40:21+09:00
- Original source: [media.ccc.de](https://media.ccc.de/v/39c3-bluetooth-headphone-jacking-a-key-to-your-phone)
- Points: 16
- Comments: 1

## Summary

**블루투스 오디오 칩 취약점**이 헤드폰을 넘어 스마트폰까지 위협하는 새로운 공격 경로로 드러났습니다. 연구진은 Airoha SoC에서 발견된 **세 가지 CVE 취약점**을 통해 헤드폰 펌웨어 접근이 가능하며, 이를 이용해 페어링된 스마트폰 공격까지 이어질 수 있음을 입증했습니다. Sony, Marshall, Jabra 등 주요 브랜드 헤드폰/이어버드가 영향을 받는 것으로 확인되었으니 참고하세요.

## Topic Body

- **블루투스 오디오 칩 취약점**을 통해 헤드폰이 완전히 장악될 수 있으며, 그 결과 **연결된 스마트폰까지 공격 경로가 확장**될 수 있음  
- **Sony, Marshall, Jabra** 등 주요 브랜드 헤드폰/이어버드가 영향을 받는 것으로 확인됨  
- 제품에 사용된 Airoha Bluetooth 오디오 SoC에서 **CVE-2025-20700, CVE-2025-20701, CVE-2025-20702** 세 가지 취약점 발견  
- 헤드폰이 **신뢰된 블루투스 주변기기**라는 점을 악용해, 펌웨어·메모리 접근이 가능한 **커스텀 Bluetooth 프로토콜 RACE**를 통해 스마트폰 공격 가능성을 입증   
- 블루투스 주변기기 보안이 **스마트폰 보안의 새로운 약점**이 될 수 있음을 경고  
  
---  
### Airoha 칩의 취약점 개요  
- 연구팀은 **Airoha**가 개발한 인기 Bluetooth 오디오 칩에서 **CVE-2025-20700, CVE-2025-20701, CVE-2025-20702** 세 가지 취약점을 발견  
  - 이 칩들은 여러 제조사의 Bluetooth 헤드폰과 이어버드에 널리 사용됨  
- 취약점은 **기기 완전 장악**을 허용할 수 있으며, 시연에서는 최신 세대 헤드폰을 이용해 즉각적인 영향을 보여줌  
- 공격자는 **페어링된 스마트폰 등 신뢰 관계에 있는 장치**를 2차 공격 대상으로 삼을 수 있음  
  
### RACE 프로토콜과 펌웨어 접근  
- 연구 과정에서 **RACE**라는 강력한 커스텀 Bluetooth 프로토콜이 발견됨  
  - 이 프로토콜은 헤드폰의 **플래시와 RAM에 데이터 읽기·쓰기** 기능을 제공  
- 이를 통해 **펌웨어를 읽고 수정하거나 커스터마이징**할 수 있는 가능성이 열림  
  - 이렇게 감염된 블루투스 헤드폰을 통해 **페어링된 스마트폰 공격 가능**  
  - 블루투스 **Link Key 탈취 시 주변기기 가장 가능**  
  - 스마트폰이 주변기기를 신뢰하는 구조 자체가 공격 벡터로 작용  
- 연구진은 이 기능을 활용해 **보안 패치 및 연구 확장**을 위한 기반을 마련  
  
### 영향받는 제조사 및 제품  
- 취약점이 영향을 미치는 기기로 **Sony (WH1000-XM5, WH1000-XM6, WF-1000XM5)** , **Marshall (Major V, Minor IV)** , **Beyerdynamic (AMIRON 300)** , **Jabra (Elite 8 Active)** 등이 언급됨  
- Airoha는 Bluetooth SoC 및 **레퍼런스 디자인·SDK** 제공 업체  
  - 다수의 유명 오디오 브랜드가 **Airoha SoC와 SDK**를 기반으로 제품을 제작  
  - 특히 **TWS(True Wireless Stereo)** 시장에서 높은 점유율 보유  
  
### 사용자 인식과 보안 업데이트 문제  
- 연구진은 일부 제조사가 **사용자에게 취약점과 보안 업데이트 정보를 충분히 제공하지 않았다**고 지적  
- 발표의 목표는 사용자에게 문제를 알리고, 연구자들이 **Airoha 기반 기기 보안 연구를 이어갈 수 있도록 기술 세부 정보를 공개**하는 것  
- 발표와 함께 **기기 영향 여부를 확인할 수 있는 도구**와 **연구자용 분석 툴**이 공개됨  
  
### 블루투스 주변기기 보안의 일반적 함의  
- 스마트폰 보안이 강화됨에 따라, 공격자는 **주변기기(헤드폰, 이어버드 등)** 로 공격 초점을 옮길 수 있음  
- **Bluetooth Link Key**가 탈취될 경우, 공격자는 주변기기를 **가짜로 가장해 스마트폰 기능에 접근**할 수 있음  
- 이러한 이유로 **블루투스 주변기기의 보안 강화와 취약점 관리**가 중요함

## Comments



### Comment 48562

- Author: neo
- Created: 2026-01-02T09:40:21+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=46453204) 
- 이 글이 드디어 주목받게 되어 기쁨임  
  최근 함부르크의 39C3에서 발표된 내용으로, **Airoha SoC**를 사용하는 일반적인 블루투스 헤드셋이 인증 없이 **리눅스 노트북**만으로 완전히 장악될 수 있음 (CVE-2025-20700~20702)  
  펌웨어 덤프, 사용자 설정, 세션 키, 현재 재생 중인 트랙까지 접근 가능함  
  영향을 받는 브랜드로는 Sony(WH1000-XM5/XM6, WF-1000XM5), Marshall(Major V, Minor IV), Beyerdynamic(AMIRON 300), Jabra(Elite 8 Active) 등이 있음  
  대부분의 제조사는 대응이 느렸지만, Jabra는 예외적으로 빠르게 대응했음  
  흥미로운 점은, 이 취약점에도 불구하고 Airoha의 **Bluetooth LE “RACE” 프로토콜**이 계속 사용될 가능성이 높다는 것임  
  덕분에 리눅스 사용자는 헤드셋을 더 세밀하게 제어할 수 있는 기회를 얻게 됨  
  예를 들어, 음소거 시 “hearthrough” 기능을 자동으로 전환하는 식임  
  관련 도구: [RACE Reverse Engineered - CLI Tool](https://github.com/auracast-research/race-toolkit)  
  이런 수준의 원격 오디오 감청은 국가 안보 차원에서도 다뤄야 할 문제라고 생각함  
  - 연구진 중 한 명임  
    많은 사람들이 영상보다 텍스트를 선호하므로, 관련 자료를 남김  
    블로그: [Bluetooth Headphone Jacking - Full Disclosure](https://insinuator.net/2025/12/bluetooth-headphone-jacking-full-disclosure-of-airoha-race-vulnerabilities/)  
    백서: [ERNW Publications](https://ernw.de/en/publications.html)
  - Sony가 공식 공지를 내진 않았지만, 앱 사용자들은 조용히 배포된 **펌웨어 업데이트** 알림을 받았을 것 같음  
    대부분의 제조사는 설정 제어를 위해 자체 UUID 서비스를 사용함  
    Android용으로는 **Gadgetbridge** 같은 오픈 클라이언트가 있지만, Linux용은 잘 모르겠음
  - 나도 기술 영상은 잘 안 보는 편이라, YouTube 링크엔 거의 투표하지 않음
  - 오디오를 재생할 수도 있다면 장난꾸러기들의 꿈일 듯함  
    Jabra가 빠르게 대응한 건 놀랍지 않음. 기업 시장 중심이라 **보안 민감도**가 높기 때문임  
    Sony는 이제 소비자 중심 브랜드라 대응이 느린 듯함
  - AirPods의 통신 프로토콜을 역공학한 앱이 이미 있음  
    2020년의 [AndroPods](https://play.google.com/store/apps/details?id=pro.vitalii.andropods&hl=de)와 2024년의 [LibrePods](https://github.com/kavishdevar/librepods/tree/main)임  
    하지만 Android의 **Bluetooth 스택 버그** 때문에 루트 권한이 없으면 명령을 실행할 수 없음  
    관련 이슈: [Google Issue Tracker](https://issuetracker.google.com/issues/371713238)

- OpenBSD가 블루투스를 개발하지 않겠다고 했을 때 모두 화냈지만, 지금 보면 그게 현명한 결정이었음  
  블루투스는 **복잡하고 허술한 표준**이며, Sony WH1000 같은 고급 기기도 예외가 아님  
  나도 AirPods Pro와 WH1000-XM5를 쓰지만, 블루투스는 결국 ‘**해킹 위에 해킹**’이라는 걸 알고 있었음  
  신호 세기조차 표시되지 않는 등, 내부 상태를 들여다볼 방법이 거의 없음  
  - 이건 블루투스 자체 문제가 아니라, **Airoha 칩셋**이 인증 없이 SoC 메모리를 읽을 수 있는 디버그 인터페이스를 그대로 출하한 탓임  
    보안 이메일조차 작동하지 않았다고 함
  - 차라리 **Wi-Fi로 오디오 전송**하는 게 낫지 않을까 생각함  
    걱정거리가 하나 줄어듦
  - 케이블 연결은 때로는 사소한 불편이지만, 외부 모니터나 키보드를 쓸 때는 꽤 번거로움  
  - “모두가 OpenBSD를 떠났다”는 표현은 과장임. 나처럼 여전히 쓰는 사람도 있음  
  - 그럼 USB도 막아야 하지 않겠냐는 농담이 나올 정도로, **공격 벡터**는 어디에나 있음

- Sony WH-1000XM4 최신 펌웨어로 [화이트페이퍼](https://static.ernw.de/whitepaper/ERNW_White_Paper_74_1.0.pdf)의 단계를 재현해봤는데, 명령 응답이 없거나 오류가 반환됨  
  완전히 확신할 수는 없지만, **패치된 것으로 보임**
- 요약하자면, 여러 제조사의 헤드셋이 **Bluetooth Classic과 BLE 모두에서 취약**함  
  인증 없이 작동하는 **RACE 프로토콜**을 사용하며, 이를 통해 메모리 덤프와 키 탈취가 가능함  
  공격자는 이 키로 기기를 **가짜 헤드셋으로 위장**해 스마트폰에 접근할 수 있음  
  통화 수락, 마이크 도청 등도 가능해 **2차 인증 우회**까지 이어질 수 있음  
  완화 방법은 취약 기기를 사용하지 않거나 블루투스를 끄는 것뿐임  
  차량용 칩셋에도 같은 문제가 있을지 궁금함
- 결국 **3.5mm 잭**을 없앤 건 Apple이 시작이었음. 공식 이유는 “방수”였음  
  - Apple이 “**용기(courage)** ”라는 이유를 댔을 때 다들 비웃었지만, 결국 다른 제조사도 따라 했음  
    이제는 잭이 있는 고급폰을 찾기 어려움  
  - 사실 방수폰 중에도 잭이 있는 경우가 많음  
  - Apple은 공간 절약과 장기 전략을 이유로 들었음  
    대신 **USB-C 헤드폰** 생태계가 커졌고, 고품질 DAC 동글도 대안이 되었음  
    관련 목록: [USB-C Headphones](https://www.bhphotovideo.com/c/products/usb-c-headphones/ci/59912?sort=PRICE_LOW_TO_HIGH)  
  - 요즘은 유선 이어폰을 쓰는 사람을 거의 못 봄. 마치 CD만 고집하는 사람처럼 느껴짐

- 영상은 아직 못 봤지만, 페이지의 문구만 봐도 **기기 완전 장악** 수준의 취약점임을 알 수 있음  
  공격자가 헤드폰을 통해 스마트폰까지 공격할 수 있다는 점이 특히 인상적임  
  발표에서는 취약점 개요, 영향, 패치 과정의 어려움, 그리고 **펌웨어 수정 도구** 공개까지 다룸  
  - 공격 단계 요약을 보면,  
    1) 근거리에서 연결  
    2) 인증 없이 메모리 덤프  
    3) 덤프에서 **Bluetooth Link Key** 추출  
    4) 추출한 키로 스마트폰에 **가짜 헤드셋으로 접속**  
    이후 공격자는 신뢰된 주변기기 권한으로 스마트폰을 제어할 수 있음  
    출처: [HN 댓글](https://news.ycombinator.com/item?id=46454740)

- Razer는 언급되지 않았지만, **Blackshark V3 Pro 송신기**에 Airoha AB1571DN 칩을 사용함  
  헤드셋 쪽은 불명확하며, 펌웨어 업데이트 내역도 찾기 어려움

- 부통령 **Kamala Harris**가 최근 인터뷰에서 “무선 이어폰은 안전하지 않다”고 말한 적이 있음  
  [영상 링크](https://youtu.be/BD8Nf09z_38)  
  - 정치적 의도는 없지만, Harris의 발언을 신뢰하진 않음  
    블루투스는 원래부터 **보안성이 낮은 기술**이며, 대부분의 구현이 허술함  
    참고 영상: [YouTube 링크](https://youtu.be/O2SLyBL2kdM?si=Zq-EN8zxj4Y_UCwI)
  - 일반적인 블루투스 보안은 취약함  
    사용자가 연결의 안전성을 확인하기 어렵고, **PIN 기반 인증**도 불편함  
    관련 논문: [arXiv 논문](https://arxiv.org/pdf/2108.07190)  
  - Harris가 말한 건 실제 취약점이 아니라, 이런 **위험 가능성**을 인식한 정책적 조치로 보임  
  - 이 취약점은 이미 6월쯤 공개된 것으로 보이는데, 인터뷰 시점이 그 이전인지 궁금함

- 데모 중에 사람들이 **전화번호로 장난 전화를 걸어** 방해한 건 아쉬움
- 이 발표로 인해 일부 **국가 기관**은 불편해질 수도 있음  
  - 하지만 어떤 국가는 오히려 **기뻐할 수도 있음**, 누가 이 취약점을 알고 있었느냐에 따라 다름