당신의 주머니 속 무선 이어폰이 누군가의 도청 장치로 변할 수 있다면 어떨까. 페어링 버튼을 누른 적도 없는데 낯선 기기가 내 목소리를 듣고 있다면, 이는 상상이 아닌 현실의 보안 위협이다.

구글 패스트 페어(Google Fast Pair)의 구현 결함에서 비롯된 '위스퍼페어(WhisperPair, CVE-2025-36911)' 취약점이 공개되면서 블루투스 생태계에 비상이 걸렸다. 편리함을 위해 설계된 자동 연결 프로토콜이 오히려 공격자에게 뒷문을 열어준 셈이다. 이번 사태는 수백만 대의 오디오 액세서리가 원격 도청 위협에 노출되었음을 시사하며, 하드웨어 제조사들의 보안 대응 능력을 시험대에 올리고 있다.

편의성의 역설: 위스퍼페어가 파고든 빈틈

위스퍼페어 취약점의 핵심은 '사용자 의도 확인' 절차의 부재에 있다. 본래 블루투스 기기가 새로운 스마트폰과 연결되려면 사용자가 직접 물리 버튼을 눌러 '페어링 모드'에 진입해야 한다. 하지만 위스퍼페어 취약점을 가진 기기들은 이 과정을 생략하거나 부적절하게 검증한다.

공격 메커니즘은 정교하면서도 단순하다. 공격자는 블루투스 통신 범위 내에서 타깃 기기의 모델 번호 정보를 입수한다. 이후 해당 기기에 강제로 페어링 요청을 전송하는데, 취약한 기기는 사용자의 물리적 조작 없이도 이 연결을 승인한다. 일단 연결이 수립되면 공격자는 기기 제어권을 획득하고 마이크를 활성화할 수 있다. 사용자가 이어폰을 착용하고 일상적인 대화를 나누는 동안, 공격자는 멀리 떨어진 곳에서 그 음성을 실시간으로 도청하는 것이 가능해진다.

벨기에 루벤 가톨릭 대학교(KU Leuven) 연구팀의 분석에 따르면, 이 문제는 구글 패스트 페어 프로토콜 자체의 결함이라기보다 이를 개별 하드웨어에 이식하는 제조사들의 '구현상 오류'에 가깝다. 프로토콜이 규정한 보안 가이드라인을 엄격하게 따르지 않은 기기들이 공격의 표적이 된 것이다.

제조사별 극명하게 갈린 대응 속도

현재 시장의 대응은 제조사에 따라 온도 차가 뚜렷하다. 구글과 마샬(Marshall)은 이번 위협에 가장 기민하게 움직였다. 구글은 픽셀 버즈(Pixel Buds) 시리즈에 대해 2025년 11월 이전에 이미 보안 패치를 완료했다. 특히 픽셀 버즈 프로 2와 같은 모델은 초기 설계 단계부터 해당 취약점에 대비한 것으로 확인됐다.

반면 소니(Sony), 낫싱(Nothing), 사운드코어(Soundcore), 원플러스(OnePlus) 등 다른 주요 제조사들의 상황은 복잡하다. 2026년 1월 15일 기준으로 소니와 낫싱은 취약점 해결을 위한 구체적인 업데이트 일정이나 공식 입장을 내놓지 않고 있다. 소니 헤드폰 커넥트(Sony Headphones Connect) 앱을 통해 펌웨어 업데이트 여부를 수시로 확인해야 하는 사용자들의 불안이 커지는 이유다.

업계에서는 이번 사태가 안드로이드 생태계의 고질적인 문제인 '파편화'를 여실히 보여준다고 비판한다. 구글이 보안 표준을 제시하더라도, 수십 개의 제조사가 각기 다른 하드웨어와 펌웨어 구조를 가지고 있어 패치 배포 속도가 균일하지 않기 때문이다.

연결의 시대, 사용자가 직면한 새로운 보안 과제

위스퍼페어는 단순한 기술적 결함을 넘어, 무선 연결이 지배하는 현대 사회에서 '신뢰'의 문제를 제기한다. 사용자는 자신의 기기가 페어링 모드가 아닐 때 안전하다고 믿지만, 소프트웨어 구현의 허점은 그 믿음을 순식간에 무너뜨린다.

전문가들은 제조사가 패치를 제공하기 전까지 사용자가 취할 수 있는 조치가 제한적이라는 점을 우려한다. 공격자가 물리적 접촉 없이 블루투스 신호만으로 접근하기 때문에 일반적인 사용 패턴으로는 침입 여부를 알기 어렵다. 이는 하드웨어 제조사가 펌웨어 업데이트를 통해 근본적인 통제권을 회복해야만 해결될 수 있는 문제다.

결국 이번 사건은 편리함과 보안이 트레이드오프(Trade-off) 관계에 있음을 다시 한번 상기시킨다. 제조사는 더 빠른 연결을 약속하기 전에, 그 연결이 얼마나 견고하게 보호되는지 증명해야 할 의무가 있다.

실전 대응 가이드: 내 기기를 보호하는 법

자신의 블루투스 이어폰이 위스퍼페어 위협에 노출되었는지 확인하고 대처하려면 다음의 절차를 따라야 한다.

첫째, KU Leuven 연구팀이 공개한 '위스퍼페어 기기 디렉토리'를 검색해야 한다. 이 도구는 모델별로 취약 여부를 조회할 수 있는 가장 공신력 있는 자료다. 둘째, 제조사 전용 앱을 실행해 최신 펌웨어 업데이트가 있는지 즉시 확인해야 한다. 특히 소니나 낫싱 제품 사용자라면 앱 내 알림을 수시로 체크하는 습관이 필요하다.

셋째, 업데이트 릴리스 노트를 꼼꼼히 살펴야 한다. 'CVE-2025-36911' 또는 'Fast Pair 보안 개선'이라는 문구가 포함되어 있다면 패치가 적용된 것이다. 만약 사용 중인 기기가 여전히 취약한 상태이고 제조사의 패치 계획이 불투명하다면, 공공장소 등 보안이 취약한 환경에서는 블루투스 기능을 일시적으로 비활성화하는 것도 극단적이지만 확실한 예방책이 될 수 있다.

FAQ

Q: 내 이어폰이 위스퍼페어에 취약한지 어떻게 확신할 수 있나? A: 연구팀이 제공하는 위스퍼페어 카탈로그에서 모델명을 검색하거나, 제조사 앱의 펌웨어 정보를 확인해야 한다. 구글 픽셀 버즈 시리즈나 마샬의 일부 모델은 이미 패치가 완료되었으므로 상대적으로 안전하다.

Q: 공격자가 얼마나 멀리서 내 음성을 도청할 수 있는가? A: 기본적으로 블루투스 통신 거리 이내여야 한다. 장애물이 없는 환경에서는 수십 미터 밖에서도 가능하지만, 벽이나 장애물이 있는 실내에서는 범위가 좁아진다. 다만 공항, 카페, 사무실 같은 개방된 공공장소에서는 위협이 극대화된다.

Q: 펌웨어 업데이트 외에 다른 해결 방법은 없는가? A: 이 취약점은 하드웨어 내부의 페어링 로직 자체에 기인하므로, 소프트웨어적인 업데이트(펌웨어 패치) 외에는 근본적인 해결책이 없다. 제조사가 패치를 내놓을 때까지 기다리는 것이 유일한 대안이다.

결론

위스퍼페어는 무선 액세서리의 편리함 뒤에 숨겨진 보안의 취약성을 날카롭게 파고들었다. 구글과 마샬이 신속한 패치로 대응의 모범을 보였으나, 여전히 많은 제조사가 침묵을 지키고 있는 점은 우려스럽다.

앞으로 소비자들은 기기를 선택할 때 음질이나 디자인뿐만 아니라, 제조사가 보안 취약점에 얼마나 신속하고 투명하게 대응하는지를 주요 구매 결정 기준으로 삼아야 할 것이다. 보안은 이제 부가 서비스가 아니라 기기의 핵심 성능 그 자체다.

참고 자료

• 🛡️ Flaw in 17 Google Fast Pair audio devices could let hackers eavesdrop - Engadget
• 🛡️ Major security flaw affects Sony, Google, and other popular headphones - SoundGuys
• 🛡️ Flaw in 17 Google Fast Pair audio devices could let hackers eavesdrop - Engadget
• 🛡️ WhisperPair exposes Bluetooth earbuds and headphones to tracking and eavesdropping
• 🏛️ Hijacking Bluetooth Accessories Using Google Fast Pair - KU Leuven
• 🏛️ WhisperPair Attack Leaves Millions of Audio Accessories Open to Hijacking - SecurityWeek
• 🏛️ Critical flaw lets hackers track, eavesdrop via Bluetooth audio devices - Bleeping Computer
• 🏛️ A new earbud security flaw may expose you to remote eavesdropping - here's how to fix it
• 🏛️ Google Fast Pair devices need an immediate update for hacking risk
• 🏛️ Flaw in 17 Google Fast Pair audio devices could let hackers eavesdrop