에포크타임스

중국 기업 러신테크의 ESP32 칩, 저렴한 가격에 보급
사이버보안 연구진, 메뉴얼에 없는 명령어 29개 발견

중국에서 생산된 ESP32 마이크로컨트롤러 칩에서 보안 취약점이 발견됐으며, 이로 인해 해커들이 기기를 조작할 가능성이 제기됐다. 해당 칩은 저렴한 가격으로 인해 전 세계 10억 대 이상의 사물인터넷(IoT) 기기에 사용되고 있다.

스페인의 보안업체 탈로직 시큐리티(Tarlogic Security) 연구진은 최근 중국 제조업체 러신테크(樂鑫科技·Espressif)가 생산한 ESP32 칩에서 29개의 비공개 명령어를 발견했다고 밝혔다.

이 명령어들은 공식 문서에 기록되지 않은 상태였으며, 블루투스 및 Wi-Fi 연결을 통해 기기를 원격으로 조작할 가능성이 있다는 점에서 심각한 보안 우려를 낳고 있다.

타롤로직 시큐리티는 보고서를 통해 “해당 명령어들은 메모리 조작(읽기·쓰기), MAC 주소 위조(기기 변조), 패킷 주입 공격 등을 가능하게 한다”며 “해커가 이를 악용하면 스마트폰, 컴퓨터, 스마트 도어락, 의료기기 등을 감염시키거나 원격으로 제어할 수 있다”고 경고했다.

보고서는 또한 “이 같은 취약점은 단순한 설계 오류가 아니라 의도적으로 숨겨졌을 가능성이 있다”며, 보안 결함을 ‘CVE-2025-27840’으로 등록하고 추적 중이라고 밝혔다.

ESP32 칩, 10억 개 이상의 IoT 기기에 사용… 글로벌 보안 위협으로

ESP32 칩은 가격이 2유로(약 3천원) 수준으로 저렴하고, Wi-Fi 및 블루투스를 지원하는 점 때문에 광범위하게 사용된다. 러신테크는 2023년 9월 성명을 통해 “현재 전 세계 10억 개 이상의 IoT 기기에 ESP32 칩이 탑재돼 있다”고 밝힌 바 있다.

이 칩의 주요 고객사는 바이두, 샤오미, 아마존 등으로, 이번 취약점이 실제 해킹 공격에 악용될 경우 수억 명의 사용자가 보안 위협에 직면할 가능성이 있다. 블루투스 통신을 이용한 전자제품에 탑재됐다.

러신테크 반박했지만…전문가들 “중국산 IoT 칩 사용 주의해야”

러신테크는 10일 성명을 발표하고 “해당 명령어들은 테스트 및 디버깅 목적으로 사용되며, 원격 접근을 지원하지 않는다”고 반박했다. 회사 측은 “펌웨어 업데이트를 통해 문제를 해결할 예정”이라고 밝혔다.

그러나 보안 전문가들은 단순한 소프트웨어 패치로 해결할 수 있는 문제가 아니라며 의구심을 표하고 있다.

미국 IT전문매체인 블리핑 컴퓨터(Bleeping Computer)의 글로벌 보안 커뮤니티에서는 “ESP32 칩의 보안 결함은 기기를 원격 조작할 수 있는 수준”이라며 사용자의 주의를 촉구했다.

“중국은 오래전부터 칩과 소프트웨어에 백도어를 숨겨왔다”며 “이런 보안 취약점은 정부 차원의 해킹 공격에 악용될 가능성이 크다”고 경고한 컴퓨터 엔지니어도 있었다.

이번 사건은 중국산 IoT 칩의 보안 우려를 다시 한번 환기하는 계기가 되고 있다.

앞서 지난 2023년에는 캐나다 워털루 대학 연구팀이 ESP32와 ESP8266 칩을 이용, 와이파이 신호를 통해 건물 내부 기기들의 위치를 파악할 수 있음을 보여주는 실험을 진행해 논란이 된 바 있다.

보안 전문가들은 “중국 정부가 기업을 통해 보안 취약점을 의도적으로 남길 가능성이 있다”며 “민감한 데이터가 저장된 기기에는 중국산 칩 사용을 피해야 한다”고 강조했다.