# Pwnd Blaster: 스피커를 전혀 만지지 않고 스피커로 PC 해킹하기

> Clean Markdown view of GeekNews topic #30159. Use the original source for factual precision when an external source URL is present.

## Metadata

- GeekNews HTML: [https://news.hada.io/topic?id=30159](https://news.hada.io/topic?id=30159)
- GeekNews Markdown: [https://news.hada.io/topic/30159.md](https://news.hada.io/topic/30159.md)
- Type: GN+
- Author: [neo](https://news.hada.io/@neo)
- Published: 2026-06-04T09:36:33+09:00
- Updated: 2026-06-04T09:36:33+09:00
- Original source: [blog.nns.ee](https://blog.nns.ee/2026/06/03/katana-badusb/)
- Points: 2
- Comments: 1

## Topic Body

- **Creative Sound Blaster Katana V2X**는 Bluetooth 범위 약 15m 안의 공격자가 페어링이나 물리 접촉 없이 CTP 명령과 펌웨어 업데이트를 실행해 감시 장치나 원격 Rubber Ducky처럼 바꿀 수 있음
- USB의 **CTP**는 정적 키 기반 challenge-response 인증을 요구하지만, Bluetooth 경로는 GATT characteristic을 통해 같은 CTP 명령을 인증 없이 받아 정보 읽기와 설정 변경을 허용함
- 펌웨어 컨테이너는 `FBOOT`, `FMAIN`, `CHK2`로 구성되며, **서명 검증 없이** SHA-256 체크섬인 `CHK2`만 맞으면 패치된 펌웨어를 수락함
- PoC는 BLE로 약 10분 동안 커스텀 펌웨어를 업로드한 뒤 재부팅된 스피커가 USB **HID 키보드**처럼 `echo pwned`를 입력하고 실행하게 만들었음
- **Creative**는 SingCERT를 통한 연락 뒤 “사이버보안 위험을 제시하지 않는다”며 취약점으로 보지 않았고, 최신 펌웨어는 취약하며 CTP-over-Bluetooth를 막는 비공식 패치만 제공됨

---

### 취약점의 핵심
- Katana V2X는 USB로 PC에 연결되는 사운드바이며, Creative 앱은 CTP로 DSP, LED 구성, 출력 소스 같은 설정을 바꿈
- USB에서 CTP 명령을 쓰려면 먼저 challenge-response 인증을 거쳐야 하며, 키는 Creative App에 포함된 바이너리에서 파생할 수 있는 정적 값임
- 펌웨어 업데이트도 CTP 위에서 실행되며, 초기 펌웨어 이미지는 Wireshark로 USB 트래픽을 캡처해 추출함
- Bluetooth Low Energy에서는 페어링 없이도 장치에 연결해 GATT characteristic을 읽고 쓸 수 있는 경우가 있으며, 페어링은 암호화를 만들지만 연결 자체에 항상 필요하지는 않음
- Katana V2X 펌웨어 안에서 내부 CTP 핸들러가 USB뿐 아니라 Bluetooth에도 연결돼 있었고, 노트북에서 `5a 09 01 02`를 characteristic `9e9daaec-3a10-4fe8-b69f-7397aff77886`에 쓰자 characteristic `9e9daaeb-3a10-4fe8-b69f-7397aff77886`에서 전체 펌웨어 버전 문자열을 읽을 수 있었음

### 펌웨어 검증과 OTA 공격 체인
- 펌웨어 컨테이너에는 복구 모드와 관련된 `FBOOT`, 일반 부팅에서 실행되는 메인 펌웨어 `FMAIN`, 전체 컨테이너에 대한 SHA-256 체크섬 `CHK2`가 있음
- `FBOOT`와 `FMAIN`은 `/home/jieyi/mcuos2.5/kernel/freertos-8.2.3/` 문자열이 가리키는 FreeRTOS 기반 코드이며, `FMAIN`은 `FBOOT`보다 약 6.5배 큼
- 장치는 `CHK2`만 올바르면 패치된 펌웨어를 수락했고, `WELCOME` 문자열을 `PATCHED`로 바꾼 펌웨어를 플래시하자 부팅 시 세그먼트 디스플레이에 `PATCHED`가 표시됐음
- 같은 펌웨어 업데이트 절차를 BLE로 재구현한 Python 스크립트가 페어링이나 인증 없이 커스텀 펌웨어를 업로드했고, BLE 속도 때문에 완료까지 약 10분이 걸렸음
- 스피커에는 마이크가 있어 커스텀 펌웨어가 대화를 듣고 Bluetooth로 수신자에게 전달하는 은밀한 모니터링 장치로 동작할 수 있다는 이론적 가능성이 있음

### USB 키보드 주입 방식
- Katana V2X는 일반 구성에서 PC에 USB로 연결된 신뢰된 장치로 동작함
- 장치는 이미 완전한 키보드는 아니지만 볼륨과 재생/일시정지 같은 미디어 제어를 위한 HID Consumer Control 장치로 자신을 설정함
- 펌웨어의 USB report descriptor에 두 번째 report descriptor 항목을 추가해 장치가 키보드로도 보고되게 만들 수 있었음
- 펌웨어 안에는 HID 데이터를 보내는 루틴이 이미 있었고, 누를 키와 뗄 키 데이터를 넘겨 호출하는 방식으로 키 입력을 보낼 수 있었음
- 실행 흐름을 복잡하게 우회하는 대신 정상 사용 중 별다른 동작을 하지 않는 것으로 보인 `diagnostic` FreeRTOS 태스크를 덮어써서 커스텀 코드를 부팅 때 실행하게 만들었음
- 해당 태스크는 약 20초 동안 USB 서브시스템 준비를 기다린 뒤 약 20ms 간격으로 `echo pwned`를 입력하고 Enter를 누른 다음 종료함
- 최종 패치는 USB report 83바이트, 키 입력 인젝터용 ARM/Thumb 어셈블리 102바이트, 전송할 키 입력마다 2바이트로 구성됐음
- 실제 공격에서는 `powershell.exe` 같은 프로그램을 열고 악성 한 줄 명령을 붙여넣을 수 있으며, 공격자가 일반 모드와 복구 모드의 펌웨어 업데이트 루틴을 비활성화하면 악성 펌웨어 제거와 향후 패치가 불가능해질 수 있음
- 스피커의 Bluetooth는 절전 모드에서도 항상 켜져 있고, 끄는 방법이 보이지 않음

### 완화와 공개 경위
- Creative는 공개 보안 연락처가 없었고, 일반 연락 수단도 웹사이트 지원 양식 외에는 찾기 어려웠음
- 지원 양식으로 두 차례 연락을 시도한 뒤 SingCERT가 중재자로 참여했음
- Creative는 SingCERT에 거의 두 달 뒤 응답했고, “사이버보안 위험을 제시하지 않으므로 취약점으로 보지 않는다”고 답함
- Creative가 제공하는 패치는 없으며 최신 펌웨어도 취약함
- 비공식 완화책은 펌웨어에서 CTP-over-Bluetooth를 차단하며, Creative 모바일 앱은 이 변경으로 깨질 가능성이 큼
- [v2x-patcher](https://git.dog/xx/v2x-patcher)는 Creative 서버에서 공식 펌웨어를 다운로드하고 메모리에서 패치한 뒤 USB로 연결된 Katana V2X에 업로드함
- 모든 테스트와 리버스 엔지니어링은 펌웨어 버전 `1.3.230619.1820`에서 수행됐음

### 리버스 엔지니어링 세부 사항
- `FMAIN.bin`은 단일 이미지가 아니라 [scatter-loaded](https://developer.arm.com/documentation/dui0803/b/Scatter-loading-Features/Overview-of-scatter-loading) 구조였고, 서로 다른 파일 오프셋이 서로 다른 주소에 로드됨
- Ghidra 자동 분석에는 올바른 베이스 주소와 메모리 맵이 필요했고, 추론 뒤 장치 메모리 읽기로 검증한 레이아웃을 적용하자 유효한 분석 결과가 나왔음
- 문자열 포인터는 직접 로드되지 않고 `movw`와 `movt` 쌍으로 로드됐으며, 같은 레지스터에 로드되는 쌍을 찾아 유효 메모리를 가리키는 경우 DATA 참조를 만드는 스크립트가 약 1.3만 개 참조를 생성함
- 펌웨어를 매번 다시 플래시하지 않고 테스트하기 위해 CTP opcode `0x54`의 echo 핸들러를 덮어써 읽기, 쓰기, 실행 명령을 처리하게 만들었음
- 최종 커스텀 핸들러는 96바이트였고, 원래 핸들러 크기인 약 106바이트 안에 들어갔음
- 여러 키 입력을 `mem-exec`로 USB 처리 태스크 문맥에서 실행할 때 `vTaskDelay` 지연이 누적되자 태스크별 watchdog 때문에 장치가 재부팅했음
- 키 입력 코드를 USB 태스크에서 직접 호출하지 않고 `diagnostic` 서비스 태스크에 주입하자 watchdog 문제가 사라졌음

## Comments



### Comment 58893

- Author: neo
- Created: 2026-06-04T09:36:34+09:00
- Points: 1

###### [Hacker News 의견들](https://news.ycombinator.com/item?id=48382310) 
- 글을 제대로 읽지 않았거나 아예 안 읽은 댓글들이 보여서 웃김. 이건 사실상 블루투스 기기판 **공개 S3 버킷** 같은 상황임  
  그래도 작업 자체는 정말 멋짐. USB로 연결된 기기를 공격 경로로 바꾸는 게 훨씬 어려울 줄 알았는데, 키보드를 흉내 내서 로컬 터미널을 띄우고 악성 명령을 실행하는 정도로 가능하다는 게 꽤 웃김. 관리자 권한 터미널은 아니니 피해는 어느 정도 제한되겠지만, Windows에서는 사용자가 UAC 프롬프트를 그냥 눌러 넘기는 경우가 많아서 꽤 많은 PC에서 전체 접근을 얻을 수 있을 것 같음

- SingCERT 이메일에 따르면 업체는 “이것은 사이버보안 위험을 만들지 않으므로 취약점으로 보지 않는다”고 했다고 함. 페어링도 없이, 남의 컴퓨터에 USB로 연결된 기기에 **무선으로 임의 펌웨어**를 쓰는 게 보안 취약점이 아니라는 얘기라니
  - “그냥 글자를 입력하게 만들 수 있을 뿐인데, 무슨 위험이 있겠어?”라는 식임  
    다른 주변기기 회사들도 겉보기엔 **보안팀 없이** 운영되는 곳이 얼마나 많을지 궁금해짐. 이런 취약점은 아직 발견만 안 됐을 뿐 더 많을 듯함. 내 동생은 새벽 2시에 동네 아이들이 블루투스 스피커에 연결해서 방귀 소리를 최대 볼륨으로 반복 재생하는 바람에 깬 적이 있는데, 그건 악의적 블루투스 활용의 빙산 맨 꼭대기일 뿐임
  - 누군가 Creative 쇼룸, 판매 행사, CES 같은 곳에 가서 모든 기기를 “패치”해버리면 저 답변은 아주 빨리 바뀔 것임
  - 저 위험 관련 인용문은 **위험의 개념**을 완전히 오해한 것 같음. 먼저 취약점이 있고, 여기에 영향도와 가능성을 붙인 다음에야 위험이 나옴  
    정의상 영향이 낮거나 가능성이 낮아서 위험이 낮은 취약점은 항상 존재함. CVE에는 점수가 있지만, 실제 위험과 완화 전후의 위험 수용 여부는 사용 사례가 정함. “위험 없음 => 취약점 없음”은 설계상 잘못된 추론이고, “취약점 없음 => 위험 없음” 정도만 동의 가능함
  - macOS나 Windows를 실행하는 어떤 컴퓨터에도 같은 말을 할 수 있음. 자기 소프트웨어를 실행할 수 있다는 사실 자체가 반드시 취약점은 아님  
    다만 다시 플래시하는 인터페이스가 블루투스로 열려 있는 건 이상함. 내가 알기로는 스피커와 페어링하려면 물리적 접근이 필요함  
    수정: 내가 틀렸음. 이건 페어링 없이 동작하는 **BTLE 엔드포인트**임. 그렇다면 말도 안 되는 취약점임. 자체 소프트웨어를 실행할 수 있는 능력은 빼앗지 않는 방식으로 패치하길 바람
  - 예전에 Creative Labs에 대해 뭘 배웠는지는 기억도 안 나지만, 이번 일에 들어가면서도 Creative Labs가 어떻게든 망칠 거라는 확신은 있었음

- 글이 잘 쓰였고 이해하기 쉬워서 훑어볼 가치가 있음  
  요약하면, Creative Sound Blaster Katana V2X 사운드바에 대해 블루투스로 **임의 펌웨어 재작성**을 할 수 있는 방법을 찾아냈고, 실질적인 인증이나 사용자 상호작용이 필요하지 않음  
  이 사운드바는 USB로 호스트 컴퓨터에 직접 연결되므로, 펌웨어에 디스크립터를 추가해 키보드로 인식되게 만들 수 있었음. 그 뒤에는 PC로 키 입력을 보내는 게 간단했음. 사운드바에는 마이크도 있으므로 공격자가 도청 장치로 바꿀 수도 있음  
  Creative와 SingCERT에 신고했지만, 회사는 2개월 뒤에야 “사이버보안 위험을 만들지 않으므로 취약점으로 보지 않는다”고 답함  
  작성자는 결함 있는 전송 프로토콜을 비활성화하는 펌웨어 패처를 공개함. 공식 블루투스 앱 기능까지 깨뜨릴 가능성이 있는 다소 거친 방식이지만, 제조사 협조 없이 할 수 있는 최선으로 보임

- 오래된 제조사들조차 기기부터 만들고 **소프트웨어를 사후 처리**처럼 붙이는 경우가 꽤 흔함. 보안은 물론이고 패치, 업데이트, 변화하는 생태계 같은 소프트웨어 생명주기에도 거의 신경 쓰지 않음  
  심지어 기기 브랜드가 소프트웨어를 작은 외주 개발사에 맡겼다가, 그 회사가 문을 닫거나 사라지거나 사업을 접으면서 제조사가 소스 코드조차 갖고 있지 않은 경우도 봤음. 그러면 기기를 구동하는 소프트웨어를 더 개선하거나 고칠 능력도 없고, 이후 미들웨어, UI, 임시 연결 계층이 층층이 쌓이게 됨
  - 이런 일이 얼마나 자주 일어나는지 무서울 정도임. 요즘처럼 값싼 컴퓨터·휴대폰 주변기기가 매분 대량으로 팔리는 상황에서는 어떤 기관이 이 모든 걸 감시하고 규제하는 현실적인 방법도 없음  
    실제로는 “작은 외주 개발자”가 아니라 **공급망 해커** 같은 사람이 펌웨어를 작성한 기기도 적지 않을 것 같음

- 왜 그렇게 작게 생각함? 스피커 자체를 공격자로 쓸 수도 있음  
  LLM을 쓰는 아무 스크립트 키디라도 공급망을 타고 퍼지는 **웜**을 만들 수 있을 것임. 공장 바닥에서 스피커를 바로 해킹해서 Rickroll 음악 같은 걸 틀게 할 수도 있음  
  그때도 Creative가 “사이버보안 위험을 만들지 않는다”고 주장할지 궁금함  
  덤으로 보안 구멍을 닫으면서 정상적인 펌웨어 플래시 기능까지 비활성화하면, 제조사가 수리하려고 스피커를 탈옥해야 하니 가산점임
  - 기기에 웜을 플래시하고 RMA로 보내면 끝임
  - 예전에는 가능했을 듯함. 최신 모델들은 점점 더 강한 제한을 도입하고 오래된 모델을 폐기하면서 정부 신분증까지 요구하고 있음

- 제조사가 취약점으로 보지 않아서 작성자가 **서드파티 패치**를 공개해야 했다는 건 좋아 보이지 않음
  - 놀랄 일인가? 작성자의 해킹은 훌륭하고, 표적이 되면 영향이 클 수 있지만 전체적으로 보면 영향은 아주 작음. 제조사는 신경 쓸 이유가 별로 없음  
    피해자가 되려면 이 기기를 갖고 있어야 하고, 공격자가 그 사실을 알아야 하며, 가까운 거리에 있어야 함. Fight Club의 대사를 떠올리면 됨  
    A = 현장에 깔린 스피커 수  
    B = 해킹당할 가능성이 있는 비율  
    C = 평균 법정 밖 합의금  
    결정: 리콜이나 수리를 하지 않는 비용이 리콜 비용보다 크면 리콜을 시작함. 가장 큰 비용은 사람들이 앞으로 스피커를 안 사게 되는 경우인데, 그럴 것 같지는 않음

- Mossad 같은 조직을 맡고 있다면 예산의 큰 부분을 써서 시중의 모든 블루투스 기기를 사들이고, 일이 부족한 이스라엘 컴퓨터과학 졸업생들을 붙여 이런 취약점을 찾게 한 뒤 쉽게 배포 가능한 도구 모음으로 만들 것임  
  예를 들어 이란 정부 사무실에 접근할 수 있는 자산이 휴대폰을 들고 건물 안을 걸어다니며 가능한 한 많은 컴퓨터를 장악하게 만들고 싶을 것임. 생각해보니 아마 실제로도 그렇게 하고 있다고 봐야 함
  - 방향이 좀 반대임. 이스라엘에는 애초에 컴퓨터과학 졸업생이 그렇게 많지 않음. 최고 인재들은 이미 **8200부대**를 거치기 때문임  
    사실상 완전 사회화된 컴퓨터공학 석사 과정에 가깝고, 신호정보 조직이라 이런 것들을 배움. 2~3년 복무가 끝나면 학자금 대출도 없고, 정부가 스타트업 종자 자금을 많이 제공하며, TLV 생태계는 작은 Bay Area처럼 굴러감  
    부모와 함께 사는 것도 사회적으로 더 받아들여져서, 20대 중 상당수가 빚이 없고 월 지출이 낮으며 군 복무로 강한 기술 역량을 갖추고, 창업 중심지에 있고 자본 접근성도 좋음. 그 결과 특히 사이버보안 분야에서 유니콘이 많이 나옴([https://www.techaviv.com/unicorns](<https://www.techaviv.com/unicorns>))  
    미국과 비교하면 4년 학부에 전념하고, 큰 빚을 지고, 집세를 내며, 종자 자금을 찾느라 고생해야 함. “망가진 시스템의 찌꺼기를 좀 활용하면 되겠네”라는 사고방식은 애초에 성공적인 시스템을 갖춘다는 관점을 놓침
  - 이런 훈련은 어느 나라의 국가안보나 정보기관 예산에서도 반올림 오차 수준일 듯함. 이제는 AI로 기기를 초기에 훑어보고 수동 분석할 만한 후보를 골라내는 것도 자동화할 수 있을 것임  
    이것이 표준 관행이 아니라면 꽤 놀랄 것 같음. 다만 생각보다 생산성이 낮아서 노력할 가치가 없을 수도 있음. 그래도 이번 사례를 보면 꽤 성과가 있을 수 있어 보이고, 우리가 모르는 정보기관의 다른 방식들과 비교해봐야 할 듯함
  - 그 제안과 병행해서, 버그가 있는, 즉 백도어가 심긴 기기를 직접 만들어 파는 게 더 쉬울 수도 있음  
    마케팅이 쉬운가, 버그 찾기가 쉬운가 :-)
  - 전 세계 모든 정보기관이 이걸 안 하고 있을 리가 없음
  - NSO Group([https://en.wikipedia.org/wiki/NSO_Group](<https://en.wikipedia.org/wiki/NSO_Group>))이 아마 그런 존재일 것임. 이스라엘 정보기관이 싸구려 쓰레기 기기, 또는 이런 비싼 쓰레기 기기에 취약점을 심고 NSO나 NSO 비슷한 이스라엘 조직이 활용하게 할 수도 있음. 삐삐를 판다는 것도 이미 알고 있음

- 펌웨어를 작성하는데, 특히 **블루투스 지원 기기 펌웨어**를 다루는데, 회사에서 이 웹사이트를 차단해놨음

- 기술을 사랑하는 사람은 집안의 모든 컴퓨터에 연결되고, Miles Davis가 재생되면 신선한 커피를 내려주도록 초스마트 커피메이커까지 제어하는 초스마트 스피커를 삼  
  기술을 이해하는 사람은 **토스터 옆에 도끼**를 둠
  - 해커의 원래 의미임

- 대충 만든 채널이 이걸 다룬 영상을 영업일 기준 4일쯤 뒤에 내 YouTube 첫 화면에 띄울 게 벌써 기대됨
  - YouTube 시청 기록 저장을 끄면 첫 화면 자체가 없어질 수 있다는 거 알고 있음?
  - 그래도 LinkedIn에는 먼저 올려서 명성을 다 가져갈 수 있음