보안 / 퍼스널 컴퓨팅 / 프라이버시

구글, 보안 결함 발견한 2FA 블루투스 타이탄 보안 키 무료 교환 제공

Michael Simon | PCWorld 2019.05.16
만약 이중 인증을 위해 구글의 티탄 보안 키(Titan Security Keys)를 사용하고 있다면 계정이 안전하다고 생각할 지도 모른다. 구글 웹사이트에서 구글은 "티탄 보안 키"가 구글 내부에서 사용되는 보안과 동일한 수준이며, 사용자의 온라인 계정에 액세스해서는 안되는 사람을 제외시킨다고 약속한다. 
 
ⓒ Google

구글은 자체 보안 블로그에서 타이탄 보안 키의 블루투스 LE(Bluetooth Low Energy) 버전과의 잘못된 구성(misconfiguration)을 발견했다고 알렸다. 이 결함은 근처의 공격자가 사용자의 보안 키와 통신하거나 사용자의 키와 짝을 이룬 기기와 통신을 하는 것을 허용한다. 

구글의 설명에 따르면, 이 결함을 통해 공격자가 공격할 수 있는 방법은 두 가지다. 
사용자가 키를 PC 또는 스마트폰과 페어링하는 동안 공격자가 사용자 이름과 비밀번호를 이미 획득한 경우, 사용자 기기와 연결되기 전에 자신의 기기를 보안 키에 연결할 가능성이 있으며, 자신의 기기를 사용해 사용자 계정에 로그인할 수 있다.  

또한 기기를 사용해 인증을 받는 경우, 공격자는 자신의 기기를 사용해 영향을 받는 보안 키로 가장하고 키의 단추를 누르라는 메시지가 표시될 때 기기에 연결할 수 있다. 이 후, 공격자는 블루투스 키보드나 마우스처럼 보이도록 기기를 변경하려고 시도할 수 있으며, 기기에서 조치를 취할 수도 있다. 


이것이 의미하는 바 

이렇게 해킹한다는 것은 드문 경우이긴 하다. 블루투스 키이기 때문에 공격자는 사용자가 버튼을 누를 때 30피트, 즉 9미터 내에 있어야 한다. 계정 보안을 위해 키를 구입한 사람에게는 걱정스러운 일일지 모른다.
 
구글은 소프트웨어를 통해 취약점을 패치하기보다는 영향을 받은 모든 보안 키를 무료로 대체한다. 자신의 키가 해당 기기에 속하는지 확인하려면 USB 포트 위의 작은 번호를 확인해야 한다. T1 또는 T2라면 자신의 키를 교체해야 한다. 

구글은 교체 수단이 도착할 때까지 NFC 또는 USB 기반의 보안 인증을 사용하는 것이 좋다고 권고했다. 이런 방법은 해당 문제의 영향을 받지 않기 때문이다. 또한 2019년 6월, 안드로이드 기기용 보안 패치는 영향을 받는 블루투스 보안 키를 자동으로 페어링해 공격의 위험을 제거할 것이다. 

영향을 받은 사용자는 해당 구글 홈페이지를 방문해 무료 대체품을 요구할 수 있다. editor@itworld.co.kr 



 

회사명 : 한국IDG | 제호: ITWorld | 주소 : 서울시 중구 세종대로 23, 4층 우)04512
| 등록번호 : 서울 아00743 등록발행일자 : 2009년 01월 19일

발행인 : 박형미 | 편집인 : 박재곤 | 청소년보호책임자 : 한정규
| 사업자 등록번호 : 214-87-22467 Tel : 02-558-6950

Copyright © 2024 International Data Group. All rights reserved.