구글은 자체 보안 블로그에서 타이탄 보안 키의 블루투스 LE(Bluetooth Low Energy) 버전과의 잘못된 구성(misconfiguration)을 발견했다고 알렸다. 이 결함은 근처의 공격자가 사용자의 보안 키와 통신하거나 사용자의 키와 짝을 이룬 기기와 통신을 하는 것을 허용한다.
구글의 설명에 따르면, 이 결함을 통해 공격자가 공격할 수 있는 방법은 두 가지다.
사용자가 키를 PC 또는 스마트폰과 페어링하는 동안 공격자가 사용자 이름과 비밀번호를 이미 획득한 경우, 사용자 기기와 연결되기 전에 자신의 기기를 보안 키에 연결할 가능성이 있으며, 자신의 기기를 사용해 사용자 계정에 로그인할 수 있다.
또한 기기를 사용해 인증을 받는 경우, 공격자는 자신의 기기를 사용해 영향을 받는 보안 키로 가장하고 키의 단추를 누르라는 메시지가 표시될 때 기기에 연결할 수 있다. 이 후, 공격자는 블루투스 키보드나 마우스처럼 보이도록 기기를 변경하려고 시도할 수 있으며, 기기에서 조치를 취할 수도 있다.
이것이 의미하는 바
이렇게 해킹한다는 것은 드문 경우이긴 하다. 블루투스 키이기 때문에 공격자는 사용자가 버튼을 누를 때 30피트, 즉 9미터 내에 있어야 한다. 계정 보안을 위해 키를 구입한 사람에게는 걱정스러운 일일지 모른다.구글은 소프트웨어를 통해 취약점을 패치하기보다는 영향을 받은 모든 보안 키를 무료로 대체한다. 자신의 키가 해당 기기에 속하는지 확인하려면 USB 포트 위의 작은 번호를 확인해야 한다. T1 또는 T2라면 자신의 키를 교체해야 한다.
구글은 교체 수단이 도착할 때까지 NFC 또는 USB 기반의 보안 인증을 사용하는 것이 좋다고 권고했다. 이런 방법은 해당 문제의 영향을 받지 않기 때문이다. 또한 2019년 6월, 안드로이드 기기용 보안 패치는 영향을 받는 블루투스 보안 키를 자동으로 페어링해 공격의 위험을 제거할 것이다.
영향을 받은 사용자는 해당 구글 홈페이지를 방문해 무료 대체품을 요구할 수 있다. editor@itworld.co.kr