2026년, 우리가 매일 귀에 꽂는 블루투스 이어폰이 도청기가 될 수 있다는 충격적인 보안 취약점이 발견됐습니다.
안드로이드 사용자뿐 아니라 아이폰 사용자까지 위험에 노출되어 있으며, 국내외 수많은 이어폰과 블루투스 기기들이 영향을 받고 있습니다.
이번 이슈는 단순한 소프트웨어 버그가 아닙니다.
WhisperPair가 핵심인데 사생활 침해는 물론, 위치 추적, 계정 탈취, 장기적 범죄 악용까지 가능하다는 점에서 사용자들의 각별한 주의가 요구됩니다.
1. 무엇이 문제인가? – ‘WhisperPair’ 취약점의 정체
벨기에 루뱅가톨릭대학교(KU Leuven) 연구진은 구글의 ‘패스트 페어(Fast Pair)’ 프로토콜에서 치명적인 보안 취약점(CVE-2025-36911)을 발견했습니다.
이 취약점은 ‘WhisperPair’라는 이름으로 명명됐습니다.
‘패스트 페어’는 블루투스 이어폰이나 스피커를 스마트폰에 빠르게 연결해주는 편의 기능입니다.
하지만 이 기능을 악용하면 사용자의 동의 없이 최대 14미터 거리에서 이어폰 등 블루투스 기기를 해킹해 연결할 수 있는 것으로 밝혀졌습니다.
2. 어떤 위험이 발생하는가?
WhisperPair 취약점은 단순한 연결 오류가 아닙니다.
다음과 같은 보안 위협이 실질적으로 발생할 수 있습니다:
- 🔊 도청: 해커가 이어폰의 마이크를 원격으로 활성화하여 실시간 대화를 엿들을 수 있습니다.
- 📍 위치 추적: 구글의 ‘Find My Device’ 네트워크를 이용해 사용자의 위치를 실시간으로 추적할 수 있습니다.
- 🧠 사회공학적 범죄: 피해자 기기를 해커 계정에 등록해도 일반 사용자들은 시스템 오류로 착각할 가능성이 높습니다.
- 🔒 장기적 감시: 반복적인 추적 및 침입이 가능해, 장기적 스토킹 범죄로 악용될 수 있습니다.
3. 누가 영향을 받는가?
이 취약점은 특정 브랜드나 운영체제에 국한되지 않습니다.
안드로이드와 아이폰 사용자 모두 위험에 노출되어 있습니다.
영향을 받은 주요 브랜드는 다음과 같습니다:
- 🎧 소니(Sony)
- 🎧 자브라(Jabra)
- 🎧 JBL
- 🎧 샤오미(Xiaomi)
- 🎧 구글(Google Pixel Buds) 등
이는 이어폰·스피커 등 블루투스 액세서리 자체의 보안 결함이기 때문에,
운영체제를 바꾸거나 패스트 페어 기능만 꺼서는 해결되지 않습니다.
4. 구글의 대응과 앞으로의 보안 전망
구글은 이 보안 이슈의 심각성을 인정하고, 루뱅대 연구진에게 **1만5000달러(한화 약 2000만원)**의 보상금을 지급했습니다.
또한 각 제조사와 협력해 패치 배포를 시작했지만 이미 시중에 나온 수많은 블루투스 기기에 적용되기까지는 상당한 시일이 걸릴 것으로 전망됩니다.
연구진은 “기기 자체의 보안 결함인 만큼, 단순히 기능을 끄는 것으로는 해결되지 않는다”며 제조사 펌웨어 업데이트가 최선의 방어책이라고 강조했습니다.
5. 사용자 주의사항 및 보안 가이드
WhisperPair는 단순한 기술 문제가 아닙니다.
개인의 신변 안전과 직결되는 보안 이슈입니다.
다음의 조치를 통해 예방할 수 있습니다:
🔐 1. 이어폰 펌웨어 업데이트 확인
→ 사용 중인 블루투스 이어폰 제조사의 앱 또는 홈페이지를 통해 최신 펌웨어 설치 여부를 반드시 확인하세요.
📵 2. 패스트 페어 기능 비활성화
→ 안드로이드 사용자는 [설정] > [Google] > [기기 연결] > [Fast Pair] 기능을 꺼두는 것이 좋습니다.
🔍 3. 연결 알림 주의
→ 알 수 없는 기기 연결 알림이 반복되거나 이어폰 동작이 이상하면, 즉시 연결을 끊고 공장 초기화를 검토하세요.
🛡️ 4. 보안 앱 및 바이러스 스캐너 활용
→ 신뢰할 수 있는 모바일 보안 앱을 설치해 비인가 접근 및 이상 동작을 상시 감시하세요.
6. 요약: WhisperPair 취약점 핵심 정리
| 항목 | 내용 |
|---|---|
| 취약점 명칭 | WhisperPair (CVE-2025-36911) |
| 영향 대상 | 블루투스 이어폰, 스피커 등 액세서리 기기 |
| 주요 브랜드 | 구글, 자브라, JBL, 소니, 샤오미 등 |
| 위험성 | 도청, 위치 추적, 마이크 해킹, 계정 탈취 |
| 해결 방법 | 제조사 펌웨어 업데이트, Fast Pair 기능 끄기 |
| 구글 대응 | 보안 패치 배포 및 보상금 지급 |