샤오미 레드미 버즈 6프로. [공식 홈페이지 갈무리]

[헤럴드경제=박혜림 기자] “가성비 이어폰이라고 썼는데 이런 일이?”

샤오미의 무선 이어폰 ‘레드미 버즈 프로’ 시리즈에서 통화 정보 탈취와 기기 먹통을 유발할 수 있는 보안 취약점이 무더기로 발견돼 이용자들의 주의가 요구된다. 레드미 버즈 프로 시리즈는 최근 국내에서 8만원 안팎에 판매되는 대표적인 ‘가성비 무선 이어폰’이다. 20만원대 중반인 갤럭시 버즈 프로3 가격의 3분의 1 수준에 불과하다.

한국인터넷진흥원(KISA)은 최근 보안 공지를 통해 샤오미의 블루투스 이어폰 ‘레드미 버즈’ 시리즈 일부 제품에 대한 사용 주의를 안내했다.

문제의 제품은 레드미 버즈 3 프로, 4 프로, 5 프로, 6 프로 등 총 4종이다.

KISA는 해당 제품에서 ▷정보 노출 취약점(CVE-2025-13834) ▷서비스 거부 취약점(CVE-2025-13328) 등의 문제를 발견했다면서, “보안 패치가 제공되지 않으므로 인파 밀집 지역 등 공공장소에서 이어폰을 사용하지 않을 때는 블루투스 기능을 비활성화할 것”을 권고했다.

미국의 비영리 보안 기관 CERT 조정센터도 9일 레드미 버즈 시리즈 일부 모델에서 정보 유출 및 서비스 거부(DoS) 취약점이 확인됐다며 사용에 각별한 주의를 당부했다.

샤오미의 한국 첫 공식 매장 샤오미 스토어 여의도점. 고재우 기자

이들 기관에 따르면 이번에 발견된 취약점은 공격자가 블루투스 통신 범위 내에 있기만 하면 별도의 페어링이나 인증 절차 없이도 악성 트래픽을 보내 기기를 원격 제어 가능케 한다. 가장 치명적인 취약점은 통화 관련 메타데이터를 유출하는 결함이다.

CVE-2025-13834의 경우 기기가 비정상적인 테스트(TEST) 명령을 받았을 때 초기화되지 않은 메모리 버퍼를 반환하는 현상을 악용한다. 공격자는 이를 통해 통화 상대방의 전화번호 등 핵심 정보를 포함한 민감 데이터를 탈취할 수 있다. 통화 중이거나 통화가 끝난 직후 공격을 받으면 관련 데이터가 고스란히 노출될 수 있는 구조다.

샤오미의 레드미 버즈 프로 시리즈는 샤오미의 대표적인 가성비 무선이어폰이다. 국내 시장에서도 인지도 높은 제품으로, 최신 기종인 레드미 버즈 6 프로는 현재 국내 네이버 스마트스토어 등에서 약 8만 원 안팎에 판매되고 있다.

이번 취약점이 발견되자 샤오미는 공급업체들과의 협력을 통해 업데이트에 나설 것으로 알려졌다. 또 최근 출시된 제품들은 이미 업데이트가 완료돼 이번 문제와 무관한 것으로 전해졌다.

한편 이번 취약점은 이희조 고려대 교수 연구팀이 발견해 제보했다.