샤오미 스마트기기 통합 제어 앱 '미 커넥트(Mi Connect)'에서 보안 취약점이 발견됐지만, 해당 취약점에 대한 보안 패치는 자동으로 적용되지 않고 있는 것으로 확인됐다. 사용자가 수동으로 앱을 업데이트해야만 보안 위협을 차단할 수 있는 상태다.

9일 보안업계에 따르면 지난 7일 한국인터넷진흥원(KISA)은 보안 권고를 통해 미 커넥트 앱에서 사용자 인증 절차를 우회할 수 있는 취약점(CVE-2024-45347)이 확인됐다고 밝혔다. 공격자가 본인 인증 없이 스마트폰의 제어 권한에 접근할 수 있는 구조로, 연동된 스마트TV나 노트북 등 타 기기로 보안 위협이 확산될 가능성도 있다고 설명했다. 

앞서 인도 정부도 지난주 동일 앱에서 동일한 유형의 보안 결함이 발견됐다며 사용자에게 앱 삭제 또는 보안 패치 적용을 권고한 바 있다.

해당 취약점은 앱 버전 3.1.895.10 이하에서 발생하며, 원인은 인증 절차상 검증 미흡으로 분석됐다. 샤오미 관계자에 따르면 현재까지 확인된 영향 범위는 하이퍼OS 1.0 미만 버전 기기를 사용하는 경우로 제한되며, 양쪽 기기가 모두 하이퍼OS 1.0 이상인 경우에는 해당되지 않는다.

다만 현재까지 해당 보안 패치는 기기 설정이나 앱 마켓에서 자동으로 설치되지 않고 있다. 사용자가 직접 앱을 최신 버전으로 업데이트하지 않으면 취약점이 그대로 노출될 수 있다.

이에 샤오미 관계자는 "해당 취약점은 인도정부와 한국인터넷진흥원의 보안 지적을 계기로 기술팀에서 면밀히 분석했고, 이를 반영한 보완 조치를 단계적으로 적용 중"이라며 "보안이 강화된 버전(3.1.970.10)은 현재 순차적으로 배포되고 있으며, 7월24일까지 전 사용자에게 적용될 예정"이라고 밝혔다.

이어 "전 세계 어느 지역에서든 현지 규제기관의 지적을 매우 진지하게 받아들이고 있으며, 한국 기준에 부합하는 보안 수준을 유지하는 것을 최우선 과제로 삼고 있다"라고 덧붙였다.