AI 요약
최근 킥스타터에서 출시된 중국 연구 기업의 스마트 수면 안대가 심각한 보안 결함을 가지고 있다는 분석이 제기되었습니다. 이 안대는 EEG 뇌파 모니터링, 근육 자극(EMS), 진동 및 가열 기능을 갖춘 고성능 하드웨어임에도 불구하고, 전용 앱의 설계 부실로 인해 모든 사용자가 공유하는 MQTT 브로커 자격 증명이 노출되었습니다. 작성자는 AI 모델인 Claude를 도구로 사용하여 Flutter 기반의 Android APK를 역공학했으며, 이 과정에서 9MB 크기의 바이너리 블롭 내에 숨겨진 하드코딩된 서버 주소와 명령어 구조를 찾아냈습니다. 이를 통해 6바이트의 쿼리 패킷만으로 기기의 153바이트 상세 정보를 받아오고, 타인의 뇌파 데이터를 읽거나 원격으로 전기 자극을 보내는 것이 가능해졌습니다. 이번 사례는 IoT 기기의 생체 데이터 관리 부실이 개인의 프라이버시를 넘어 신체적 위해로 이어질 수 있음을 경고합니다.
핵심 인사이트
- 보안 결함 발견: 2026년 2월 12일 보고된 분석에 따르면, 기기의 MQTT 브로커 접속 정보가 앱 내에 하드코딩되어 있어 모든 사용자의 데이터 채널에 접근 가능한 설계 오류가 확인되었습니다.
- 정밀 생체 데이터 노출: 안대는 250Hz 샘플링 속도의 8채널 EEG(뇌파) 데이터와 호흡, 3축 가속도계 및 자이로스코프 정보를 실시간으로 스트리밍하고 있습니다.
- AI 기반 역공학: 작성자는 Claude를 활용해 BLE(Bluetooth Low Energy) 프로토콜을 분석하고,
jadx및blutter도구를 사용해 Flutter로 작성된 복잡한 바이너리에서 15개의 핵심 제어 명령어를 추출했습니다.
주요 디테일
- 기기 기능: 단순한 수면 안대를 넘어 EEG 모니터링, 눈 주변 EMS(전기 근육 자극), 진동, 가열, 오디오 기능을 통합한 고사양 하드웨어입니다.
- 프로토콜 분석: 분석 결과 기기는 헤더, 방향 바이트, 명령 유형, 페이로드, 푸터로 구성된 독자적인 패킷 구조를 사용하며, 6바이트 쿼리에 대해 153바이트의 응답(모델 번호, 시리얼, 83% 배터리 잔량 등)을 반환합니다.
- 소프트웨어 취약점: Flutter 프레임워크는 역공학이 어렵다고 알려져 있으나, 바이너리 내부의 문자열(Strings) 검색을 통해 API 엔드포인트와 프로토콜 디버그 메시지가 그대로 노출되었습니다.
- 실제 작동 확인: 작성자는 추출된 명령어를 바탕으로 웹 대시보드를 직접 구축하여 안대의 모든 기능(진동, 가열, EMS 등)을 원격으로 제어하는 데 성공했습니다.
향후 전망
- 생체 데이터 보호 이슈: 뇌파와 같은 민감한 생체 정보를 다루는 웨어러블 기기에 대한 보안 표준 및 규제 강화 목소리가 높아질 것으로 예상됩니다.
- AI 역공학의 보편화: Claude와 같은 LLM이 전문적인 역공학 도구(blutter 등)와 결합하여 일반인도 복잡한 하드웨어의 취약점을 빠르게 찾아낼 수 있는 시대가 도래했음을 시사합니다.
출처:hackernews